Se protéger des cyberattaques : huit réflexes à adopter d’urgence

Face aux risques, aucune société ne devrait faire l’impasse sur les mesures de protection. Malgré tout, la sécurité absolue n’existe pas. Tout chef d’entreprise devrait aussi prévoir les conséquences d’une attaque réussie et comment s’en relever.

Recenser son patrimoine numérique

Définir une politique de protection de son système d’information devrait constituer une priorité pour tout chef d’entreprise. Et pourtant, en France, environ une entreprise sur deux n’a toujours pas défini de politique de cybersécurité. Et une sur quatre considère même qu’elle ne court aucun risque cyber, selon un sondage réalisé en 2022 par Ipsos pour Cisco.

La première mesure de sécurité consiste donc à connaître l’intégralité de son parc informatique, constitué des ordinateurs, de l’ensemble des périphériques, de tous les logiciels utilisés, mais aussi des différentes catégories d’utilisateurs et de leurs moyens d’accès, selon les recommandations de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Il faut également recenser tous les points de contact entre le système d’information et Internet.

Définir ses données essentielles

Connaître son « patrimoine informationnel » passe obligatoirement par une revue détaillée des données. « Quelles sont celles qui sont susceptibles d’affecter ou d’interrompre l’activité en cas de perte ou d’altération ? Quelles sont les données soumises à des obligations légales ? Y a-t-il un fichier clients ? Où sont conservées les données, par exemple la comptabilité ? », énumère l’Anssi.

« Il faut identifier les données sensibles dont la fuite, l’altération, la suppression ou l’utilisation frauduleuse seraient le plus préjudiciables à l’entreprise », insiste Alain Bouillé, délégué général du Club des experts de la sécurité de l’information et du numérique (Cesin).

Evaluer son niveau de vulnérabilité

« Mon entreprise peut-elle constituer une cible ? En quoi mon activité peut-elle intéresser des hackers, voire des concurrents ou des hackers ? Tout chef d’entreprise devrait à un moment se poser ces questions. N’a-t-on pas vu des entreprises être attaquées à la veille d’un rachat pour faire baisser la valeur ? » rappelle Alain Bouillé.

L’environnement, et notamment l’écosystème de sous-traitance, peut aussi constituer un facteur de risque, insiste l’expert en cybersécurité. « J’ai en mémoire une entreprise du monde de la finance qui avait 50.000 fournisseurs. Cela constitue une fragilité puisque l’on sait que les trois quarts des attaques n’arrivent pas en ligne directe. »

Sensibiliser en interne

« La sensibilisation des utilisateurs est indispensable et doit être répétée en permanence, car cela permet de limiter les risques. Toutefois, il ne faut pas imaginer que l’on puisse se mettre complètement à l’abri, car les attaques augmentent en nombre et en sophistication », prévient Alain Bouillé.

Face aux attaques sur Internet, « facilitées par l’utilisation de mots de passe trop simples », insiste toutefois l’Anssi, les entreprises peuvent aussi avoir intérêt à implémenter des mécanismes d’authentification multifacteurs. Ceux-ci associent un mot de passe avec la confirmation par un code transmis par un autre mode de connexion.

S’entraîner à la crise

« La question pour un chef n’est pas de savoir si son entreprise va être cyberattaquée, mais plutôt quand. Il faut donc s’y préparer en rejouant régulièrement des scénarios de crise. Comme la perte de contrôle d’un datacenter et l’obligation de redémarrer le système d’information à partir de données sauvegardées. Cet exercice permet notamment de s’assurer que les systèmes de sauvegarde des logiciels et des données fonctionnent correctement », explique Alain Bouillé. Pour les PME ou les ETI, c’est aussi l’occasion d’identifier au préalable les prestataires susceptibles de les accompagner en cas de sinistre.

Souscrire une couverture d’assurance

Les sociétés d’assurance proposent des clauses ou des contrats spécifiques couvrant les risques liés à la cybermalveillance. « Toutes les entreprises sont couvertes pour l’incendie et cela devrait être la même chose pour le risque cyber même si le dialogue est encore parfois difficile avec les assureurs. Le sujet est complexe, assez récent, parfois mal appréhendé par les assureurs et l’on ne peut de toute façon pas tout assurer », analyse Alain Bouillé. L’Anssi recommande en tout cas que « les risques les plus redoutés pour la pérennité de l’entreprise soient couverts. »

Anticiper l’après-crise

Une cyberattaque peut avoir des conséquences juridiques importantes si des données à caractère personnel sont dérobées. « Aux Etats-Unis, après une cyberattaque, les entreprises subissent souvent une deuxième salve juridique à cause de plaintes liées à la divulgation de données ou à la perte de service », précise Alain Bouillé.

Recruter un RSSI

Il est indispensable de trouver l’équilibre entre la sécurité et la circulation de l’information. « Choisir un Responsable de la sécurité des systèmes d’information (RSSI) s’apparente à la recherche d’un mouton à cinq pattes. Ce responsable doit en effet posséder un bon niveau technique tout en étant capable de bien communiquer sur sa politique de sécurité. Et ce, par temps calme mais aussi si la tempête se lève », explique Alain Bouillé. À défaut, le directeur des systèmes d’information doit s’entourer d’une ou plusieurs personnes spécifiquement sensibilisées aux cybermenaces.

Source Les Echos Frank Niedercorn

top