Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La cybersécurité : un projet commun de sécurisation

mars 2020 par Eric Houdet, Directeur Associé chez Quarkslab

De plus en plus exposées aux risques d’attaques, les entreprises n’ont d’autres choix que de redéfinir le périmètre de sécurisation en mettant l’accent sur la sensibilisation des collaborateurs qui sont finalement les maillons faibles des systèmes d’information.

Les entreprises plus exposées aux risques d’attaques

La transformation numérique expose grandement les entreprises aux attaques et compromet la sécurité des données confidentielles.
C’est ainsi, alors que le concept de « Bring Your Own Device »[1] s’est largement démocratisé, que le salarié se connecte parfois au réseau de l’entreprise en utilisant son propre ordinateur ou smartphone. Sans parler des freelances, ou sous-traitants, qui travaillent à distance et ont accès aux informations de l’entreprise de n’importe où. Ou encore, si rien n’est mis en place pour l’en empêcher, qu’un collaborateur peut, délibérément ou pas, tout à fait partir avec des données confidentielles qu’il estime être les siennes et qui pourront, par exemple, lui servir dans sa future entreprise. Il n’est pas rare non plus de voir des salariés ramener leur clé USB externe pour se brancher sur les ordinateurs du bureau, ce qui peut compromettre les systèmes d’information et introduire des virus plus ou moins malicieux.
Il est donc primordial pour les entreprises de repenser leur politique de sécurité afin de minimiser les risques d’attaques ou d’imprudence d’un salarié.

Sensibilisation des collaborateurs : la meilleure arme

Pour parvenir à protéger leurs activités sans freiner leur développement, un certain nombre d’entreprises ont mis en place une politique qui part de ce constat. C’est le modèle « Zero Trust », formalisé par John Kindervag analyste du cabinet Forrester en 2009[2]. À l’image de la protection rapprochée du Président des Etats-Unis, il s’agit de ne faire confiance ni aux utilisateurs externes ni à ceux situés à l’intérieur du périmètre de sécurité. Tout trafic représente une menace tant que celui-ci n’a pas été vérifié et autorisé. Basé sur un protocole strict de contrôle de l’identité, le Zero Trust protège dorénavant les organisations contre les cyber-attaques et sécurise leurs données sensibles. De nombreuses sociétés ont adopté ce modèle qui leur offre une visibilité complète sur les utilisateurs ayant accès aux données. C’est le cas notamment d’une majorité de nos grandes banques qui a interdit les ports USB dans leurs locaux. Les salariés doivent être connectés à une base centrale pour avoir accès au réseau. L’entreprise contrôle l’identité des utilisateurs ne faisant confiance ni au système, ni aux individus. Malgré les mesures de sécurité mises en place, il est néanmoins et toujours primordial de les faire tester, non seulement en interne, mais surtout en externe par des personnes qui peuvent se glisser dans la peau de véritables « hackers » pour simuler une réelle attaque grâce à une mission dite « red team ». Cette campagne qui dure plusieurs semaines permet de réaliser des tests d’intrusion grandeur nature dans le but d’évaluer la sécurité d’une entreprise. Ces missions offrent une vision globale sur les efforts nécessaires pour prévenir les risques éventuels et mettre en place un plan d’action par ordre de priorités.

Au-delà des règles et des solutions techniques, la meilleure arme des organisations reste la sensibilisation de leurs salariés mais les exercices et les formations dans ce domaine ne sont malheureusement pas encore légion par manque de maturité sur le sujet ou d’appréhension du risque de certaines organisations.

La sécurité n’est plus seulement l’affaire du service informatique

« Security is always excessive, until it’s not enough »[3]. Cette citation de Robie Sinclair prend tout son sens aujourd’hui. En effet, longtemps perçue comme un frein pour le développement de l’entreprise, la sécurité a souvent été pensée comme dernier rempart face à la menace, avec de multiples contrôles et procédures parfois lourdes. Pourtant, une politique de protection bancale peut avoir des conséquences dramatiques. L’image de marque d’une entreprise, et ses actifs/atouts, peuvent être grandement affectés et détériorés du jour au lendemain. Ce fut notamment le cas pour Yahoo qui, suite à une cyber-attaque massive en 2013, a dû baisser sa valorisation financière de plusieurs millions de dollars lors des négociations d’achat avec Verizon[4]. C’est l’une des raisons pour lesquelles mettre en place de vrais processus de sécurité évite le vol ou la perte de données précieuses, souvent très convoitées par les pirates ou les concurrents, et permet ainsi de les valoriser et évite que cela ne coûte très cher a posteriori. D’autant qu’aujourd’hui, en tant que garant de la sécurité de son entreprise, le chef d’entreprise a un rôle à jouer dans la prévention. Les attaques étant devenues fréquentes et parfois dévastatrices, sa responsabilité peut être engagée. La sécurité n’est plus seulement l’affaire du service informatique ; un véritable changement de paradigme s’est opéré ces dernières années. La cybersécurité s’est invitée à la table des grands. Le dirigeant doit connaître les enjeux de sécurité numérique et s’assurer de l’ensemble des processus mis en place dans sa société. Dans un contexte, où chaque jour sont dénombrées de multiples attaques, la sécurité devient le cœur de la stratégie impliquant les directions informatiques, mais surtout désormais la direction générale qui elle-même doit impliquer tous les collaborateurs pour un projet commun de sécurisation.

Le dynamisme du marché de la sécurité informatique est porté par cette prise de conscience. Il faut partir du principe qu’une attaque étant désormais certaine et que, malheureusement, il est impossible d’assurer une sécurité à 100%. Il faut donc à minima redonner l’avantage à la défense. C’est la meilleure stratégie pour assurer une démarche de sécurité continue, dynamique et positive.


[1] Apportez votre équipement personnel de communication désigne l’usage d’équipements informatiques personnels dans un contexte professionnel, Cnil.fr.

[2] https://go.forrester.com/speakers/john-kindervag/

[3] La sécurité est toujours de trop, jusqu’au jour où elle n’est plus assez ».

[4] https://www.lesechos.fr/2017/06/verizon-a-officiellement-rachete-yahoo-173246.


Voir les articles précédents

    

Voir les articles suivants