En matière de sécurité informatique, il est constamment nécessaire de se remettre en question. Si certaines entreprises, notamment les TPE et les PME, se sentent moins concernées que les grandes entreprises par les problématiques de sécurité, elles sont pourtant de plus en plus la cible des cyber-criminels, des piratages et des attaques.

Voici quelques chiffres qui démontrent l’ampleur du problème :

  • 8 fois sur 10, l’entreprise piratée ne le sait pas (Zdnet)
  • 95 % des grandes entreprises sont ciblées par des trafics malveillants (Journaldunet)
  • 85 % des entreprises sont affectées par des extensions malicieuses contenues dans leurs navigateurs (Journaldunet)
  • dans 38% des cas de piratage, quelques secondes suffisent aux attaquants pour compromettre un système. (Verizon)
  • entre 2014 et 2015, les atteintes à la sécurité des entreprises ont augmenté de 37 % et les cas d’usurpation de propriété intellectuelle de 56 % (PWC)

Les facteurs aggravants :

  • l’informatique fait désormais partie du cœur de gestion de la majorité des entreprises
  • les applications de gestion ou les applications métier couramment utilisées sont de plus en plus sophistiquées et communicantes
  • les entreprises mettent de plus en plus en place des processus informatiques automatiques
  • les budgets des DSI se rationalisent, ne laissant que peu de poids aux paramètres sécurité

Cette liste est bien entendue loin d’être exhaustive, et les attaques envers les entreprises, mais également envers les organisations publiques, ne cessent de progresser.
Tandis que les PME et les TPE sont soumises aux mêmes problématiques de sécurité que les grandes entreprises, et qu’elles doivent protéger l’intégrité de leur données, la sécurité de leur système d’information, celle de leur site Internet ou encore, celle de leurs transactions électroniques, elles sont pourtant réticentes à se lancer dans le chantier de la sécurité informatique.

Les risques que cela entraîne :

  • les entreprises sont ainsi plus fortement exposées au risque de vol de données ou d’actes malveillants
  • les automatismes mis en place au sein des systèmes d’information peuvent entraîner des réactions en chaîne difficiles à maîtriser
  • les entreprises ne découvrent généralement l’importance des problématiques de sécurité qu’une fois l’incident survenu

Comment prévenir les incidents et les attaques ?

1. Téléchargez le guide des bonnes pratiques de sécurité informatique sur le site de l’ANSSI

Afin de protéger les TPE et les PME et d’éveiller leur intérêt sur ces thématiques, différentes instances, comme l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, ou la CGPME, la Confédération Générale des Petites et Moyennes Entreprises, publient régulièrement des études ou des ressources à vocation pédagogique et informative.
C’est le cas du guide des bonnes pratiques de l’informatique qui recense 12 règles essentielles pour sécuriser des équipements informatiques des PME, et qui est disponible en téléchargement sur le site de l’ANSSI.
Être informé et mettre en place ces recommandations au sein de votre entreprise est un excellent moyen de travailler à l’amélioration de votre politique de sécurité.

2.Effectuez un audit de sécurité informatique

Une autre bonne pratique, recommandée également par l’ANSSI, c’est la mise en place d’audits de sécurité et de tests de pénétration.
Le problème, c’est que les entreprises attendent généralement d’avoir été victime d’un incident pour décider de mieux connaître et maîtriser leur système d’information en utilisant le recours à l’audit informatique.

L’audit de sécurité informatique consiste à effectuer les actions suivante :

  • définir précisément le périmètre du système d’information concerné par l’audit de sécurité
  • établir le descriptif des relations (points d’entrée et de sortie, flux) du système d’information avec l’extérieur
  • faire le bilan des menaces et des incidents potentiels
  • faire le bilan des menaces et des incidents avérés, les dégâts subis et le degré de dommageabilité
  • évaluer les moyens de protection mis en place pour assurer la sécurité du système d’information
  • évaluer les rôles et les tâches des différents acteurs en charge de la sécurité du système d’information
  • proposer des moyens de détection ou de neutralisation des attaques et des menaces
  • définir des objectifs de sécurité à atteindre

De cette façon, l’audit de sécurité informatique devra être intégré à l’intérieur d’une politique de sécurité globale de l’entreprise, et doit tout à la fois concerner l’informatique de l’entreprise mais aussi toute la partie données et informationnelle.

3. Sensibilisez et formez vos collaborateurs

Enfin une bonne pratique sera d’intégrer les collaborateurs à ces démarches, et ce d’autant que le facteur humain est l’une des plus grandes menaces pour la sécurité informatique, en particulier à cause des erreurs et de la méconnaissance des problématiques de sécurité.

Il existe encore de nombreux employés qui cliquent ingénument sur les liens reçus dans leurs e-mails car ils ne connaissent pas véritablement ce qu’est le “phishing” ou hameçonnage.
Ce type d’attaque ne fait qu’augmenter et concerne aujourd’hui de plus en plus d’entreprises. Ces attaques ont pour but de récolter des informations sur les employés, des coordonnées bancaires ou encore des identifiants de connexion.

L’utilisation de services en mode “Shadow IT”, les nouvelles pratiques de gestion des appareils mobiles et des appareils personnels, avec notamment le phénomène du BYOD, la multiplication des accès et des mots de passe, tout ceci converge vers la nécessité de comportements et d’usages plus responsables et plus prudents de la part des employés, sous peine de voir caduque la politique de sécurité informatique de l’entreprise.
Pour former ses employés, il est possible de mettre en place une charte informatique, de conduire des campagnes de communication, voire même de proposer des formations en interne. Ce type d’initiative représente un investissement et permet une réduction des coût long terme. Il s’agit tout autant d’une démarche préventive que d’un moyen de réduire les dégâts en cas d’incident.

 

Ainsi, nous venons de voir plusieurs solutions pratiques pour atténuer les risques informatiques en entreprise, que l’on soit une TPE ou une PME. Car ce n’est pas parce que l’on dispose de moyens limités qu’il n’est pas possible de suivre les recommandations des grandes instances, telles que celles de l’ANSSI, applicables à tous types de structures.

De plus, des démarches qui peuvent sembler accessoires, telles que la mise en place de formation à la sécurité informatique pour ses propres salariés, peuvent s’avérer beaucoup plus efficace qu’on ne le pense, dans la mesure où les employés sont, volontairement ou malgré eux, la première porte d’entrée des effractions et des menaces informatiques.

Enfin, il faut aussi penser à envisager l’audit de sécurité informatique non plus comme une solution de secours lorsque les problèmes se sont déclarés, mais comme un moyen de maîtriser parfaitement l’ensemble de son système et de définir les bases des bonnes pratiques et de la politique de sécurité informatique de l’entreprise. C’est aussi le moyen pour ces structures de confier à un tiers, professionnel et compétent, la sécurité de son système d’information lorsque l’on ne souhaite pas disposer en interne d’un service et de personnel dédié à cet effet.