Mikael Masson, Directeur Risk Management et Cybercrime de Cyberprotect
Compte tenu de la nature de l’activité, la pertinence du niveau de sécurité pourra être laissée à l’appréciation législative. Ainsi, on peut considérer que le respect des best practices, assorti d’un délai de réaction rapide, viendra démontrer la bonne foi de la société et attester que cette dernière a déployé tous les moyens nécessaires pour sécuriser son système d’information.
Prévention, conformité aux bonnes pratiques et réactivité se positionnent de fait comme des obligations pour les TPE, PME et grands comptes. De manière synthétique, il est nécessaire de filtrer le trafic indésirable, de détecter des anomalies, d’alerter l’entreprise en temps réel, d’assurer sa responsabilité et de la prémunir contre les ruptures d’exploitation.
Un premier travail consiste donc à auditer son infrastructure IT avant de s’équiper en matériel ou solutions de sécurité non adaptées. Il s’agit également de s’assurer qu’il n’existe pas d’erreurs de configuration dans les dispositifs existants. Il est donc nécessaire d’identifier les vulnérabilités avant de compléter les brèches. Il s’agit donc de sensibiliser l’entreprise sur les risques.
Il est ensuite nécessaire de « filtrer » ou plutôt de scanner en permanence l’infrastructure IT. N’oublions pas que chaque jour les professionnels peuvent être exposés à plusieurs centaines d’attaques ! Il est donc utile d’alerter l’entreprise si son infrastructure manifeste des signes de vulnérabilité et de lui préconiser de réagir rapidement en mettant en œuvre tel ou tel nouveau dispositif ou en mettant à jour ces produits, par exemple. A ce niveau, l’entreprise doit prendre des mesures informatiques à court terme pour ne pas être impactée.
Après avoir mené les actions mentionnées ci-dessus, il est ensuite fondamental d’aborder un autre aspect souvent moins connu et pourtant nécessaire : la dimension « Assurance » qui, associée à la dimension informatique, permettra d’avoir une approche 360° en matière de protection de son infrastructure et de ses données informatiques.
La responsabilité de l’entreprise est un facteur clé à protéger. L’assurance est faite pour cela. Il s’agit principalement de protéger et de pérenniser l’activité de l’entreprise en lui permettant d’accéder à des garanties à valeur ajoutée portée sous l’angle « Assurance ». Cette couverture permet notamment de protéger l’entreprise en cas de fuite des données, de rupture d’exploitation, de contamination du SI… Une couverture fournie par une assurance est donc particulièrement importante et doit faire partie des plans de gouvernance des entreprises.
Au travers ces éléments il apparaît clairement que la protection doit être multi-facette et ne pas se limiter au simple déploiement de solutions de sécurité qui ne suffisent pas nécessairement aux besoins des entreprises. Il convient de suivre un processus normalisé, combinant analyse de l’existant, surveillance en temps réel, adaptation des solutions et assurance.
