Le cyber-terrorisme, c’est bon pour les multinationales dont les noms font régulièrement la Une des journaux ! Si c’est ce que vous pensez, il est plus que temps de revoir votre copie : les cyber-risques affectent désormais les structures de toute taille. Le nombre de cyberattaques a progressé de 51 % en France en 20151 et elles pourraient être à l’origine de 2 000 milliards de $ de pertes d’ici à 20202.
Le cyber-risque – l’ingérence d’un pirate informatique dans le SI de votre entreprise – est devenu un problème global. Tous les postes et départements de votre organisation sont susceptibles d’être touchés par un acte de cyber-terrorisme. Parce qu’il est essentiel de comprendre la menace pour parvenir à mieux l’appréhender, voici les 3 étapes à suivre pour la mise en place d’une stratégie de cyber-risk management.
Étape n° 1 : considérer l’entreprise par le prisme de la cybersécurité
Au sein de l’entreprise, la multiplication des supports et la connexion quasi-perpétuelle des utilisateurs rebattent les cartes de la sécurisation digitale. Plus il existe de portes d’entrée vers le système informatique interne et d’interconnexions, plus le risque de failles est élevé.
Ces cyber-risques sont liés à la fois aux personnes (usurpation d’identité ou vol de données par le biais d’appels téléphoniques, de SMS ou d’emails) et aux infrastructures informatiques (un simple cheval de Troie ou une backdoor permettent à un pirate de pénétrer dans le SI).
La solution ? Prendre pleinement en compte ces risques. Et mener régulièrement des audits de sécurité dans le but de contrôler la solidité de vos protections numériques, en simulant des attaques venues de l’extérieur pour mieux déterminer les points faibles de votre muraille digitale.
Témoignage d’expert : Les nouveaux enjeux de la cybersécurité en entreprise.
Étape n° 2 : sensibiliser les collaborateurs
Prévenir les cyber-risques n’est pas qu’une affaire d’IT : un commercial ou un responsable RH peuvent être touchés aussi bien qu’un technicien. Raison de plus pour sensibiliser l’ensemble des collaborateurs à la problématique de la sécurisation des données.
L’humain est au cœur des failles informatiques. Parce que le « risque zéro » est un mythe, les plus efficaces des contre-mesures se heurteront toujours aux brèches invisibles du système et à l’inventivité d’un black hat. La meilleure protection reste donc la vigilance individuelle : éviter de se faire usurper son identité en ne cliquant pas sur un email frauduleux, être au fait des risques qui découlent de l’installation d’un logiciel, etc.
À lire aussi : Sécurité et traçabilité, paramètres fondamentaux pour un ERP.
Étape n° 3 : ne pas oublier vos fournisseurs de service !
Votre audit de sécurité aura beau être parfaitement mené, vos collaborateurs bien sensibilisés, votre ERP choisi avec soin, si vous avez négligé de contrôler la sécurité de vos fournisseurs de service, votre entreprise n’est pas à l’abri d’une faille majeure. Ils arrivent que de grands groupes donne accès à leur SI à des prestataires n’ayant mis en place aucune stratégie permettant d’assurer leur propre cybersécurité !
Pensez à établir des clauses d’auditabilité dans les contrats avec vos fournisseurs de service et à leur demander des garanties. Vous pouvez même leur imposer certaines de vos best practices.
À lire aussi : Les 3 points à négocier avec votre éditeur / intégrateur avant la signature de votre contrat ERP.
Suivre ces quelques conseils ne garantit toutefois pas que votre SI et votre ERP soient totalement cyberproof. Si un intrus vient à pénétrer dans votre réseau d’entreprise, rien ne l’empêchera de dénicher les codes d’accès à votre outil de gestion ! Un logiciel fiable, protégé contre les cyber-risques, doit donc nécessairement être adossé à un réseau sécurisé.
1 Aubert, Adrien, « Le marché de la cyber-assurance : risqué pour les assureurs ? », 28 mars 2017, Les Echos.