Cybersécurité

Références : ANSSI & ENISA

Peu d’entreprises prêtes pour faire face à une attaque !!

Sur les 12 derniers mois, 61% des 5 400 entreprises sondées par Hiscox affirment ainsi avoir été victimes d’une cyber-attaque. Il s’agit-là d’une hausse conséquente par rapport à 2021, où seules 45% des entreprises reconnaissaient avoir été touchées par une telle menace sur la même période. Ainsi, la France est le deuxième pays le plus touché dans le sondage, avec 67% des entités qui auraient fait face à une telle attaque en 2018. Seule la Belgique fait pire, avec 71% des entreprises qui ont été touchées.

 

 Sources 2022 : Plateforme Cybermalveillance.gouv.fr

En 2023, 1/4 des entreprises ont un plan d’action
Pour les autres 30% ne savent comment démarrer un plan d’action cyber
27% n’ont pas de budget dédié
19% ce n’est pas une priorité

Pour celles qui ont mis en place un plan cyber, 25% ont réalisé un diagnostic avec des outils en ligne ou via un prestataire externe. Pour la formation 44% des entreprises l’ont fait soit pour l’ensemble du personnel dont une majorité en présentiel. 17% ont mené des campagnes de phishing.
29% des entreprise ont lancé un scan de vulnérabilités sur leur site web. 52% des entreprises ne se sentent pas suffisamment accompagnés en cybersécurité.

 

La cybersécurité, ce n’est que de la logique responsable.

Depuis quelque temps, nos médias nous communiquent les incidents bloquants des sociétés énormes qui n’ont pas fait attention à leur politique de sécurité logique.

Donnons simplement des recommandations données par l’ANSSI, organisme qui s’occupe de publier un ensemble de recommandations appelées référentiel de sécurité logique.

Simplement mais efficacement :

  • Avoir des mots de passe sérieux et vraiment personnels.
  • Une politique des comptes supprimés quand le collaborateur quitte l’entreprise.
  • Une gestion des partages des ressources nettoyées.
  • Des sauvegardes complètes et testées une fois par mois (ça ne suffit pas de mettre vérifié)
  • Pas d’ouverture de mail ou de pièce attachée inconnue.
  • La gestion de la sécurité des navigateurs
  • Ne pas aller sur des sites inconnus de votre entreprise
  • L’établissement d’une liste des sites refusés et gérés par un proxy.
  • La gestion des connexions intempestives et surtout très répétitives.

Vous êtes dans votre entreprise qui vous paie à la fin du mois. Si son système informatique est paralysé, alors risque de ne pas produire de paie.

Agence nationale de la sécurité des systèmes d’information cybersécurité siscotel

Plus académiquement :

Dix pratiques essentielles pour améliorer la cybersécurité de votre entreprise

 //  by //  Leave a Comment

Depuis quelque temps, les problématiques de la cybersécurité sont sorties des scénarios Hollywoodiens pour ainsi occuper les grands titres de l’actualité.

A noter, les spectaculaires cyberattaques qui ont paralysé les systèmes administratifs des villes d’Atlanta et de Baltimore, les vols de données personnelles stockées par les GAFA et la prise de contrôle partielle du compte Twitter de Scotland Yard. Les victimes des pirates informatiques sont des organisations protéiformes qui ont peu en commun. Elles partagent malheureusement toutefois l’absence de prise de la pleine mesure des risques de vulnérabilité de leurs systèmes et la négligence quant au fait de rehausser le niveau de sécurité exigé de leurs équipes à l’aune de l’explosion de la cybercriminalité.

Face aux menaces nouvelles sur leurs principaux actifs d’information, les entreprises doivent ainsi changer de paradigme et se préparer à être à l’avant-garde en matière de cybersécurité. Pour ce faire, il leur appartient donc de cesser de considérer la cyberpréparation comme un simple problème informatique. Le traitement de ces questions est dorénavant du ressort du conseil d’administration qui a pour responsabilité de les aborder comme des éléments de gestion stratégique de risques dotés d’une structure décisionnelle adaptée.

En adoptant une approche de gestion des risques en matière de cybersécurité, votre entreprise a ainsi tout à gagner. De la prise de décision stratégique aux avantages opérationnels, vous bénéficiez ainsi d’une organisation préparée à faire face à la plupart des éventualités grâce à une culture de conscience des risques et à des plans d’urgence adéquats. En outre, en adressant au plus haut niveau de votre entreprise les enjeux de sa cybersécurité, votre activité devient ainsi plus sûre et plus durable, tandis que vos finances profitent d’un environnement maîtrisé et prévisible.

Un guide pratique en 10 sections :

Pour aider les organisations à se protéger dans le cyberespace, l’organisation nationale l’ANSSI AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D’INFORMATIONS a conçu un guide pratique. Il adresse les composantes essentielles de la défense de vos réseaux, de vos systèmes et de vos informations. Il apporte ainsi des conseils pratiques sur la mise en place de la meilleure sécurité possible dans chaque domaine. Régulièrement actualisé, il recense alors les mesures de sécurité adaptées à votre situation et vous aidera ainsi à protéger votre société contre les cyberattaques.

La mise en place de ces 10 pratiques vous aidera ainsi à considérablement améliorer la cybersécurité de votre entreprise sur le court, le moyen et le long terme.

Politique de gestion des risques

La prise de risques est une composante indispensable de la conduite des affaires. Elle permet ainsi de créer des opportunités et aide à atteindre les objectifs de l’entreprise. Pour voir les opérations de votre société couronnées de succès, vous devez toutefois identifier les risques, définir le niveau de risque que vous êtes disposé à tolérer et mettre en place les outils de leur gestion proportionnée et appropriée.

Comment implémenter une politique de gestion des risques ?

  • Établir un cadre de gouvernance ;
  • Déterminer les risques tolérables et ceux qui sont inacceptables ;
  • Maintenir l’engagement du conseil ;
  • Élaborer des politiques d’appui ;
  • Adopter une approche de gestion des risques reposant sur le cycle de vie ;
  • Appliquer les normes reconnues ;
  • Recourir à un processus de certification de votre cybersécurité ;
  • Éduquer les utilisateurs et maintenir la sensibilisation ;
  • Promouvoir une culture de gestion des risques ;

Configuration sécurisée

La définition d’une configuration sécurisée des systèmes de votre entreprise contribue ainsi à grandement améliorer le niveau de sécurité des technologies au cœur de vos opérations. Cette stratégie de sécurisation des systèmes et de l’information va vous conduire ainsi à adopter une politique de correction rapide des vulnérabilités, à identifier et à désactiver les fonctionnalités inutiles et à formuler une politique de mise à jour adaptée à vos enjeux.

Comment mettre en place une configuration sécurisée ?

Pour minimiser le péril que fait planer une mauvaise configuration de vos systèmes, vous pouvez envisager de mettre en place les contrôles de sécurité suivants :

  • Utiliser des logiciels supportés ;
  • Élaborer et mettre en œuvre des politiques pour mettre à jour et corriger les systèmes ;
  • Créer et tenir à jour des inventaires de matériels et de logiciels ;
  • Adaptez vos systèmes d’exploitation et vos logiciels à vos besoins métiers et aux utilisateurs ;
  • Effectuez régulièrement des analyses de vulnérabilité ;
  • Établir le contrôle et la gestion de la configuration ;
  • Désactivez les périphériques inutiles et l’accès aux supports amovibles ;
  • Mettre en place une liste blanche des logiciels autorisés et un contrôle d’exécution des processus interdisant ainsi l’installation de programmes non autorisés ;
  • Limiter la possibilité pour l’utilisateur de modifier la configuration ;
  • Limiter les fonctionnalités accessibles par les admins.

Travail à domicile et nomade

Le télétravail, les activités nomades et les accès à distance révolutionnent la manière dont sont conduites les affaires. Mais, elles exposent toutefois vos systèmes et vos informations à une série de nouvelles menaces qu’il convient d’adresser. En travaillant en dehors des infrastructures de votre entreprise, vos collaborateurs étendent ainsi le transit et le stockage de l’information et des données à des infrastructures dont le niveau de sécurisation et de cryptage n’est pas toujours optimal. Les usages nomades dans des espaces publics mettent ainsi en danger la confidentialité de vos données en simplifiant la surveillance des écrans, ainsi que le vol ou la perte d’appareils.

Le développement de procédures détaillées fondées sur le risque, qui encadrent le télétravail, le travail nomade ou l’accès des données de vos utilisateurs et de vos fournisseurs de services, vous permet ainsi de réduire votre vulnérabilité.

Comment gérer la sécurité des activités nomades et des accès à distance ?

La sécurisation des données et des informations en dehors des infrastructures de l’entreprise constitue toutefois un véritable défi. Pour gérer la cybersécurité des activités mobiles de votre organisation, il convient de mettre en œuvre les mesures suivantes :

  • Évaluer les risques et créer une politique de travail mobile ;
  • Éduquer les utilisateurs sur la gestion sécurisée des informations d’identification, sur la sensibilisation à l’environnement de travail et au signalement des incidents ;
  • Réduire au maximum la quantité d’informations stockées sur l’appareil ;
  • Protéger les données en transit en les cryptant correctement ;
  • Adapter les plans de gestion des incidents de l’entreprise pour qu’ils prennent en compte les incidents de sécurité occasionnés par les usages nomades.

Gestion des incidents

Toutes les entreprises rencontrent des incidents de sécurité informatique à un moment donné. Pour y faire face, l’établissement d’une politique pragmatique et efficace de gestion des incidents permet ainsi d’améliorer la résilience. Elle permet, en outre de soutenir la continuité des activités, d’éviter les préjudices commerciaux, de se conformer aux exigences légales et réglementaires et de réduire les impacts.

Comment implémenter une politique de gestion des incidents efficace ?

La nature de l’activité de votre entreprise et son rôle dans son écosystème économique va déterminer le type d’incidents auxquels elle doit faire face et les impacts qu’elle pourrait ainsi subir. Ainsi, le plan de gestion des incidents fondé sur les risques sera donc différent pour une TPE, une PME, et à fortiori un groupe international.

Voici les différents points à considérer lors de son élaboration :

  • Établir une capacité d’intervention en cas d’incident ;
  • Offrir une formation spécialisée à l’équipe d’intervention ;
  • Nommer et habiliter des personnes spécifiques (ou des fournisseurs) pour gérer les incidents ;
  • Établir une capacité de récupération des données ;
  • Tester les plans de gestion des incidents ;
  • Définir les exigences en matière de rapports internes et externes ;
  • Recueillir et analyser les preuves post-incident ;
  • Effectuer un examen des leçons apprises ;
  • Sensibilisation des utilisateurs ;
  • Signaler les incidents criminels aux autorités compétentes ;

Prévention des logiciels malveillants

L’échange d’informations via les e-mails, la navigation web, l’utilisation de services web ou d’appareils mobiles de stockage des données met potentiellement vos systèmes au risque d’être confrontés ainsi à un logiciel malveillant, ou malware. Il est possible toutefois de réduire votre exposition à cette menace en déployant des contrôles de sûreté appropriés.

Comment lutter efficacement contre les logiciels malveillants ?

La lutte contre les logiciels malveillants nécessite la mise en œuvre d’une approche globale basée sur une défense en profondeur des systèmes. Voici différents éléments à incorporer dans votre plan de lutte :

  • Élaborer et mettre en œuvre des politiques de lutte contre les logiciels malveillants ;
  • Gérer l’importation et l’exportation de toutes les données ;
  • Créer une liste noire contenant les sites Web malveillants et en bloquer l’accès ;
  • Equiper tous les appareils de produits anti-virus appropriés ;
  • Adopter une architecture technique qui offre plusieurs couches défensives (pare feu, antivirus, mise à jour des logiciels, …) ;
  • Éduquer et sensibiliser les utilisateurs.

Gestion des droits des utilisateurs

Toutefois, une bonne gestion des droits des utilisateurs de vos applications informatiques permet significativement de réduire les impacts négatifs en cas de compte mal utilisé ou compromis. Ainsi, en octroyant aux personnes de votre équipe du niveau suffisant de droits pour remplir leurs fonctions, vous adoptez le principe du moindre privilège et renforcez alors votre sécurité informatique.

Comment gérer les droits des utilisateurs selon le principe du moindre privilège ?

L’implémentation d’une gestion des droits des utilisateurs selon le principe du moindre privilège nécessite le développement de normes et de processus, dont voici un aperçu :

  • Établir des processus efficaces de gestion des comptes ;
  • Établir des politiques et des normes pour l’authentification des utilisateurs et le contrôle d’accès ;
  • Limiter les privilèges des utilisateurs ;
  • Limiter le nombre et l’utilisation des comptes administrateur ;
  • Surveiller l’activité des utilisateurs ;
  • Limiter l’accès aux journaux d’activité des périphériques du réseau ;
  • Éduquer les utilisateurs et maintenir leur sensibilisation.

Surveillance des systèmes

La surveillance permanente des systèmes constitue ainsi une solution efficace pour détecter rapidement les attaques et les tentatives d’intrusion contre votre infrastructure informatique. Ainsi, vous aurez les moyens pour leur répondre de manière appropriée. Cette vigilance constante vous assure en outre l’utilisation conforme aux exigences internes, légales et réglementaires de vos appareils électroniques, de vos réseaux informatiques et de vos solutions de protection des données.

Comment déployer une surveillance efficace des systèmes ?

Une surveillance efficace s’appuie sur une stratégie détaillée ainsi qu’un ensemble de mesures de vigilance pensées pour assurer ainsi un suivi permanent des sources potentielles d’attaques, d’incidents ou de menaces. Voici les principaux éléments à prendre en compte pour vous doter d’une surveillance à même d’améliorer votre cybersécurité :

  • Établir une stratégie de surveillance et des politiques de soutien ;
  • Surveiller tous les systèmes ;
  • Surveiller le trafic réseau ;
  • Contrôler l’activité des utilisateurs ;
  • Mettre au point les systèmes de surveillance ;
  • Mettre en place une capacité centralisée de collecte et d’analyse ;
  • Fournir un chronométrage résilient et synchronisé utilisé dans toute l’organisation ;
  • Aligner les politiques de gestion des incidents ;
  • Procéder à un examen des incidents passés.

Sécurité du réseau

Les connexions de vos réseaux à Internet constituent une menace pour la cybersécurité de votre entreprise. Cependant, pour améliorer le niveau de sécurité de vos infrastructures et de vos données, il est toutefois possible de mettre en œuvre des réponses techniques et architecturales appropriées qui réduisent ainsi la probabilité d’une cyberattaque réussie tout en vous protégeant ainsi des dommages qu’elle pourrait créer.

Comment gérer la sécurité du réseau ?

La multiplication des sites, des types d’appareils et des services cloud intégrés à vos systèmes d’information révolutionnent le monde de l’informatique. Il est de moins en moins pertinent de se focaliser uniquement sur les connexions physiques. Ainsi, basée sur des principes reconnus, comme la norme ISO 27033 par exemple, votre politique de sécurité va comprendre à la fois le périmètre du réseau ainsi que l’ensemble des mesures de protection et de sécurisation des données et des informations afin de minimiser ainsi les effets néfastes d’une intrusion.

  • Gérer le périmètre du réseau, et notamment l’accès aux ports, aux protocoles et aux applications.
  • Contrôler et gérer toutes les connexions au réseau entrantes et sortantes avec des pare-feux et des solutions de vérification des logiciels malveillants.
  • Protéger le réseau interne en interdisant ainsi le routage direct entre les réseaux internes et externes, en sécurisant vos accès Wi-Fi, en surveillant le trafic réseau ou en isolant les systèmes critiques de l’entreprise pour les séparer des autres réseaux.

Contrôle de l’utilisation des supports amovibles

Les supports amovibles de données sont un vecteur identifié d’introduction de logiciels malveillants. Il peut s’agir de diffusion accidentelle ou délibérée des données sensibles d’une entreprise. Ainsi, votre politique de sécurité informatique doit apporter des réponses claires à vos équipes et aux employés de vos sous-traitants sur les conditions d’utilisation des supports amovibles.

Comment contrôler l’utilisation des supports amovibles ?

Dans des circonstances normales, votre entreprise stocke ses données et informations dans son système informatique. Toutefois, le recours aux supports amovibles ne doit donc pas constituer un mécanisme par défaut de transfert ou de stockage de l’information. Vous contribuerez ainsi à renforcer votre cybersécurité en mettant en œuvre les recommandations suivantes :

  • Élaborer et mettre en œuvre des politiques et des solutions pour contrôler ainsi l’utilisation des supports amovibles ;
  • Limiter l’utilisation de supports amovibles ;
  • Recherchez les logiciels malveillants sur tous les supports ;
  • Remettre officiellement les supports amovibles aux utilisateurs afin de les rendre responsables de leur utilisation ;
  • Crypter l’information détenue sur ces unités de stockage ;
  • Gérer activement la réutilisation et l’élimination des supports amovibles ;
  • Former  les utilisateurs et maintenir la sensibilisation.

Les backups : la règle du 3-2-1

La « règle du 3-2-1 » est une recommandation bien connue en matière de stockage de données. Elle stipule que vous devriez toujours :

  • Disposer d’au moins 3 copies des fichiers importants
  • Sur au moins 2 types différents de supports
  • Et qu’au moins l’un d’entre eux se trouve physiquement dans un autre endroit

Lorsque vous possédez au moins 3 copies d’un fichier important et que l’une d’entre elles est perdue ou endommagée, il vous est facile d’effectuer une restauration à partir de l’une des 2 autres copies. Même dans le cas peu probable où 2 copies sont endommagées, la troisième est encore en parfait état.

Le fait de ne pas avoir les trois copies sur le même support vous met à l’abri du risque que ce type de support devienne obsolète (quelqu’un se souvient des lecteurs ZIP ?). ou inaccessible.

La possession d’une copie au moins des sauvegardes dans un autre lieu (ce que nous appelons « redondance géographique ») vous protège contre le risque de catastrophe naturelle ou de vol détruisant toutes les copies du fichier. La démarche passée de ma mère consistant à envoyer par courrier des copies de photos à sa sœur fait partie de la redondance géographique. La probabilité que les deux lieux connaissent la même mésaventure est plutôt faible.

Formation et sensibilisation des utilisateurs

Vos employés jouent un rôle crucial dans la sécurité de votre organisation. Ainsi, si les utilisateurs mal formés constituent le maillon faible d’un dispositif de cybersécurité, des équipes rompues aux règles de sécurité de votre entreprise vont contribuer alors à renforcer l’efficacité des mesures de protection déployées.

Ainsi, pour assurer un niveau de sécurité optimal et maintenir leur vigilance sur la durée, il est indispensable de développer et mettre en œuvre un programme de formation et de sensibilisation à même de fournir l’expertise en matière de cybersécurité nécessaire à la réalisation de son travail tout en diffusant cependant une culture d’entreprise soucieuse de la sécurité.

Comment former et sensibiliser ses utilisateurs ?

La sécurité de votre entreprise dépend de la bonne compréhension de vos mesures de sécurité par l’ensemble des utilisateurs susceptibles ainsi d’utiliser, au quotidien ou ponctuellement, vos systèmes d’information. Ainsi, pour maintenir une vigilance optimale au fil du temps, il est crucial d’adopter une politique de formation continue. Et, s’il le faut, mettre en place des dispositifs disciplinaires clairs en cas d’abus. Voici les différents éléments à prendre en compte lors de l’élaboration de votre plan de formation continue :

  • Produire une politique de sécurité qui tient compte des différents rôles et des processus opérationnels des utilisateurs ;
  • Établir un dispositif d’intégration des nouveaux utilisateurs (y compris les employés d’entreprises tierces) ;
  • Sensibiliser les utilisateurs aux risques de sécurité auxquels l’organisation est confrontée ;
  • Soutenir l’évaluation formelle des compétences en matière de sécurité ;
  • Surveiller l’efficacité de la formation en matière de sécurité ;
  • Promouvoir une culture de signalement des incidents ;
  • Établir un processus disciplinaire officiel en cas d’abus des politiques de sécurité de l’organisation.