Les 10 erreurs à éviter en matière de sécurité informatique

Les dirigeants de PME considèrent bien souvent que les cyberattaques sont des problèmes de grands comptes. Mais aujourd’hui, avec les objets connectés, le travail à distance, l’explosion du SI dans et hors des murs de l’entreprise, toutes sont concernées. Nier le problème peut gravement nuire à la transformation numérique des entreprises.

« Sous l’impulsion de la transformation numérique, les systèmes d’information sont dispersés à l’intérieur comme à l’extérieur de l’entreprise. Ils sont ouverts et accessibles depuis pléthore d’équipements. Le numérique accroit non seulement le volume et la sensibilité des données du SI, mais aussi sa surface d’exposition aux attaques. Tous ces éléments complexifient considérablement la sécurité du système d’information de toutes les entreprises » explique Jean Olive, directeur en charge des activités sécurité chez CGI Business Consulting.

Et si le 100 % sécuritaire du système d’information n’existe pas, les entreprises doivent déployer une solution globale mariant des moyens de protection, de détection et de réaction pour lutter efficacement contre les cyberattaques et pour satisfaire aux exigences de la nouvelle réglementation européenne en matière de sécurité des données à caractère personnel.

jean-olive-cgi-business-consultingAujourd’hui, toutes les entreprises doivent faire de la sécurité un axe prioritaire. Pour cela elles peuvent agir sur plusieurs leviers : le déploiement de solutions de sécurité, la mise en œuvre de processus sécuritaires, la communication et la formation des utilisateurs du SI. « Comme l’indiquait Guillaume Poupard, directeur général de l’ANSSI, dans son discours d’introduction aux dernières assises de la sécurité tenues en octobre dernier, être dans le déni de la sécurité revient à affaiblir la transformation numérique de l’entreprise, car elle impose de gagner la confiance des utilisateurs et des clients » relate Jean Olive.

Comment, alors, réduire les risques d’intrusions, de vols et de dommages du système d’information ? Voici les 10 erreurs à éviter.

1/ Ne pas sensibiliser ses employés, fournisseurs et partenaires

Si la menace est externe à l’entreprise (ransomware, virus…), elle est souvent relayée par l’interne. Ainsi, combien de collaborateurs ont ouvert des documents attachés provenant d’expéditeurs inconnus et contenants des virus ? Combien d’employés, de partenaires ou de fournisseurs utilisent des mots de passe dont la simplicité est une porte ouverte sur le SI à tous les pirates ? Combien de virus ont été introduits par un smartphone personnel utilisé dans des conditions professionnelles ?

jm-boursat-devoteam« Longtemps les intrusions se sont faites via les failles et les défaillances des applicatifs. Mais aujourd’hui, les solutions de sécurité ayant gagné en maturité, les intrusions se font de plus en plus souvent via les utilisateurs », raconte Jean Olive. Ainsi, depuis quelque temps, sont apparus les attaques au président et le social engineering. La méthode ? Utiliser le téléphone ou le mail pour gagner la confiance de l’interlocuteur, lui soutirer une information confidentielle et le convaincre de passer outre les processus de sécurité. « D’où l’absolue nécessité de sensibiliser en permanence les collaborateurs à tout l’éventail des risques, mais aussi d’informer tous les partenaires et fournisseurs. Ainsi, tout utilisateur du SI doit être alerté sur les précautions à prendre pour éviter une attaque du SI », poursuit Jean-Marc Boursat, manager Offer Unit Risk & Security chez Devoteam.

Pour cela plusieurs actions peuvent être mises en place. La première : sensibiliser à la sécurité tout l’écosystème de l’entreprise via des campagnes de communication régulières et diffusées sur divers médias (réseau social d’entreprise, newsletter, réunions, etc.). La deuxième : former les collaborateurs à la gestion des mots de passe, à la navigation sécurisée sur internet, à l’identification des techniques de phishing (hameçonnage) ou encore au social engineering. Enfin, des tests de phishing peuvent être menés dans les entreprises pour sensibiliser les collaborateurs à ces éventuelles intrusions. « Pour certains de nos clients, nous pratiquons ce genre de test et nous constatons qu’une grande proportion de collaborateurs se laisse piéger par l’envoi d’un phishing. Mais une fois l’erreur commise, le nombre de collaborateurs piégés au deuxième test chute considérablement. Il est également intéressant de constater que les administrateurs techniques et fonctionnels sont, en tant que propriétaires de privilèges élevés, les cibles privilégiées des hackers. Les sensibiliser est donc essentiel », indique Jean Olive.

2/ Ne pas protéger les données à caractère personnel

La nouvelle réglementation européenne, qui entrera en vigueur en 2018, imposera un cadre plus strict pour la protection des données à caractère personnel. « Dès aujourd’hui les DSI doivent réfléchir aux précautions requises pour satisfaire à la réglementation européenne pour éviter toute mauvaise utilisation des données personnelles des clients, des fournisseurs et des partenaires », conseille Jean-Marc Boursat. Car les pénalités financières en cas de non-conformité à la réglementation pourront monter jusqu’à 20 millions d’euros d’amende pour les PME et, pour les grandes entreprises, pourront représenter un montant allant jusqu’à 4 % du chiffre d’affaires annuel mondial de la société.

Le Cloud n’est pas sans accroitre ces risques. « Les métiers manipulent des données à caractère personnel dans 2 % des applicatifs hébergés dans le Cloud sans en informer la DSI. Or le RGPD (Règlement Général sur la Protection des Données) impose notamment d’informer les utilisateurs sur la collecte et l’usage des données, de préserver leur confidentialité, de garantir le droit à l’oubli et la portabilité des données, et de sécuriser les données » insiste l’expert de Devoteam.

3/ Ne pas utiliser des services sécurisés

Avec le Cloud et l’IoT, le travail hors des murs de l’entreprise et les connexions à distance au SI explosent. « Si les firewalls, antivirus, solutions d’authentification et de chiffrement sont des outils déjà anciens, ils ont gagné en maturité et sont bien implantés dans les entreprises. Mais pour faire face au travail à distance, à l’essor du Cloud et de l’IoT il est conseillé d’utiliser des outils centralisateurs, capables de fédérer les identités et de cartographier les objets, sources potentielles de risque », souligne Jean Olive. Cartographier les flux de données entrants et sortants est également très instructif, car c’est lors du transfert via le réseau que les pirates propagent leurs attaques.

« Enfin, poursuit Jean-Marc Boursat, les DSI doivent inciter les collaborateurs à la prudence sur l’utilisation de solutions de Cloud public comme Dropbox ou WeTransfer. Très prisées pour échanger des documents et des projets confidentiels, ces solutions présentent néanmoins un certain flou sur les lieux d’hébergement et leurs conditions de confidentialité de données. »

4/ Ne pas effectuer les mises à jour

Ne pas installer régulièrement les mises à jour et les correctifs logiciels est une grave erreur, même si ces opérations mobilisent des ressources et du temps. « Par ailleurs, prévient l’expert de Devoteam, les mises à jour s’effectuant à distance, il faut sécuriser ces opérations pour éviter toute intrusion. » Enfin, le SI évoluant en permanence, il faut identifier annuellement les ressources critiques et vérifier leur sécurité via des audits réalisés par des prestataires certifiés.

5/ Ne pas mettre en place de système d’alerte

Déployer un système d’alerte d’intrusion est vivement conseillé. Si les grandes entreprises sont toutes équipées de telles solutions, peu de PME en ont acquis pour des raisons de prix et de complexité de déploiement. Mais cette situation pourrait être amenée à évoluer pour satisfaire les besoins de traçabilité, les contraintes législatives et l’augmentation de la surface d’exposition du SI.

« Les services de SOC ou Security Operations Center permettant aux entreprises de surveiller la sécurité de toute leur informatique, interne comme externe, pourraient être la solution pour les PME. Ainsi, grâce à la collecte et à la corrélation des logs de tous les équipements et applicatifs de sécurité du SI et du réseau, ces SOC détectent rapidement des incidents et émettent des alertes. Ces plateformes délivrent aussi des services pour réagir aux attaques » analyse Jean Olive.

6/ Ne pas développer une stratégie de réponse adaptée

Le piratage des quelque 800.000 clients d’Orange et celui de 500 millions de comptes Yahoo révèlent que toutes les entreprises, même les plus grandes, ne sont pas infaillibles. Et si l’image de l’entreprise est ternie par ce genre d’affaires, la situation s’aggrave lorsque la réponse tarde. « Or, peu d’entreprises ont mis en place des outils et des processus capables de répondre rapidement à une cyberattaque. Pourtant, toutes sont des cibles potentielles. Il est donc impératif de s’organiser pour anticiper ce genre de crise et en réduire les conséquences », martèle Jean-Marc Boursat.

Parmi les dispositifs à mettre en œuvre : identifier une personne maîtrisant la sécurité et la nommer responsable de gestion de crise ; prédéterminer et planifier les actions à mettre sur pied en cas de sinistre ; constituer une équipe disponible 24 heures sur 24 et 7 jours sur 7.

7/ Ne pas mettre en place des processus agiles

Alors que les développements d’applicatifs sont passés en processus agile, la sécurité reste un domaine où les anciens processus persistent. Il est donc conseillé de faire évoluer ces projets vers les nouvelles méthodologies de conception. « Aujourd’hui on observe chez nos clients un décalage important entre le développement et le volet sécurité d’un projet. La sécurité doit passer en mode itératif, incrémental et selon les process de test and learn comme le fait le développement » explique Jean-Marc Boursat.

8/ Ne pas prendre en compte l’IoT

Les entreprises sont rodées à l’identification et la gestion des identités des utilisateurs depuis les postes fixes et ordinateurs portables. Elles rencontrent en revanche souvent des difficultés d’identification depuis les objets connectés. « Les entreprises passent aujourd’hui dans une autre dimension d’échelle avec la gestion des identités des smartphones, des capteurs ou encore des montres connectées. Tous ces objets connectés complexifient grandement la sécurité, mais les ignorer c’est prendre des risques considérables de cyberattaques », déclare Jean Olive.

Des solutions existent sur le marché pour aider à cartographier les objets visibles depuis l’Internet et vulnérables et éviter qu’ils soient utilisés comme porte d’entrée à une attaque du système d’information de l’entreprise.

9/ Ne pas avoir un service de veille

Les hackers et autres pirates redoublant sans cesse d’imagination pour attaquer les SI et en extraire de données confidentielles, il est crucial pour les entreprises d’être à l’affut des dernières menaces, pour prévenir une cyberattaque. Détenir une information permet de se préparer à une éventuelle catastrophe en identifiant par exemple les mises à jour et correctifs logiciels les plus pressants. Être vigilant est une excellente façon de se prémunir des catastrophes.

10/ Ne pas faire de la sécurité une priorité

Ne pas améliorer en continu la sécurité de son informatique est excessivement dangereux, voire suicidaire pour une entreprise. Et si les déploiements d’outils, de tableaux de bord, de systèmes d’alarme sont indispensables, la sécurité informatique repose avant tout sur des compétences humaines. « Les entreprises doivent faire de la sécurité un axe prioritaire même si c’est un centre de coût et non de revenus », conclut Jean Olive.