[Avis d'expert] Cybersécurité : redonner l’avantage à la défense

Publié le

Tribune Face à l’apparition de nouveaux modes de travail et à la multiplication des canaux de communication au sein des entreprises, les employés peuvent désormais travailler de n’importe où en se connectant au réseau de la société, même parfois avec leur propre ordinateur. Bien utile, surtout en période de grève, mais entraînant un brouillard entre la sphère privée et professionnelle, ces pratiques peuvent mettre à mal la confidentialité des données des organisations. Dans ce contexte, les dirigeants doivent plus que jamais redéfinir leur périmètre de sécurisation pour se (re)centrer autour de l’utilisateur lui-même, prévient Éric Houdet, Directeur Associé chez Quarkslab, deeptech spécialiste de la cyber sécurité.

[Avis d'expert] Cybersécurité : redonner l’avantage à la défense © Deepomatic

Vie professionnelle, vie personnelle : une frontière de plus en plus floue

La transformation numérique expose grandement les entreprises aux attaques et compromet la sécurité des données confidentielles.
C’est ainsi, alors que le concept de « Bring Your Own Device » s’est largement démocratisé, que le salarié se connecte parfois au réseau de l’entreprise en utilisant son propre ordinateur ou smartphone. Sans parler des freelances, ou sous-traitants, qui travaillent à distance et ont accès aux informations de l’entreprise de n’importe où. Ou encore, si rien n’est mis en place pour l’en empêcher, qu’un collaborateur peut, délibérément ou pas, tout à fait partir avec des données confidentielles qu’il estime être les siennes et qui pourront, par exemple, lui servir dans sa future entreprise. Il n’est pas rare non plus de voir des salariés ramener leur clé USB externe pour se brancher sur les ordinateurs du bureau, ce qui peut compromettre les systèmes d’information et introduire des virus plus ou moins malicieux.
Il est donc primordial pour les entreprises de repenser leur politique de sécurité afin de minimiser les risques d’attaques ou d’imprudence d’un salarié.

L’humain, le maillon faible de la sécurité des systèmes d’information

Pour parvenir à protéger leurs activités sans freiner leur développement, un certain nombre d’entreprises ont mis en place une politique qui part de ce constat. C’est le modèle « Zero Trust », formalisé par John Kindervag analyste du cabinet Forrester en 2009. À l’image de la protection rapprochée du Président des Etats-Unis, il s’agit de ne faire confiance ni aux utilisateurs externes ni à ceux situés à l’intérieur du périmètre de sécurité. Tout trafic représente une menace tant que celui-ci n’a pas été vérifié et autorisé. Basé sur un protocole strict de contrôle de l’identité, le Zero Trust protège dorénavant les organisations contre les cyber-attaques et sécurise leurs données sensibles. De nombreuses sociétés ont adopté ce modèle qui leur offre une visibilité complète sur les utilisateurs ayant accès aux données. C’est le cas notamment d’une majorité de nos grandes banques qui a interdit les ports USB dans leurs locaux. Les salariés doivent être connectés à une base centrale pour avoir accès au réseau. L’entreprise contrôle l’identité des utilisateurs ne faisant confiance ni au système, ni aux individus. Malgré les mesures de sécurité mises en place, il est néanmoins et toujours primordial de les faire tester, non seulement en interne, mais surtout en externe par des personnes qui peuvent se glisser dans la peau de véritables « hackers » pour simuler une réelle attaque grâce à une mission dite « red team ». Cette campagne qui dure plusieurs semaines permet de réaliser des tests d’intrusion grandeur nature dans le but d’évaluer la sécurité d’une entreprise. Ces missions offrent une vision globale sur les efforts nécessaires pour prévenir les risques éventuels et mettre en place un plan d’action par ordre de priorités.

Au-delà des règles et des solutions techniques, la meilleure arme des organisations reste la sensibilisation de leurs salariés mais les exercices et les formations dans ce domaine ne sont malheureusement pas encore légion par manque de maturité sur le sujet ou d’appréhension du risque de certaines organisations.

La sécurité : cœur de la stratégie des entreprises

« Security is always excessive, until it’s not enough ». Cette citation de Robie Sinclair prend tout son sens aujourd’hui. En effet, longtemps perçue comme un frein pour le développement de l’entreprise, la sécurité a souvent été pensée comme dernier rempart face à la menace, avec de multiples contrôles et procédures parfois lourdes. Pourtant, une politique de protection bancale peut avoir des conséquences dramatiques. L’image de marque d’une entreprise, et ses actifs/atouts, peuvent être grandement affectés et détériorés du jour au lendemain. Ce fut notamment le cas pour Yahoo qui, suite à une cyber-attaque massive en 2013, a dû baisser sa valorisation financière de plusieurs millions de dollars lors des négociations d’achat avec Verizon. C’est l’une des raisons pour lesquelles mettre en place de vrais processus de sécurité évite le vol ou la perte de données précieuses, souvent très convoitées par les pirates ou les concurrents, et permet ainsi de les valoriser et évite que cela ne coûte très cher a posteriori. D’autant qu’aujourd’hui, en tant que garant de la sécurité de son entreprise, le chef d’entreprise a un rôle à jouer dans la prévention. Les attaques étant devenues fréquentes et parfois dévastatrices, sa responsabilité peut être engagée. La sécurité n’est plus seulement l’affaire du service informatique ; un véritable changement de paradigme s’est opéré ces dernières années. La cybersécurité s’est invitée à la table des grands. Le dirigeant doit connaître les enjeux de sécurité numérique et s’assurer de l’ensemble des processus mis en place dans sa société. Dans un contexte, où chaque jour sont dénombrées de multiples attaques, la sécurité devient le cœur de la stratégie impliquant les directions informatiques, mais surtout désormais la direction générale qui elle-même doit impliquer tous les collaborateurs pour un projet commun de sécurisation.

Le dynamisme du marché de la sécurité informatique est porté par cette prise de conscience. Il faut partir du principe qu’une attaque étant désormais certaine et que, malheureusement, il est impossible d’assurer une sécurité à 100%. Il faut donc à minima redonner l’avantage à la défense. C’est la meilleure stratégie pour assurer une démarche de sécurité continue, dynamique et positive.

Éric Houdet, Directeur Associé chez Quarkslab, deeptech spécialiste de la cyber sécurité

 

Les avis d'experts sont publiés sous la responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte