Cybersécurité : comment identifier et prévenir les risques potentiels
Les cyberattaques se font chaque année de plus en plus nombreuses, avec des conséquences parfois désastreuses pour les petites et moyennes entreprises. Quelles mesures concrètes, matérielles et humaines, les dirigeants peuvent-ils adopter pour se prémunir de ces dangers ?
Je m'abonneDans un contexte de digitalisation croissante et de hausse massive du télétravail, les risques liés à la cybersécurité dans les entreprises se sont multipliés. Selon l'Agence nationale de la sécurité des systèmes d'information (Anssi), le nombre d'attaques de type rançongiciels – également appelées ransomware – a été multiplié par 4 entre 2019 et 2020, et ce, tous secteurs et types d'établissements confondus, des collectivités territoriales aux entreprises industrielles.
Ces menaces, qui comprennent également piratages informatiques par des logiciels malveillants, piratages de comptes et hameçonnage, peuvent engendrer des conséquences dramatiques pour les entreprises qui en sont victimes : pertes financières dues à la perturbation ou l'interruption des activités, vol ou perte de données sensibles, exposition au chantage, érosion de la confiance des clients, etc. Face à ces risques, les petites et moyennes entreprises peuvent s'avérer particulièrement vulnérables, là où de grandes structures dotées de ressources financières plus importantes peuvent bénéficier de systèmes de haute protection des réseaux et des données.
Pour tout dirigeant de PME, il est donc crucial d'appliquer un certain nombre de bonnes pratiques à même d'identifier et de prévenir un maximum de dangers potentiels de la cybersécurité.
Connaître son système d'information
Première étape incontournable en matière de cybersécurité : dresser une cartographie complète du système d'information de son entreprise. Combien d'ordinateurs sont reliés à un réseau public ou privé ? Quels types de mots de passe sont utilisés ? Comment les données circulent-elles au sein de l'entreprise et dans quel type de base sont-elles conservées ? Un outil de cybersécurité a-t-il été installé et si oui, est-il régulièrement mis à jour ?
Autant de questions qui permettront de se faire une idée précise de l'intégralité du système : ordinateurs, programmes, bases de données, réseaux, etc. Ce à quoi il conviendra d'ajouter un inventaire (exhaustif et régulier !) du matériel informatique en service, qu'il s'agisse des logiciels ou des interfaces utilisés. Car oui, même un vieil ordinateur mis de côté, pour peu qu'il n'ait pas été formaté et qu'il soit toujours relié au réseau interne de l'entreprise, constitue un risque.
S'auto-évaluer ou faire appel un professionnel pour évaluer les risques
Cette cartographie dressée permet notamment :
- de détailler et évaluer les risques et vulnérabilités éventuels, qu'ils soient internes (défaillances du système en place, comme des outils de sécurité non mis à jour ou des contrôles non effectués par le personnel) ou externes (cyberattaques, piratages, vols de données) ;
- d'avoir une vision globale des outils de protection de l'entreprise et, au besoin, de mettre en place un dispositif plus adapté.
Cet exercice peut prendre la forme d'une auto-évaluation à intervalles réguliers, organisée par l'entreprise elle-même, ce qui nécessite de se rapprocher des différents services, d'en comprendre les activités respectives pour mieux appréhender l'organisation générale et ainsi être en mesure d'estimer les risques de manière précise. Attention toutefois, lors de cette auto-évaluation, à adopter un point de vue le plus objectif possible !
Le chef d'entreprise peut également choisir de faire appel à un professionnel expert en cybersécurité pour réaliser un audit. S'il n'est pas nécessaire pour une PME d'embaucher un spécialiste en la matière à plein temps – sauf en cas de forte probabilité de failles ou d'attaques sur le long terme –, il convient toutefois de renouveler ce type d'évaluation régulièrement.
Et après, que fait-on ?
Cet exercice de cartographie des risques ne doit pas constituer une fin en soi. La technologie et les outils digitaux sont en constante évolution, tout comme les risques de cybersécurité et leurs modes de diffusion. L'entreprise elle-même se développe ou se transforme, que ce soit par le lancement de nouvelles activités ou de nouveaux produits (notamment lorsque l'entreprise développe des logiciels / applications), par l'arrivée de collaborateurs ou le renouvellement des outils qu'elle utilise.
Les systèmes de protection doivent donc évoluer en conséquence, en étant mis à jour et monitorés régulièrement : soit via un audit d'expert, soit par le biais d'une auto-évaluation menée tous les six mois à un an. Cette analyse dans le temps permettra ainsi à l'entreprise de déterminer précisément l'efficacité des dispositifs de sécurité mis en place.
Certaines entreprises spécialisées proposent par ailleurs des solutions de cybersécurité clés en main, comme des outils de protection de messagerie anti-phishing ou anti-malware ou encore des outils de protection de e-commerce.
Communiquer et sensibiliser les équipes
Si les outils de sécurité sont essentiels, ils ne sont toutefois pas suffisants. Ouverture d'une pièce jointe contenant un logiciel malveillant dans un mail, mots de passe similaires utilisés sur toutes les interfaces, données sensibles stockées dans un ordinateur ou portable personnel... Le facteur humain reste un maillon faible du système informatique de l'entreprise. Une faille que les cybercriminels n'hésitent pas à exploiter : selon le dernier rapport de la plateforme Cybermalveillance.gouv.fr, le hameçonnage (ou phishing) reste le premier vecteur de cyberattaque en France.
Dès lors, il est essentiel de favoriser la communication avec ses équipes sur ces enjeux et de mettre en place des actions de pédagogie et de sensibilisation. Celles-ci peuvent prendre la forme d'une politique de sécurité diffusée en interne ou d'un atelier hebdomadaire ou mensuel sur les bonnes pratiques en matière de cybersécurité (par exemple, « comment créer des mots de passe forts et variés », « qu'est-ce que l'authentification à facteurs multiples » ou « comment se prémunir du hameçonnage »).
A terme, il peut être bénéfique de partager les résultats de cette cartographie du système d'information et des risques potentiels identifiés avec tous les collaborateurs, leur permettant de devenir à leur tour des acteurs de la cybersécurité au sein de l'organisation : un utilisateur averti, c'est un niveau de sécurité accru pour l'entreprise !
Cybersécurité et protection des données constituent des enjeux majeurs pour les entreprises, dans un monde toujours plus en proie aux cybermenaces... Mais les solutions pour anticiper les failles et identifier les dangers éventuels existent, tout comme les bonnes pratiques pragmatiques pour renforcer la sécurité de son entreprise et s'assurer une transformation digitale dans la sérénité.
Pour en savoir plus
Camille Delcour est consultante experte en analyse des risques et gestion de la fraude. Elle est la fondatrice de Cybooster, société spécialisée dans le contrôle de gestion, l'audit et le contrôle interne pour les PME