Octobre marque comme tous les ans le mois de la cybersécurité. L’occasion de se pencher sur l’évolution des cybermenaces, les succès de l’année écoulée, mais aussi les causes des échecs. En effet, de nombreux préjugés, qui perdurent au sein des entreprises, continuent d’alimenter des vulnérabilités pouvant pourtant être facilement gommées.
Il est urgent que les organisations dépassent ces a priori et se montrent proactives en matière de cybersécurité. Les données, aussi bien des employés que celles des clients, constituent les actifs d’une organisation et sont, à ce titre, clés pour assurer la pérennité des activités. Il est donc essentiel que les entreprises les sécurisent en dépassant trois idées reçues qui persistent.
Idée reçue n°1 – la cybersécurité, c’est compliqué
De même que la sécurité physique, le principe de la cyberprotection repose sur contrôler qui fait quoi à tout moment, ainsi que savoir précisément où est chaque donnée. Pour ce faire, les entreprises ont besoin d’une traçabilité complète, pour hiérarchiser la sécurisation des informations par ordre de criticité, alors que l’adoption du travail hybride du fait de la pandémie a étendu la surface d’attaque et accéléré les risques. Si gagner en visibilité et contrôle semble ardu, il existe des outils technologiques automatisés à même de remplir ces fonctions, et qui notifient en temps réel les équipes IT en cas d’activités suspectes ou de modifications inadéquates dans le système d’information. La classification automatisée des données et la surveillance de l'activité permettent de gagner un temps précieux et n'impliquent l'équipe informatique que lorsque cela est nécessaire. De plus, la cybersécurité peut être fournie en tant que service via un partenaire dédié, lorsque l'organisation ne dispose pas de suffisamment de ressources internes pour assurer la protection de son environnement informatique.
Idée reçue n°2 – la menace vient de l’extérieur
Traditionnellement, les organisations sont principalement préoccupées par les acteurs externes, tels que les cybercriminels, mais les risques associés à leurs propres employés doivent également être pris en considération. Les comptes à privilèges – c’est-à-dire ceux possédant des droits d’accès élevés – sont particulièrement visés par les cybercriminels. Si la menace vient alors de l’extérieur, sa mise en œuvre est permise par des pratiques en interne. En effet, des organisations ont adopté la stratégie du moindre privilège, en accordant le moins de droits possible aux employés, afin que ces derniers ne puissent atteindre que les données nécessaires à la réalisation de leurs tâches. Cependant, cette limitation des droits n’est pas une barrière efficace contre les cybercriminels si les accès sont accordés de façon permanente. Il est ainsi conseillé d’adopter une politique plutôt du « juste-à-temps », soit d’octroyer des droits temporaires à chaque demande d’accès ; de sorte que si un cybercriminel compromet un compte utilisateur, il se retrouvera bloqué et ne pourra donner suite à ses activités suspicieuses car les droits d’accès ne lui seront alors pas accordés.
Idée reçue n°3 – Mes informations n’intéressent pas les criminels
Encore aujourd’hui, des organisations se pensent à l’abri des hackers, en particulier les PME persuadées que les cybercriminels recherchent en priorité des données liées notamment à la propriété intellectuelle, telles que les brevets. Or, toute information personnelle sur les employés et les clients est monnayable sur le Dark Net, et représente donc une cible pour les attaquants. Ces derniers n’ont en outre aucune éthique et n’hésitent pas à viser des organisations de santé, comme les hôpitaux, quitte à mettre la vie de patients en danger.
Alors que les cyberattaques s’intensifient, les entreprises qui ne prennent pas mesure du danger et ne s’arment pas en conséquence risquent de prendre un retard, qui sera ensuite difficile de rattraper. L’enjeu est pourtant de taille, car une protection des données innovantes, qui s’adapte à l’évolution du paysage des menaces, est nécessaire pour parer toute tentative de compromission, mais aussi pour gagner la confiance de l’ensemble de son écosystème.