Actuellement, selon le Journal du Net, une cyber-intrusion a lieu toutes les 5 minutes, alors que 67 % des entreprises ne sont pas en mesure d’arrêter une attaque ciblée.

Un certain nombre d’entreprises ne sont apparemment pas conscientes des dangers et continuent d’envisager leur SI essentiellement en termes de performance et de disponibilité, oubliant que la sécurité pose un vrai risque en termes d’image, de réputation et de fuite de données.

Quels sont les risques et comment protéger son entreprise et ses données ?

Sécurité des SI : les risques sont réels !

Depuis 2006, près de 75 % des attaques sur Internet utilisent des failles de sécurité dans les systèmes applicatifs. Alors que les atteintes à la sécurité des données se multiplient, les états légifèrent pour contraindre les entreprises de sécuriser leur SI tout en apportant leur soutien à la lutte contre la cybercriminalité:

  • le projet de règlement européen accentue la protection des données à caractère personnel,
  • le projet de loi de programmation militaire vise à assurer la protection de l’état et des opérateurs d’importance vitale (OIV)
  • la loi sur le secret des affaires cherche à protéger les entreprises en cas d’atteinte à leur SI.

De son côté, la nouvelle réglementation informatique et liberté va exiger que les entreprises révèlent les failles de leur système de sécurité ayant entraîné des atteintes aux données personnelles.

Les entreprises ont donc intérêt à mettre en place le processus de notification des incidents le plus rapidement possible. Le projet de règlement européen n’est pas encore adopté, mais il le sera de toutes façonstoute façon. Autant s’y préparer, d’autant que cette procédure joue un rôle dans la mise en place d’un système de sécurité fiable.

Comment se protéger

Dans les grandes entreprises, les directions générales sont conscientes des risques, mais elles ont parfois du mal à convaincre les directions métiers qui vivent encore la sécurité comme une contrainte. Or, il faut savoir que plus un SI est complexe, plus il est difficile de le sécuriser.

Pour améliorer la protection des données informatiques, on recommande de travailler sur ces axes prioritaires :

Définir une stratégie de gestion des données

Il faut impliquer la direction générale, car cette stratégie concerne toutes les strates de l’entreprise. Cela signifie non seulement de prendre conscience de la valeur des données, mais aussi de savoir où sont les informations, les stockages, les archives, tout en optimisant le processus de traitement et d’archivage.

Sensibiliser les collaborateurs

Rien n’est possible si les salariés ne sont pas impliqués. Et il peut être vraiment utile de mettre en place une véritable politique de contrôle pour favoriser cette sensibilisation.

Classer les données

Ici, il s’agit d’identifier les données les plus sensibles (données clients, salariés, stratégiques, liées à la propriété intellectuelle) à protéger au maximum, idéalement en faisant un état des lieux avec un spécialiste.

Faire un audit régulier du SI.

Au minimum une fois par trimestre, l’entreprise doit
● vérifier la typologie et la quantité de données,
● vérifier la sécurisation des login et mots de passe,
● vérifier les accès à distance
● adapter la politique de sécurité aux nouvelles menaces

Il convient d’associer une protection ciblée à une détection élargie, puisque les menaces sont de plus en plus diversifiées. Par exemple, en instaurant des îlots sécurisés dans le SI, en améliorant la surveillance du SI ou encore le stockage des journaux de connexion et les flux réseaux.
Prévenir les risques

Les attaques contre les PME explosent depuis 2012 (elles représentent un tiers des attaques totales). Les secteurs les plus touchés aujourd’hui sont le commerce de détail traditionnel (Grandes et Moyennes Surfaces), le e-commerce, la santé, l’hôtellerie et les transports.

Adopter les logiciels adaptés

Des éditeurs se sont spécialisés sur la protection face à ce type de menaces. Les plus intéressants permettent d’analyser les requêtes à destination des ordinateurs comme des serveurs, afin d’étudier leur contenu et leur comportement. En combinant différents outils, il est possible d’assurer une sécurité à plus de 95 % de l’infrastructure SI.

S’assurer !

Prendre une assurance peut s’avérer fort utile. Cela coûte en moyenne 3 % à 5 % du budget de sécurité IT d’une entreprise. En cas d’attaque, si l’entreprise a souscrit une assurance adaptée, les experts IT, les avocats et les agences de communication partenaires sont mobilisés immédiatement, aux frais de l’assureur, pour mettre en place la réponse appropriée.

Ainsi, la « cyber sécurité » sera vraisemblablement une véritable problématique pour les DSI en 2014dans les années à venir. Avec des menaces de plus en plus répétées et ciblées, les entreprises se doivent d’être prêtes afin de prévenir tout risque d’intrusion ou de perte d’intégrité de leurs données. Et contrairement aux idées reçues, toutes les entreprises peuvent être concernées !

Il est donc important de disposer des ressources, notamment humaines, afin de mettre en place des dispositifs de sécurité adéquats. A défaut, pour les PME et les TPE, l’externalisation de la gestion informatique, ou plus simplement, des problématique de sécurité informatique est un des moyens les plus simples et pratiques pour bénéficier de compétences fiables et expertes dans ce domaine ainsi que d’une politique de protection adaptée aux enjeux de la sécurité des données.

 

Dernière mise à jour le 29 décembre 2018