On entend de plus en plus parler de la cybersécurité en entreprise. Non sans raison. Les dernières années ont vu une multiplication et une aggravation des cyberattaques à leur encontre. Pas moins de 54 % des entreprises françaises ont été victimes d’une attaque en 2021.
Mais il n’est pas toujours facile de comprendre les enjeux et concepts de cette discipline restant relativement nouvelle. Voici un aperçu des principes et du fonctionnement de la cybersécurité pour les entreprises.
Si l’on reprend la définition de la cybersécurité fournie par l’ANSSI, il s’agit de la capacité d’un système d’information à faire face à des incidents pouvant compromettre ses données. En d’autres termes, il s’agit de l’ensemble des moyens et méthodes pouvant être mis en œuvre pour protéger les données d’un individu ou d’une organisation.
Là où il y a des réseaux et des données, il existe des menaces en matière de cybersécurité. Ce qui signifie qu’absolument toutes les entreprises sont concernées par les risques cyber.
L’évolution de la cybercriminalité au cours des dernières années a de quoi inquiéter. Pour donner un chiffre éloquent, l’ANSSI a vu le nombre d’attaques de type ransomware (ou rançongiciel) multiplié par… quatre entre 2019 et 2020. Qui plus est, la dématérialisation des activités liée à la pandémie a entraîné une intensification des risques de cyberattaques pour les gouvernements et les entreprises. Selon Thales, 82 % d’entre elles sont inquiètes de l’impact du télétravail sur la sécurité de leurs systèmes.
Les spécialistes de la cybersécurité recommandent aux entreprises d’adopter un certain nombre de mesures et de bons réflexes pour se protéger des menaces, minimiser les risques dont les suivantes :
Un mot de passe représente la clé d’accès à un système d’information. D’où l’importance de le protéger avec le plus grand soin. Il est conseillé de créer des mots de passe longs (14 caractères au moins), faisant intervenir plusieurs familles de caractères (chiffres, lettres minuscules, majuscules ou caractères spéciaux), et générés de manière aléatoire.
Autres bonnes pratiques : utiliser des mots de passe différents pour différents sites, utiliser un gestionnaire de mots de passe comme dashlane, et opter pour des méthodes d’authentification « fortes », requérant deux facteurs ou plus (par exemple un mot de passe plus un code envoyé par e-mail ou SMS).
Le phishing (ou « hameçonnage ») est une technique utilisée pour tromper les utilisateurs d’un système. Les cybercriminels vont par exemple contacter les collaborateurs d’une entreprise, souvent en usurpant l’identité d’une personne ou d’une entité familière à la quelle l’utilisateur ciblé fait confiance pour les inciter à communiquer des accès ou des données sensibles. Les incidents de phishing pouvant avoir de lourdes conséquences, il est essentiel de s’en protéger en sensibilisant les employés aux risques et aux parades (par exemple via des campagnes simulant des tentatives de phishing).
La surface d’attaque d’un système désigne l’ensemble des services accessibles via internet pouvant être exploités par des cybercriminels pour y accéder sans autorisation. Il est essentiel de s’assurer que tout ce qui est exposé sur internet est correctement protégé et configuré.
Mener des audits réguliers pour évaluer sa surface d’attaque, vérifier la bonne configuration des serveurs et mettre en place des mesures correctives font partie des bonnes pratiques cyber à mettre en place au sein du département IT d’une entreprise. Dans ce contexte, déployer des pare-feux peut être utile lorsqu’il est nécessaire de filtrer l’accès en amont de certains services par exemple.
Une bonne pratique pour les entreprises qui ont mis en place un réseau intranet, et dont les serveurs ne sont pas sur le cloud, réside dans la mise en place d’un VPN (réseau virtuel privé) pour réduire la surface d’attaque à un seul point d’entrée.
Si l’entreprise utilise des services dont les méthodes d’authentification ou de chiffrement ne sont pas suffisamment robustes, alors il est recommandé de mettre en place un VPN pour accéder à ces services depuis un autre réseau que celui de l’entreprise.
Un VPN permet également de centraliser les accès vers ce seul point d’entrée : il n’y a plus besoin de s’authentifier pour chaque service, il suffit de s’authentifier auprès du VPN pour avoir accès à tous les services.
Aussi, il est nécessaire de bien configurer le VPN pour éviter toute intrusion par cette unique porte d’entrée.
Quoi de plus important pour une entreprise que ses données ? Malheureusement, ces précieuses informations sont également convoitées par les cybercriminels. Pour assurer l’intégrité et la confidentialité de leurs données, il est recommandé aux entreprises de les classer par niveau de sensibilité via :
L’ANSSI a dressé une liste exhaustive des métiers de la cybersécurité, qui peuvent être regroupés en grandes catégories :
Mettre en application les bonnes pratiques exposées ci-dessus et recruter des professionnels de la cybersécurité peut aider les entreprises à réduire les risques… mais pas à les éliminer totalement. Il peut donc être judicieux de souscrire une police d’assurance dédiée à la couverture des risques cyber.
En France, la référence en matière de cybersécurité est l’ANSSI. Outre des définitions des concepts de la cybersécurité, l’ANSSI met à disposition du public un certain nombre d’études et de documents pédagogiques. Il existe par ailleurs aujourd’hui de nombreuses autres ressources comme le guide “la cybersécurité pour les nuls” que nous ne recommandons pas pour la qualité des conseils qui y sont prodigués.
Les entreprises peuvent garantir la bonne hygiène cyber de leurs systèmes et stratégies en matière de cybersécurité au moyen d’un certain nombre de normes et de certificats, français comme internationaux. Certains, comme la certification ISO/IEC 27001, portent sur la sécurité des systèmes d’information au sens large, mais d’autres certifications sont spécifiques à des secteurs d’activité ou à des sous-systèmes particuliers. Une liste détaillée est disponible sur le site de l’Afnor.
Les spécialistes de la cybersécurité sont aujourd’hui parmi les talents les plus demandés, selon PwC. Le secteur offre donc des opportunités extrêmement intéressantes aux travailleurs qualifiés. De nombreuses universités et écoles d’ingénieurs proposent des cursus de formation initiale ou continue spécialisés en cybersécurité. L’ANSSI participe à plusieurs programmes de labellisation garantissant la qualité et l’adéquation des formations.
On entend par cyberdéfense l’ensemble des moyens et stratégies déployés par les autorités militaires pour protéger les données et systèmes critiques de leurs pays des attaques informatiques. Ce ne sont donc pas que les entreprises qui sont concernées : pour l’armée, la cybersécurité est devenue un nouveau champ d’action essentiel.
Sources :