Actualités

Cybersécurité : ça veut dire quoi ?

Cybersécurité : ça veut dire quoi ?

La cybersécurité devient un mot-clef qui fait peur. La faute aux attaques qui paralysent des entreprises, des hôpitaux, des services publics ? Certainement.Et aussi parce que pour beaucoup d'entre nous, c'est une notion floue et donc anxiogène. Clarifions ensemble de quoi il s'agit pour sortir de l'ambiguïté, et pas à nos dépens.

L'ennemi : la Cybercriminalité

Le numérique devenant clef de voûte de notre économie, il attire de nouvelles formes de criminalités. Pas de surprise, l'humanité reste fidèle à elle-même : là où des vols et traffics sont possibles, une mafia se développe pour les industrialiser. C'est une industrie créative ! Voyons :

• Prise en otage des données : appelé ransomware (ou rançongiciel), un logiciel se répand sur les ordinateurs de l'organisation cible et rend tous les fichiers illisibles. Pour les récupérer, il faut payer une rançon aux malfaiteurs.

• Vol de données : quand vous perdez des données, le malfaiteur peut les revendre à votre insu (informations bancaires, carte bleue, etc.), faire du chantage auprès de vous pour ne pas les diffuser, ou bien justement les publier et vous causer du tort. La sensibilité des informations est évidemment une part importante de l'impact sur votre organisation.

• Prise de contrôle d'infrastructure informatique : si vos moyens informatiques sont détournés (ordinateur, email, téléphone, compte sur un service connu, etc.), ils peuvent être utilisés pour mener des attaques au bénéfice des malfaiteurs, ou pour leur rapporter des crypto-monnaies (utilisation de la puissance de calcul).

• Prise de contrôle de votre site web : votre site peut être rendu inutilisable (toujours contre une rançon pour le rétablir), ou un code malveillant peut être inséré pour arnaquer vos clients qui s'y connecteraient.

• Arnaque à l'ancienne... mais efficace grâce au numérique : si des documents fuitent de chez vous ou de chez un de vos fournisseurs (facture, proposition commerciale, etc.), les informations peuvent être utilisées pour monter des arnaques très crédibles. Ou bien si quelqu'un sait envoyer un email depuis votre boîte, il peut demander un virement bancaire express en usurpant votre identité.

Si vous pensez à d'autres moyens de détourner vos outils numériques... soyez sûr que des malfaiteurs y ont pensé aussi.

L'antidote : la protection de votre monde numérique

Pour autant, il ne faut pas céder à la panique ou au fatalisme. Si les attaquants sont nombreux et plus ou moins sophistiqués, les moyens de se protéger de la majorité des menaces existe et est à la portée de toute organisation.Il ne faut pas céder à la panique ou au fatalisme

Pourquoi le monde cyber serait-il si particulier ?

La différence majeure avec les modèles de risque que nous avons chacun l'habitude de traiter dans notre vie quotidienne, c'est la dématérialisation. On comprend bien comment un cambrioleur vous déroberait un objet, et donc les moyens de s'en prémunir apparaissent évidents.

Le monde cyber présente trois caractéristiques qui le rendent plus difficile à maîtriser :

• Immatériel : on a du mal à voir les chemins d'attaques car ils ne sont pas matérialisés

• Effet domino : un élément apparemment inoffensif comme une imprimante ou un grille-pain connecté peut se révéler être le cheval de troie qui permet une attaque majeure sur votre installation

• Nombre des attaquants : la plupart des attaques qui circulent sont automatisées et menées par des robots. Cela augmente considérablement la chance pour chacun d'être à un moment la cible d'un tel robot qui passe sa journée à tenter de s'infiltrer partout.

S'organiser et répondreFace à une criminalité organisée, il est illusoire d'espérer passer entre les gouttes sans être soi-même organisé.

Face à une criminalité organisée, il est illusoire d'espérer passer entre les gouttes sans être soi-même organisé. C'est pourquoi pour se protéger, chaque organisation doit établir sa propre politique de cybersécurité adaptée aux personnes, aux outils et à l'environnement dans lequel elle évolue. Cela passe par quelques figures imposées :

1. Établir un inventaire de tous les périphériques numériques utilisés, leurs connexions, leur configuration

2. Avoir une vision des services numériques essentiels aux activités, et protéger l'accès à ceux qui sont particulièrement stratégiques ou pourraient constituer le départ d'une réaction en chaîne

3. Procéder à une évaluation des risques business liés à l'usage de ces outils et services, pour anticiper les actions d'amélioration continue et les prioriser

4. Éduquer et sensibiliser les personnes pour éviter qu'elles ne soient par inadvertance la porte d'entrée numérique d'un malfaiteur

Avec ces éléments, un plan de sécurisation peut être mis en place et suivi de manière continue au sein de la structure.La clef d'un bon plan de sécurisationLa sécurité, qu'elle soit physique ou cyber, c'est un arbitrage permanent entre risque acceptable ou non.N'essayez pas de toute faire tout de suite.

Priorisez vos combats. Ne mettez pas le seuil d'acceptation du risque à 0, la tâche de sécurisation paraîtrait automatiquement titanesque.

Favorisez au contraire une approche mesurée, itérative et graduelle qui donne des effets visibles dès le départ sur les principaux risques métier identifiés.

Vous aurez ainsi des améliorations palpables et immédiates. Les équipes adhéreront d'autant plus au projet et comprendront qu'elles ont un rôle à y jouer, comme dans tout projet d'amélioration continue somme toute !

Qontrol : votre meilleur guide personnalisé vers la cybersécurité

Qontrol est un service à destination des Startups & PME pour qu'elles établissent simplement leur propre plan de cybersécurité personnalisé, et le mettent en place progressivement. ‍ En suivant ces principes d'un cheminement serein vers une posture maîtrisée des risques numériques, la plateforme en ligne Qontrol s'adresse à chaque personne dans l'organisation. Elle comprend les usages et outils que chacun utilise, pour personnaliser les recommandations au plus proche du quotidien de chacun.

Elle conseille aux décisionnaires les moyens de sécurisation les plus légers, les plus réalistes, et les plus adaptés à la culture de l'organisation.

Rome ne se construit pas en un jour : la plateforme accompagne chacun dans la mise en oeuvre des mesures à un rythme compatible avec la vie de la structure, pour que la transformation vers la sécurité soit paisible et réussie.

Vous pouvez commencer un diagnostic gratuit sur la plateforme, et obtenir ainsi vos premiers conseils pour établir votre politique de cybersécurité personnalisée.