Menu principal

10.05.2015 - Entreprises

Les entreprises sont-elles assez protégées contre les cyber attaques ?

La cyber sécurité est au cœur de l'actualité et de l'évolution de la réglementation. Passée à un stade industriel, la cyber criminalité rend les entreprises particulièrement vulnérables. Méthode pour mettre en œuvre une politique de protection à peu de frais.

Mots clés : 
Imprimer cette page

L’information serait-elle devenue le pétrole du XXIe siècle exploité sans derrick ? « Une information est stratégique. La détenir avant les autres confère un vrai pouvoir d’influence et la sécuriser devient un enjeu », campe Vincent Iacolare, ingénieur conseil au sein du cabinet Synertal, qui intervenait sur l’atelier « Identifier et protéger vos données sensibles » ce 7 mai au World Trade Center, un rendez-vous que les entreprises pouvaient suivre en webinaire (cf. http://www.ccimp.com/actualite/entreprises/30687-webinaire-simpose-dans-pratique-entreprises) ou de façon physique et qui s’inscrit dans une série de dispositifs que la CCIMP a initiés pour accompagner les entreprises dans l’appropriation des usages des TIC (cf. encadré plus bas). « La sécurité du système d’information va au-delà de la protection numérique, ajoute la chargée de mission à la CCIMP, en maîtrisant l’information stratégique, l’entrepreneur averti est en capacité de profiter des opportunités de marché, d’anticiper les actions de la concurrence… ». En bref, « de limiter ses freins et d’améliorer ses performances », complète le consultant.

La sécurité des données, ce sont comme les bijoux de famille

Les participants pensaient ressortir de l’atelier avec une liste de solutions I&T. Les dirigeants et cadres sont repartis sensibilisés à l’importance (alertés sur la nécessité ?) de maîtriser leurs données et avec une méthode « simple mais assez efficace » pour cartographier le patrimoine informationnel de l’entreprise : fichiers clients, savoir-faire, secrets de fabrication, dossiers du personnel, données comptables…

Cyber attaques, cyber menaces, cyber dangers…

Croire qu’il suffit d’acheter des pare-feu, antivirus et autres équipements pour que le système d’information soit sécurisé est une erreur. « Le sujet mérite réflexion et analyse personnelle - quelles sont les données que je manipule ? Lesquelles sont sensibles ? - et il ne faut pas s'attendre à avoir juste quelques méthodes miracles toutes faites », assure Vincent Iacolare. Certes, il existe un large panel de logiciels, produits, solutions et services de sécurité, tous plus ou moins sophistiqués, mais leur seule utilisation n'assurera jamais à 100 % l'invulnérabilité du système car … l’ennemi est dans la place : « Le maillon faible reste majoritairement humain. » Les vulnérabilités sont assurément multiples : techniques (matériel, logiciel, réseaux...), organisationnelles (architectures des sites permissives, administration non sécurisée de l’exploitation…), extérieures (diffamation, dénigrement, décrédibilisation), mais elles sont aussi et surtout humaines qui font du salarié un cyber danger « inconsciemment compétent », selon l’expression de Vincent Iacolare, soit par méconnaissance de la menace et insouciance des utilisateurs. 90 % des incidents de sécurité seraient en effet d’origine humaine.

400 M$ dérobés

Selon le Forum économique mondial, plus de 400 M$ ont été dérobés en 2014 dans le monde. En 2014, selon une étude du cabinet d’audit et de conseil PwC sur la sécurité de l’information1, les cyber attaques recensées ont augmenté de 48 % dans le monde pour atteindre un nombre total de 42,8 millions, soit l'équivalent de 117 339 attaques par jour. Les incidents provoqués par les collaborateurs actuels de l’entreprise ont augmenté de 10 % en 2014, et représentent 35 % des incidents de sécurité déclarés. Et ceux attribués aux actuels et anciens fournisseurs et consultants extérieurs ont progressé respectivement de 15 et 17 %.

Attaques en hausse de 20 % en France

En France, 8e pays européen cible, les attaques étaient en hausse de 20 % en 2014, impliquant aussi les TPE et les PME. « 90 % d’entre elles ne prennent pas le temps de faire une analyse des risques », explique Ely de Travieso, membre du Club de la sécurité des systèmes d'information PACA (Clusir) et charge de la commission numérique à la CGPME 13. « Un risque s’accepte et se mesure et en fonction, on adresse des solutions et des budgets. Les surfaces d’attaques des systèmes d’information deviennent tellement larges qu’il est difficile de sécuriser totalement. Il existe toutefois quelques réflexes simples : sauvergarder via le cloud ou d’autres systèmes, mettre à jour en permanence ses antivirus et ses logiciels. De nombreux guides sont disponibles gratuitement2, et sur le site du Clusif, vous trouverez aussi des vidéos qui vous permettront de monter en compétences sur le sujet », ajoute celui qui dirige Phonesec, une entreprise spécialisée dans la maîtrise des risques. « Il n'y a pas meilleure démarche, méthode, solution, outil... que celle qui est proportionnée et adaptée. Commencez par établir une cartographie de vos actifs les plus précieux, des risques et des menaces : manque à gagner pour l’entreprise, perte financière, impact sur la notoriété, interruption de l’activité de l’entreprise, brèches aux promesses de confidentialité avec les parties prenantes (clients, fournisseurs, partenaires), endommagement de l’infrastructure...», conseille pour sa part Vincent Iacolare.

Hygiène informatique et cyber culture

« On peut améliorer la sécurité avec des règles élémentaires qui ne coûtent pas cher », poursuit-il. Enfin, à ne pas négliger : la cyber culture. Les collaborateurs étant les premiers responsables des incidents de sécurité, la sensibilisation et la formation de tous les salariés est une règle d’or. Le risque zéro n’existe pas - il ne s’agit donc pas de faire de l’entreprise une forteresse imprenable - mais de la transformer en une organisation agile, dont les systèmes de s’adaptent en permanence à l’évolution des technologies et aux typologies de risques : « L’identification des actifs est un processus permanent et le pilotage de la sécurité de l’information est un process en amélioration continue », prévient le consultant spécialisé dans les certifications.

 

1Étude mondiale de PwC, CIO et CSO réalisée en ligne entre mars et mai 2014 auprès de 9 700 entreprises de plus de 154 pays.

 2Guide de la sécurité des systèmes d'information" sur le site Internet de l'ANSSI ; Guide des bonnes pratiques de l'informatique sur le site Internet du CNRS; Sécurité de l'information au sein des cabinets d'avocats sur le site Internet du Conseil national des Barreaux; divers documents sur le site du CLUSIF

 

>> A visualiser également sur CCIMP REPLAY :

RDV CCIMP DES TIC - Protégez vos données sensibles

 

Le rendez-vous des TIC

La CCI Marseille Provence, par ailleurs organisatrice du salon TOP TIC, a initié un ensemble de prestations autour des nouvelles technologies de l’information. L’atelier sur la cyber sécurité s’inscrit dans le cadre des « rendez-vous des TIC », qui visent à accompagner l’entreprise dans l’appropriation des TIC via des ateliers de deux heures conjuguant démonstrations concrètes et conseils pratiques. 17 rendez-vous ont été programmés sur le premier semestre sur des thématiques aussi diverses que : « NFC, QR codes, Flash codes, objets connectés : 10 exemples concrets d’utilisation dans votre entreprise ! » (2 avril) ; « Quels sont les nouveaux comportements du client 2.0 en 2015 » (9 avril) ; « Gérer votre e-réputation sur Internet » (16 avril) ; « Comment produire autrement avec l’impression 3D » (30 avril) ; « Comment optimiser l’hébergement de son site web ? » (28 mai) ; « Mettez le numérique au service de votre point de vente « (4 juin) ; « Le numérique, outil de simplification administrative : quelles opportunités en 2015 pour les entreprises ? » (11 juin) ; « L’exploitation de vos données : le Big data peut révolutionner votre business ! « (25 juin) ; « Comment éviter l’usurpation de sa marque sur Internet ? « (9 juillet).

Outre ces actions collectives, il existe un autre format pour un suivi sur mesure et gratuit : le pré diagnostic personnalisé qui repose sur une analyse des pratiques et les besoins spécifiques en intelligence économique sur trois aspects : surveillance de son environnement, sécurité des informations et stratégie d'influence. Une cartographie assortie d’outils et de méthodes (voir plaquette ci-contre).

 

La France et son arsenal cyber défense

À la suite du livre blanc sur la défense et la sécurité nationale, publié en juin 2008, la France s'est dotée d'une stratégie de cyberdéfense en créant en 2009 l’ANSSI, l'Agence nationale de la sécurité des systèmes d’information, qui s’est vue conférer en mars dernier de nouveaux pouvoirs. L'agence peut désormais imposer des règles de sécurité (réaliser des contrôles, exiger un certain niveau d'équipement, obligation de communication sur les attaques subies...) aux OIV. Les opérateurs d'infrastructure vitale sont ces 218 entreprises dont la liste est secrète, et qui opèrent dans des secteurs d'activité critiques : l'énergie, les transports, la défense, les télécommunications, l'industrie, la finance...