Dans ce guide en 6 étapes, nous vous accompagnons dans la mise en place d’une stratégie de cybersécurité pour renforcer la protection de votre environnement informatique et de vos données. Quelles sont les menaces les plus courantes ? Comment créer une politique de cybersécurité ? De quelles technologies avons-nous besoin ? Comment gérer la survenue d’un incident de sécurité ? Comment impliquer les collaborateurs ? Nous abordons en profondeur chacune de ces questions.
Les entreprises, principales victimes des cyberattaques
Cybercriminalité : le tournant 2020
La crise de la COVID-19 a accéléré en quelques mois une transformation digitale qui aurait dû prendre plusieurs années. La mise en place du télétravail de masse et le déploiement d’outils de connectivité (en dehors du traditionnel réseau d’entreprise) se sont effectués dans l’urgence, souvent au détriment de la cybersécurité. Par manque de connaissances et de recul, les entreprises ont ainsi exposé leur système d’information à de nombreuses failles et vulnérabilités, devenant des cibles de choix pour les cybercriminels.
Selon l’Autorité Nationale de la Sécurité des Systèmes d’Information (ANSSI), les cyberattaques se sont multipliées par 4 en 2020.
Les PME particulièrement visées par les cyberattaques : la minimisation des risques en cause ?
L’ANSSI révèle un chiffre assez préoccupant : 54% des PME se pensent encore à l’abri des cyberattaques, du fait de leur taille. En réalité, les usages numériques non maîtrisés, les données et les systèmes insuffisamment protégés continuent d’ouvrir la voie aux attaquants. Beaucoup d’entreprises externalisent des services numériques et se tournent vers le cloud sans mettre en place de solides processus de sécurité.
Après ces quelques éléments de contextualisation, place à une stratégie de sécurité informatique en 6 étapes à mettre en place pour protéger dans la durée votre entreprise.
Étape 1 : comprendre les cyberattaques et les menaces en ligne
1. Phishing, attaques DDoS, ransomware : quelles sont les menaces les plus courantes ?
- Le ransomware ou rançongiciel :
Il s’agit d’un logiciel malveillant (malware) qui va bloquer l’accès à un système ou à certaines données et qui va demander une rançon à sa cible en échange de la disponibilité des fichiers et des systèmes. Particulièrement redoutable pendant la pandémie, le rançongiciel continuerait d’être l’une des cyberattaques principales en France, selon une étude européenne Anozr Way. Les PME sont encore les plus touchées (44%).
- Le malware
Le malware est un programme malveillant qui s’installe discrètement, sans que l’on s’en aperçoive au sein d’un système. Pour ce faire, il cherche et exploite les vulnérabilités qui peuvent exister : faille logicielle, faille réseau, erreurs humaines (ouvrir une pièce jointe douteuse), etc. Un malware peut avoir plusieurs objectifs, comme on l’a vu avec le ransomware, mais il peut aussi détruire vos fichiers (chevaux de Troie) ou vous espionner pour voler des informations confidentielles (spyware).
- L’ingénierie sociale
Contrairement à d’autres menaces en ligne, l’ingénierie sociale s’appuie davantage sur la nature humaine que sur la technologie. Elle génère du stress, se sert de l’inattention ou mise sur l’excès de confiance pour parvenir à ses fins Elle pousse ses victimes à ouvrir une pièce jointe infectée et à dévoiler des données personnelles ou des informations compromettantes relatives à l’entreprise. Les attaquants utilisent le format mail ou SMS envoyé au hasard à des milliers de destinataires (phishing ou hameçonnage), reconnaissables par leur aspect douteux : orthographe, imitation grossière, demandes soi-disant urgentes, etc.
- Les attaques DDoS
DDoS est l’acronyme anglais de Distributed Denial of Service, en français on parlera d’attaques par déni de service ou par déni de service distribué. Cette attaque vise à rendre inaccessible un service (un réseau ou un serveur par exemple). Là encore, les hackers exploitent une faille dans la sécurité. Ils multiplient les requêtes jusqu’à générer un trafic tellement important que les ressources et la bande passante se mettent à saturer. Votre système tombe en panne ou est fortement dégradé.
Comme pour un ransomware, votre environnement ne sera plus accessible, ce qui impactera fortement votre production et provoquera d’importantes pertes financières.
2. Pertes financières, atteintes à la réputation : quels impacts pour les entreprises ?
- Conséquences financières
Au-delà des perturbations techniques, une cyberattaque réussie peut avoir de très lourdes conséquences, la première est bien évidemment d’ordre financier. Le cabinet de conseil Asterès estime que le coût moyen d’une cyberattaque est de 58 600 €, mais que pour les grands groupes, ce montant peut aller jusqu’à 10 millions d’euros.
- Impact réputationnel
Les cyberattaques peuvent avoir également un impact dévastateur sur l’image de marque et la réputation d’une entreprise, surtout si l’information connaît un retentissement médiatique.
Obtenez plus de renseignements à ce sujet en contactant nos experts !
Étape 2 : évaluation des risques cyber pour l’entreprise
L’évaluation des risques est une étape essentielle à la mise en place d’une stratégie de cybersécurité. Ce travail vous aidera à identifier clairement les menaces, à détecter les vulnérabilités (et leurs conséquences) et vous aidera à amorcer un plan d’action.
1. Faites l’inventaire de vos actifs numériques sensibles
Identifiez l’ensemble de vos actifs numériques. Cela concerne les actifs physiques et immatériels (ordinateurs, mobiles, serveurs, réseau, logiciels et applications, les accès, les connexions avec l’extérieur, etc.), mais surtout les actifs critiques et sensibles. Ce sont en effet ceux qui causeraient le plus de dommages s’ils tombaient entre de mauvaises mains.
On entend par là, les données personnelles, mais aussi les données de santé, les données soumises à la propriété intellectuelle et toute autre information à grande valeur stratégique. Citons par exemple les informations sur votre état financier, des secrets de fabrication, les savoir-faire des collaborateurs, les tactiques commerciales, etc.
2. Analysez les vulnérabilités potentielles de votre entreprise
Cet exercice est très important puisqu’il va servir à détecter puis hiérarchiser les potentielles failles qui prolifèrent sur vos systèmes, souvent à votre insu : réseaux, applications, serveurs, connexions Internet, accès collaborateurs, etc. Démarche résolument proactive, cela sera l’occasion de mettre le doigt sur des vulnérabilités logicielles, matérielles ou de configuration et d’analyser les risques d’incidents associés. Vous prendrez ainsi les mesures adéquates avant que le pire n’arrive.
Notre conseil : confiez cette mission à votre équipe chargée de la cybersécurité ou à un prestataire externe. Des technologies de pointe à l’image du SIEM (Security Information & Event Management) pourront être utilisées.
3. Évaluez l’impact financier et opérationnel en cas d’attaque
Combien coûte réellement une cyberattaque ? Beaucoup d’entreprises n’envisagent que les impacts financiers immédiats d’une cyberattaque, à savoir :
- Les enquêtes techniques
- Les dispositifs immédiats de cybersécurité (comme la sécurisation des données post-incident)
- Les frais de justice
- La mise en conformité et d’éventuelles amendes en cas de manquement (jusqu’à 4% de votre chiffre d’affaires annuel pour le RGPD)
- Des services de relations publiques
Il est important de comprendre que les répercussions d’une cyberattaque peuvent durer plusieurs mois, voire plusieurs années. Cela engendre des coûts et des conséquences opérationnels certes indirects, mais bien réels :
- Les impacts liés à la perturbation ou l’arrêt total des activités
- Les assurances
- La baisse du chiffre d’affaires en lien avec la baisse de production ou la perte de contrats
- L’impact réputationnel, la perte de confiance des clients et des collaborateurs
- Augmentation de la dette
- Et si cela concerne votre entreprise : la perte de la propriété intellectuelle
Obtenez plus de renseignements à ce sujet en contactant nos experts !
Étape 3 : mise en place d’une politique de cybersécurité
Bien entendu, définir une politique de cybersécurité permet de protéger vos actifs numériques et votre capital le plus précieux : la donnée. Mais cette troisième étape sera essentielle pour maintenir votre productivité, garder intègre et visible au monde extérieur votre site web (ou site marchand) et gagner la confiance des clients.
Définissez des règles claires en matière de cybersécurité
Voici quelques règles de bases à appliquer pour construire en toute sérénité votre politique de cybersécurité.
- Matériel et équipement informatique
- Misez sur du matériel protégé et répondant aux normes de sécurité en vigueur
- Faites régulièrement les mises à jour requises
- Exploitez les fonctionnalités anti-phishing proposées par la majorité des navigateurs Internet
- Choisissez un outil de messagerie et un fournisseur d’accès qui respectent les normes et les standards actuels de sécurité
- Site Internet & nom de domaine
- Assurez-vous que votre site web soit doté du protocole sécurisé “https”
- Instaurez un calendrier de mises à jour et de vérifications régulières de l’ensemble de vos paramètres de sécuritéChoisissez un nom de domaine fiable, si celui-ci se termine par “.fr” vous pourrez solliciter l’Association française pour le nommage Internet en coopération (AFNIC)
- Données sensibles
- Auditez et cartographiez toutes vos données afin de pouvoir marquer chaque catégorie de données et leur attribuer un plan de protection adapté
- Définissez et délimitez la notion d’utilisation acceptable de vos données
- A contrario, définissez la notion d’incident de sécurité et les conséquences en cas de violations de la sécurité
- Créez des codes ou utilisez des solutions de chiffrement pour verrouiller l’accès aux informations sensibles
- Instaurez des politiques d’accès : par exemple, ne rendre les données commerciales accessibles qu’à certains pôles, régulation de l’accès aux utilisateurs externes, création d’accès à privilèges, etc.
- Mettez en place des plans de sauvegarde réguliers pour garantir une protection optimale en cas d’erreurs humaines ou d’attaques
- Collaborateurs et experts IT
- Embauchez un RSSI et si vous avez les ressources nécessaires une équipe dédiée (SSI) afin de concrétiser et d’organiser la stratégie de cybersécurité
- Désignez un DPD (Délégué à la Protection des données) en charge des volets conformité et protection des données
Note : À cette liste s’ajoutent toutes les règles et politiques de conformité auxquelles votre secteur d’activité est soumis. Nous les avons mentionnées un peu plus haut, et bien entendu, cela concerne l’inévitable RGPD, à partir du moment où vous traitez, collectez et stockez des données à caractère personnel. Pour tous vos audits de conformité, n’hésitez pas à vous faire accompagner d’un prestataire externe ou de solliciter directement des organismes comme la CNIL.
Obtenez plus de renseignements à ce sujet en contactant nos experts !
Étape 4 : choisir des outils et des technologies de cybersécurité
1. Quels antivirus et anti-malware faut-il choisir en entreprise ?
Les antivirus et les anti-malwares constituent une protection de base contre les logiciels malveillants. L’antivirus analyse les fichiers sur votre système et les compare à une base de fichiers malveillants connus. S’il détecte une similitude dans les noms de fichiers, il le supprime et vous alerte. Certains antivirus de nouvelles générations vont plus loin et analysent des comportements suspects sur votre système afin de les identifier comme malveillants puis de prendre les mesures adéquates pour les stopper.
Un anti-malware est à peu près la même chose qu’un antivirus si ce n’est qu’il est plus avancé technologiquement parlant : il détecte les virus, mais aussi un large panel de logiciels malveillants. Il est en mesure de stopper une infection et de supprimer les fichiers compromis.
Quelques bonnes pratiques :
- Évitez les antivirus gratuits, même si certains sont performants, ils ne vous protègent pas toujours contre les nouvelles menaces
- Équipez-en l’intégralité de votre parc informatique (PC, mobiles, tablettes, serveurs)
- Activez-les aussi dès que vous travaillez hors des murs de l’entreprise (télétravail, déplacements..)
- Mettez-les à jour très régulièrement pour qu’ils assimilent les nouvelles menaces
2. Firewalls et pare-feux applicatifs : comment les configurer ?
Un firewall (pare-feu en français) est un dispositif logiciel (ou matériel) qui se concentre sur le trafic entrant et sortant de votre réseau. Il va vérifier puis filtrer un grand nombre de flux de données et d’adresses IP. Il les bloque en cas de suspicion, avant que ces informations n’atteignent votre système. Il protège votre réseau contre les tentatives d’intrusion, le vol de données, la diffusion de malwares et les attaques DDoS.
Bonne nouvelle : des pare-feux sont directement installés dans les systèmes d’exploitation Windows et Mac. Pour ce dernier, il faut l’activer manuellement.
Il existe aussi des pare-feux applicatifs, il s’agit sensiblement de la même chose sauf qu’un pare-feu applicatif se charge de protéger le trafic entre vos applications web et Internet.
- Quelques conseils de configuration :
- Limitez-en l’accès à un cercle restreint pour des raisons de sécurité évidentes
- Identifiez puis classez les actifs de votre réseau en fonction de leur catégorie ou degré de criticité
- Déterminez quelles catégories d’actifs ont besoin d’une autorisation pour pénétrer dans le réseau
- Testez votre firewall et vérifiez qu’il filtre et bloque bien les éléments préalablement configurés
- Comme pour les antivirus, faites très régulièrement les mises à jour
Étape 5 : sensibiliser les utilisateurs et les collaborateurs
1. Quelques exemples concrets de sensibilisation du personnel
- La création d’une charte informatique
Ce document définit les droits et les obligations de vos collaborateurs sur l’utilisation du matériel mis à leur disposition. Il éclaire sur les enjeux des risques numériques, réglementaires (RGPD) et sur les spécificités de votre entreprise, par exemple si vous traitez des données de santé.
Ce socle de bonnes pratiques permet aussi de réguler le télétravail et les comportements vertueux lorsqu’on utilise les applications et qu’on navigue sur le Web. N’hésitez pas à les impliquer dans le processus de création et de diffusion de la charte.
- Des formations à la sécurité régulières
Créez des sessions régulières de formation et de sensibilisation à la cybersécurité. Tout le monde n’a pas le même niveau de connaissance et il est important de détecter rapidement des comportements à risque pour initier ensuite des pratiques plus éclairées.
Il ne s’agit pas de pointer du doigt les “mauvais élèves” mais plutôt d’instaurer un climat de confiance et de bienveillance. Faites appel à des organismes de formations, sollicitez vos équipes IT ou encore utilisez la gamification ou le serious gaming qui permettent d’apprendre de façon ludique (quiz, jeux et enquêtes, etc.)
- Test et simulations
Dans le cadre des formations ou à l’initiative de votre RSSI, mettez en pratique les connaissances du personnel grâce à des tests ou simulations dans des conditions réelles. Envoyez par exemple de faux mails d’hameçonnage pour aider les collaborateurs à consolider leurs connaissances et à tester leur réactivité. En fonction des résultats, vous pourrez orienter de futurs programmes de formations. N’oubliez pas de débriefer l’exercice et de rappeler les bonnes pratiques qu’il fallait appliquer.
Obtenez plus de renseignements à ce sujet en contactant nos experts !
Étape 6 : gérer les incidents de sécurité
1. Définition d’un plan d’action en cas d'incidents
La politique de sécurité informatique que vous avez instaurée (Cf. étape 2 du guide) constitue une base essentielle à votre plan de gestion des incidents. Vous y avez défini ce qu’est pour vous un incident, ce qui est acceptable ou non et les conséquences en cas de violations.
Il vous reste à suivre ces différentes phases dans l’élaboration de votre plan d’action :
- Déterminer l’élément déclencheur, c’est-à-dire le critère ou l’accumulation de circonstances qui déclencheront le plan d’action. Il peut s’agir d’un nombre anormalement élevé de connexions sur un service de stockage ou à une heure inhabituelle, la perte de matériel, etc.
- Isoler les éléments infectés, parfois jusqu’au retour à la normale. Cela évite à la menace de se propager. Sauvegardez tous les éléments dès l’émission de l’alerte afin d’analyser les détails et comprendre l’enchaînement des événements.
- Nettoyer les éléments infectés : cela signifie restaurer les fichiers et le matériel ciblés tout en éradiquant toute trace de l’incident.
- Organiser le retour à la normale : faites de nouvelles mises à jour de vos systèmes de défense et vérifiez que les éléments restaurés ne comportent plus de risque afin d’éviter tout nouvel incident et davantage de dégâts.
2. Communiquer en cas de violation de la sécurité de votre système
Communiquer sur la survenue d’une attaque et surtout, travailler votre stratégie de communication vous permettra de vous relever plus vite. Tout d’abord, anticipez et constituez une cellule de crise avant tout incident. Celle-ci se compose de votre service de cybersécurité et de votre pôle de communication. Si vous n’en avez pas, faites appel à un prestataire externe comme un service de relations publiques.
Le rôle de la cellule de crise est d’élaborer une stratégie de communication (interne et externe), de créer différents scénarios en plusieurs étapes et de mettre en place des outils de pilotage : fichiers de presse, messages prérédigés, etc.
Note : Gardez en tête que certains règlements exigent une communication sous un certain délai sous peine de sanctions. C’est le cas du RGPD qui donne aux organisations un délai de 72h après la détection d’un incident.
3. Gestion et analyse en phase post-incident
Une fois la tempête passée, il est temps de réaliser un post-mortem. Passez en revue toute la documentation liée à un incident, avec toutes les parties concernées. Ensemble, vous en tirerez des enseignements et appliquerez des mesures correctives pour améliorer vos plans d’action et votre stratégie de communication.
Conclusion
- Restez informé sur l’actualité cyber et l’apparition de nouvelles menaces, mais aussi sur les lois et les règlements en matière de conformité.
- Évaluez les risques cyber de votre entreprise, faites des mises à jour et des audits réguliers de votre équipement et de vos pratiques.
- Mettez en place une solide politique de cybersécurité.
- Choisissez des outils et des technologies en fonction de vos besoins
- Formez, sensibilisez vos collaborateurs aux enjeux du numérique et entourez-vous d’experts en cybersécurité et conformité : prestataires externes, RSSI, etc.
- Définissez un plan d’action et de communication en cas d’incident