Avant même de penser à sécuriser un système informatique, il est primordial de savoir ce que signifierait une attaque informatique pour l’avenir de l’entreprise et plus précisément quels types de dommage peut-elle engendrer et avec quelle sévérité. Il faut donc prendre en compte non seulement la probabilité qu’une attaque puisse se produire, ce qui est aujourd’hui quasi assuré, mais également les conséquences que cela peut avoir pour l’activité selon la période, le nombre et l’étendue de l’équipement touchée. Viennent ensuite les questions des vecteurs des attaques. Les entreprises doivent comprendre et étudier comment des acteurs malveillants pourraient les impacter.

S’il existe des points d’accès bénéficiant d’encore trop peu de protection, ce sont bel et bien les terminaux informatiques. Et cela s’observe encore davantage lors de déplacements professionnels ou dans le cadre du télétravail. Une récente étude de Tenable et Forrester montrait que 65 % des attaques réalisées ces 12 derniers mois ciblaient particulièrement les télétravailleurs. Dans ces circonstances, les collaborateurs ont tendance à se connecter à d’autres bases de données depuis d’autres appareils et le recours à ces terminaux mobiles accroît le risque de cyberattaques. Entre alors en ligne de compte le shadow IT.

Pour déterminer la probabilité d’une cyberattaque, il est important de connaître le nombre de terminaux susceptibles d’être pris pour cible. Or, par définition, le shadow IT représente la partie immergée de l’iceberg, c’est-à-dire l’ensemble des technologies qui n’ont pas été préalablement approuvées par la sécurité de l’entreprise, voire qui lui sont totalement inconnues. L’utilisation d’appareils privés entre évidemment dans cette catégorie et le risque est d’autant plus grand que différents supports de données amovibles ont été utilisés sans avoir été vérifiés.

La sécurisation du cloud

Une fois la question des utilisateurs finaux traitée, il faut aussi se poser la question des infrastructures. Or, l’externalisation de cette dernière, totale ou partielle, de plus en plus répandue au sein des entreprises n’accroît pas forcément la sécurité. Elle déplace le problème. Qu’il s’agisse de SaaS, de IaaS ou de PaaS, les entreprises doivent prendre les mêmes précautions que si elles gardaient leurs données et applications on-premise.

Elles doivent ainsi vérifier si elles ou leurs prestataires possèdent des outils de protection tels que des pare-feu, une sandbox ou une zone de quarantaine pour les fichiers potentiellement malveillants. Les entreprises peuvent également évaluer des mesures permettant de minimiser les risques telles que la clarté et la sécurité des protocoles de messagerie, l’efficacité du système de gestion des mots de passe et l’automatisation des mises à jour. Il est également important de définir le type d’accès aux données (authentification forte, options personnalisables, accès au réseau à confiance zéro...) afin de s’assurer qu’elles disposent d’un maximum de contrôle.

Avant même de penser à protéger un système d’information, il est donc primordial de savoir quoi protéger et établir des priorités. Rien ne sert de faire feu de tout bois. La réalisation d’une bonne checklist permet d’ouvrir la voie à une stratégie efficace basée sur des faits. L’étude du shadow IT, des terminaux et des infrastructures donne ainsi une bonne base de travail et permet d’anticiper au mieux la prise de mesures qui permettront de protéger l’entreprise.