Toute entreprise est désormais connectée à internet, contrainte de digitaliser partie ou totalité de ses processus internes et de ses interactions avec ses clients, investisseurs ou fournisseurs, et se doit de permettre, dans la mesure du possible, à ses employés de télé-travailler. Le résultat en est que le risque d’atteinte aux systèmes d’information dans le cadre d’une attaque cyber ne fait que grandir.
Tout protéger ?
Toute entreprise doit analyser quels types de données elle traite et les catégoriser suivant leur degré d’importance ou de sensibilité. Ensuite elle pourra déployer les moyens nécessaires pour les protéger au mieux et pour mitiger les risques associés.
Certaines données méritent une protection accrue, soit parce qu’elles représentent une valeur très importante, soit parce qu’elles tombent sous une obligation de secret ou de protection.
C’est le cas notamment de données confidentielles en vertu de la loi (secret médical, secret professionnel du banquier, de l’avocat, du réviseur d’entreprises, etc.)
ou en vertu d’un engagement contractuel, de données nécessaires au fonctionnement de l’entreprise, de données sensibles en raison de leur impact sur l’image ou la réputation de l’entreprise, de données représentant un avantage concurrentiel comme les données des clients, son savoir-faire ou ses secrets d’affaires. C’est également le cas des données à caractère personnel.
Tout type d’entreprise doit se donner les moyens nécessaires pour assurer la confidentialité, l’intégrité et la disponibilité de ces données à tout moment.
La prise de conscience
La première étape dans un processus de minimisation des risques est la prise de conscience de leur existence. Une sensibilisation devrait se faire tout d’abord au niveau de l’organe de gestion et du C-level pour la simple raison qu’ils sont à la fois in fine responsables pour les risques encourus par la société, et décisionnaires dans l’allocation des budgets.
Des contraintes budgétaires, un manque de compétences et la fragmentation et le manque d’intégration des solutions de sécurité sont généralement identifiés comme freins majeurs dans la sécurisation de l’information. Les entreprises ont souvent du mal à arbitrer entre leur sécurité et leurs priorités opérationnelles et commerciales.
En créant le poste de Chief Information Security Officer (CISO),
une entreprise a la possibilité de valoriser la sécurité de l’information. Un appui sur la famille de normes ISO/IEC 27000 peut également aider pour assurer la sécurité des informations sensibles.
Au-delà des procédures
Des procédures internes, y inclus de contrôle et de limitation des accès au stricte minimum requis, doivent être établies et appliquées. Il ne suffit pas de les établir une fois, il faut les appliquer, les tester et les mettre régulièrement à jour.
La principale cause de violation de données reste l’erreur humaine, comme le rappelle la CNPD dans son dernier rapport d’activités paru en 2020. Il convient de fait de surveiller d’avantage le facteur humain, en passant par une sensibilisation et une formation du personnel systématique et régulière. Ceci permet à une entreprise de convertir une menace en force.
On ne peut que conseiller à toute entreprise de contracter une assurance cyber. Au-delà de couvrir un risque, ce type d’assurance a d’autres effets bénéfiques.
Ainsi avant même la signature d’un contrat d’assurance, l’entreprise devra effectuer une analyse de la maturité de la sécurité de ses systèmes d’information et procéder à une analyse du risque lié. L’assureur va faire de même. Cet exercice critique permet déjà à l’entreprise d’identifier ce qui pourra être mis en œuvre pour diminuer ses risques et renforcer sa sécurité.
Une assurance cyber permettra également à l’assuré de bénéficier d’un panel de spécialistes en matière de communication, informatique et juridique et de leur assistance de façon immédiate en cas d’incident cyber.
Une question de préparation
Les entreprises doivent être conscientes qu’une cyberattaque d’envergure les met en situation de crise aigüe et qu’il est crucial d’être en mesure d’agir sans délai pour limiter les dégâts.
Aucune entreprise n’est à l’abri d’une telle mésaventure, mais la préparation en amont et la constitution d’une équipe multidisciplinaire composée de spécialistes en IT, communication et juridique, qui pourra se rassembler dès la survenance d’un tel incident, pourra permettre un déroulement moins chaotique des actions à prendre dans l’immédiat.
Des volets qui peuvent paraître moins importants dans un premier temps peuvent être préparés à l’avance : l’analyse des notifications ou des informations à faire aux autorités ou aux personnes concernées, la gestion de la communication avec les clients, les actions à prendre contre l’auteur sur le plan pénal, etc.
Une opportunité de plus ?
Les mesures à mettre en place en matière de cybersécurité ne doivent cependant pas uniquement être considérés comme un fardeau. Elles peuvent au contraire être une opportunité pour l’entreprise de se démarquer positivement de ses concurrents et renforcer la confiance de ses clients. Une bonne préparation aidera à maintenir cette confiance et à réduire dans la mesure du possible les dégâts tant opérationnels et financiers,
que réputationnels.