Conseil n°1 : Mesurer le risque lié à votre entreprise

Pour commencer, vous devez analyser et comprendre les risques spécifiques liés au secteur d’activité de votre entreprise. Vous pouvez vous aider du trigramme « CIA » pour cela. C’est un modèle de cybersécurité composé de trois principes indispensables à la protection de l'information : la confidentialité, l'intégrité et la disponibilité des données (Confidentiality, Integrity, Availability en anglais). Ce modèle permet de mesurer l’impact d’une cyberattaque sur votre entreprise.

La confidentialité correspond à la protection de vos données sensibles. Si vous ou votre entreprise manipulez, par exemple, des données classifiées, vous devrez redoubler de vigilance car l’impact d’une fuite de données sera important. Plus vos données sont confidentielles, plus l’impact d’un piratage sera grand.

L’intégrité fait, elle, référence à la fiabilité des informations. Si les informations que vous manipulez sont précises, et qu’une simple modification de ces données peut corrompre tout un système voire l’entreprise, alors les conséquences seront importantes.

La disponibilité équivaut, finalement, au temps pendant lequel une ressource doit être accessible pour les utilisateurs. Si vous disposez d’un service utilisé par de nombreuses personnes, tout au long de la journée, quel serait l’impact de l’indisponibilité de ce service sur une durée de plusieurs heures, voire de plusieurs jours ? Plus vos informations ou services sont critiques, plus les retombées seront considérables.

Suivant le domaine dans lequel votre entreprise évolue, l’impact de ces piliers variera, et par conséquent le niveau de protection nécessaire à mettre en place sur votre SI. Une compromission des services des opérateurs d'importance vitale (OIV) - tels que les hôpitaux, ou encore des entreprises critiques dans le domaine de l’aérospatial, auraient des répercussions notables sur ces trois piliers cités plus haut. Il faut alors adapter en conséquence sa posture en matière de cybersécurité, et redoubler de vigilance afin de limiter les chances de piratage.

Conseil n°2 : Comprendre votre environnement de travail

Pour protéger efficacement vos données sensibles, il est important - pour l’ensemble des collaborateurs de votre organisation - de se familiariser avec les équipements, le matériel et les logiciels utilisés par votre entreprise. Ainsi, vous limiterez, par exemple, le risque d’utilisation de clés USB compromises ou des branchements de périphérique méconnus qui pourraient infecter votre environnement.

En ce qui concerne les logiciels, si votre entreprise possède un magasin d'applications, il est important de sensibiliser vos collaborateurs et collaboratrices sur le sujet, pour que les téléchargements de logiciels soient réalisés via ce magasin officiel, et non directement depuis Internet.

Comprendre son environnement de travail passe également par la connaissance des services utilisés par l’ensemble des collaborateurs et collaboratrices. Il apparaît, en effet, indispensable de sensibiliser l’ensemble des employés sur les services WIFI mis à disposition par l’entreprise. Cela leur permettra de ne pas se connecter à un point WIFI n’appartenant pas à votre société - celui-ci pouvant être malveillant. Les sensibiliser sur la vérification des signatures de mails et adresses des emails reçus paraît aussi inévitable pour réduire les réussites de tentatives de phishing.

Enfin, l’aspect social entre en jeu. Il est plus que nécessaire, dans toute taille d’entreprise, de favoriser l’échange et la rencontre entre collaborateurs de tous les services - ou le partage de leurs habitudes de travail. Assurément, les sensibiliser à se poser les bonnes questions avant de laisser entrer un nouvel individu dans vos locaux, vous assurera une attention accrue de la part de tous. Il sera ainsi plus aisé de découvrir - rapidement - si une personne, inconnue et suspecte, est dans le bâtiment.

N’hésitez pas, en outre, à inviter vos collaborateurs à vérifier les personnes assistant à leurs réunions pour s’assurer qu’il n’y ait pas de personnes mal intentionnées connectées - qui pourraient alors exfiltrer des données confidentielles. Invitez-les également à contacter votre service IT, au moindre doute pour remonter toutes informations sur un danger potentiel. De nos jours, la cybersécurité est l’affaire de tous !

Conseil n°3 : Impliquer toute l’entreprise dans votre démarche de sécurité

Pour protéger efficacement votre organisation, l’implication de tous les corps de métiers, dans la démarche de sécurité, est de rigueur. Communiquez à de multiples reprises sur les procédures de sécurité internes mises en place, afin d’enseigner les bonnes pratiques à vos collaborateurs. Ils seront ainsi plus à même de réaliser les bonnes actions s’ils tombent nez à nez avec une clé USB inconnue ou un mail de phishing étonnement bien réalisé.

Apprendre à vos collaborateurs à savoir réagir en cas de situation de crise, comme une cyberattaque en cours par exemple, est aujourd’hui primordial. La mise en place de programmes de sensibilisation à la cybersécurité, et à l’hygiène numérique, est donc fortement conseillée.

En outre, n’hésitez pas à sensibiliser vos collègues sur l’ensemble des réflexes à adopter face aux intrusions physiques car le vecteur social est plus que jamais la porte d’entrée des cybercriminels.

Est-ce vraiment tout ?

De nombreux conseils complémentaires à ceux mentionnés, ci-dessus, peuvent vous être utiles pour ce combat contre la montre qu’est la cybersécurité. Pour minimiser les chances de se voir compromettre, il est important de planifier un plan d’action ambitieux sur le long terme - comprenant de la gouvernance, de la gestion du risque, de l’audit de sécurité et de la mise en place de solutions pour surveiller et sécuriser votre SI, ses données et ses utilisateurs.

La protection de votre entreprise aux cyberattaques passe par une amélioration continue des moyens mis à sa disposition, et une évolution permanente de ceux-ci.

Par Mathieu Audebrand, consultant Sécurité Opérationnelle chez Synetis