Cybersécurité et big data : les conseils pour y voir plus clair

Devant l’ampleur des cyber-attaques, les acteurs de la cybersécurité, publics et privés, conseillent aux organisations de revoir leur approche de la protection des données, en combattant notamment les failles comportementales.

Régulièrement et de plus en plus, les médias se font l’écho de cyberattaques d’ampleur inégalées… affichant des pertes pour les entreprises qui se chiffrent en centaines de millions de dollars. En octobre dernier, par exemple, lors de la publication de ses résultats trimestriels, l’américain Merck a précisé que les dérangements consécutifs à l’attaque du malware NotPetya de juin 2017 lui avaient coûté 310 millions de dollars.

Le laboratoire pharmaceutique n’est pas la seule victime : l’armateur danois Maersk, l’industriel français Saint-Gobain, le transporteur américain Fedex… ont chacun fait des annonces allant dans le même sens. A ce sujet, la Direction générale de la Sécurité intérieure (DGSI), comme l’Agence nationale de la Sécurité des Systèmes d’information (Anssi), ne manque jamais de rappeler qu’une des causes du fort impact de ces attaques, reste… le faible niveau de maturité des entreprises pour s’en prémunir. C’est pourquoi il est important pour les PME / TPE de s’y intéresser et de comprendre l’enjeu derrière la cybersécurité.

Certes, l’aspect technique, avec la mise en place de protections sur le système informatique (SI) de l’entreprise est majeur, mais tout autant que la sensibilisation des ressources humaines pour réduire le risque. Le manque de formation et/ou d’attention des salariés, à tous les niveaux de l’entreprise, y compris chez ses partenaires (fournisseurs, sous-traitants…), font partie des grosses failles dans lesquelles les  » hackers  » n’hésitent pas à s’engouffrer.  La solution est donc de tout faire pour retarder ou interrompre l’attaquant. Il faut donc lui complexifier la tâche en multipliant les approches avec quelques règles de bons sens.

Renseignez-vous auprès des organismes compétents

guide d'hygiène informatique cybersécurité

Les professionnels de la sécurité dans votre entreprise connaissent-ils les règles les plus simples de la sécurité informatique ? Elles sont qualifiées par l’Anssi d’hygiène informatique car elles sont la transposition dans le monde numérique de règles élémentaires de sécurité sanitaire… Non exhaustives, les 42 mesures recensées dans ce guide représentent le socle minimum à respecter pour protéger les informations de votre organisation et interagir avec plus de tranquillité avec vos partenaires et clients.

De plus, des sociétés ou organismes indépendants peuvent vous apporter des solutions et des conseils pour mettre en place de vrais plans de sécurité informatique dans votre entreprise. C’est aussi eux, comme le CNIL (La Commission nationale de l’informatique et des libertés de France) qui sont référents en matière de données personnelles (pour rappel, la RGPD arrive en Europe le 25 mai !). N’hésitez pas à les contacter ou à fouiller sur leurs sites internet respectifs : ils sont bourrés d’informations et de fiches pratiques.

 

Sensibilisez vos collaborateurs au sujet de la cybersécurité

Qui n’a jamais reçu un email à première vue inoffensif, mais qui devient très malveillant dès que l’utilisateur clique sur un lien, télécharge une pièce jointe ou saisit des informations sur une fausse page d’accueil… Il existe aujourd’hui de nombreuses plates-formes, souvent ludiques (jeux, quiz), qui permettent, d’une part, de mesurer le niveau de connaissance de vos collaborateurs en matière de sécurité informatique et, d’autre part, de les sensibiliser aux cyber-risques encourus afin de les faire progresser. L’objectif de ces outils n’est pas de désigner les  » mauvais  » élèves en la matière. Mais bien de mettre l’utilisateur dans des situations du quotidien pour augmenter sa vigilance et ainsi diminuer les risques.

Par ailleurs, des règles simples de comportement permettent de déjouer de nombreuses attaques. Par exemple, le  » Passeport de conseils aux voyageurs  » de l’Anssi, même s’il date un peu, donne quelques conseils à suivre lors de déplacements pour réduire les risques liés au nomadisme des données et des équipements notamment.

Contrôlez les accès Internet de l’entreprise

Chaque point d’accès Internet de l’entreprise, qu’il soit au siège ou ailleurs, est une éventuelle porte d’entrée que va emprunter un pirate pour accéder au SI de l’entreprise. Pour autant, difficile d’interdire aux salariés de surfer sur internet. C’est pourquoi il faut absolument expliquer aux employés les enjeux de la sécurité informatique, d’autant plus si ils pratiquent le télé-travail ou si ils se déplacent souvent en extérieur.

Juridiquement, c’est à l’employeur de filtrer les sites liés au piratage d’applications, aux échanges de liens de téléchargement illicites ou des sites pornographiques. De même, contrôler les accès Wi-Fi doit faire partie de la politique de sécurité informatique de l’entreprise.

Formez spécifiquement votre personnel à la sécurité

my mooc cybersécurité formation

Des organismes d’e-learning comme My Mooc peuvent proposer des formations spécifiques à la cybersécurité.

Pour autant, la communication écrite seule est rarement efficace. L’utilisateur n’a pas toujours le temps de lire et de s’approprier tous ces documents. Et, par la suite, avec le temps, il oubliera les consignes… C’est pourquoi il est préférable de mettre régulièrement en place des formations obligatoires, qui expliqueront aux collaborateurs la raison d’être des règles prévues et qui leur permettront d’assimiler et de partager les recommandations.

Cela peut concerner la gestion des mots de passe, l’utilisation réfléchie des réseaux sociaux, l’identification d’un mail de phishing ou d’un faux ordre de virement (ou arnaque au président). Car, il faut le rappeler : selon l’Office Central pour la Répression de la Grande Délinquance Financière (OCRGDF), ces cyber-arnaques totalisent, en France, un préjudice de 485 millions d’euros depuis 2010.

Pour vos collaborateurs, il peut s’agir d’une formation en présentiel faite par des experts du métier, ou d’une formation en ligne (e-learning). Vous pouvez également vous orienter vers le serious gaming comme le propose aux entreprises la CCI Normandie pour aborder la sécurisation des données, la veille ou la stratégie d’influence.


Supplément partenaire réalisé et animé par American Express. La rédaction des Echos n'a pas participé à sa réalisation.

Inspirez-vous. Informez-vous


Ne manquez rien
de l'actualité business !

Recevez une fois par mois la newsletter InstinctBusiness.

Conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations vous concernant. Pour exercer ce droit, contactez : American Express Carte France, GCP, 4 rue Louis Blériot, 92561 RUEIL MALMAISON Cedex. Données collectées à des fins commerciales.