Comment mettre en place une stratégie de cybersécurité dans mon entreprise ?

Les questions à se poser 

De manière générale, il faut penser la question dans le temps long et en ayant à l’esprit que c’est un domaine qui évolue constamment. Il s’agit donc de faire ce qu’il est possible, tout en gardant à l’esprit que les cyberattaques sont nombreuses et peuvent toucher même des structures bien préparées. 

• Mise en place d’un “cyber-comex”

Cette instance dédiée à la gouvernance cyber pourra avoir pour rôle de suivre la politique de cybersécurité de la société, notamment en termes financiers. Un de ses rôles est le suivi de la mise en œuvre de la stratégie et peut être d’arbitrer entre les exigences métiers et les exigences en termes de sécurité informatique, qui parfois sont contradictoires, tant la sécurité peut compliquer l’exécution des missions de l’entreprise. 

• Quel protocole en cas de crise majeure ? 

Aucune entreprise n’est à l’abri d’une attaque majeure qui peut paralyser son fonctionnement de quelques heures à quelques jours, voire semaines, entraînant un grand nombre de conséquences qui peuvent aller jusqu’au dépôt de bilan. 

Il s’agit donc d’envisager différents scénarios, notamment à l’aide d’experts et de définir un protocole de crise, avec une redistribution des rôles, par exemple une prééminence du comité cyber et des verrouillages automatiques. La question de la communication externe est également majeure. Des entraînements ou simulations doivent être réalisés. 

• Quel plan de communication interne sur cette question ?  

Tous les salariés doivent être informés des exigences de sécurité qui leur incombent et des moyens qui sont à leur disposition (guides, conseils pour les mots de passe, protocoles de sécurité en déplacement, expertise en interne/externe). 

Comment agir ? 

1) Former son personnel

Le niveau de protection d’une entreprise dépend d’abord de chaque salarié. Il s’agit de gestes simples comme connaître la sensibilité des documents que l’on détient, chiffrer ses documents et ses communications, notamment lors de déplacements, protéger ses comptes via des mots de passe forts, s’anonymiser en ligne, ne pas se connecter sur les wifi publics… Tous ces gestes et bien d’autres permettent d’élever largement la protection de l’entreprise et font partie d’une culture numérique plus globale à développer. Le guide de l’ANSSI sur les bonnes pratiques de l’informatique peut être consulté utilement à cet égard. 

2) Faire un audit des vulnérabilités 

• Identification des données sensibles 

Il s’agit d’avoir une vision claire des données présentes dans l’entreprise et de celles qui sont sensibles ou non. Voir par exemple cet article de netexplorer. 

• Identification de vos risques (sur les données et sur les systèmes)

Il faut pouvoir définir des priorités pour mettre en place la stratégie de sécurité.  Généralement les risques sont analysés sur 3 axes : 

1. La Disponibilité
2. L’Intégrité
3. La Confidentialité

• Identification de qui a accès à quelles données dans l’entreprise 

Il s’agit de bien distinguer les droits d’utilisation et les droits d’administration de certaines données et de savoir précisément qui détient quels droits. Le compte administrateur n’est à utiliser que pour intervenir sur le fonctionnement global de l’ordinateur (gérer des comptes utilisateurs, modifier la politique de sécurité, installer ou mettre à jour des logiciels…)

Encadrez par des procédures déterminées les arrivées et les départs de personnel pour vous assurer que les droits octroyés sur les systèmes d’information sont appliqués au plus juste et surtout qu’ils sont révoqués lors du départ de la personne

• Fournisseurs/prestataires/partenaires : quelles interconnexions ? 

Tout comme les collaborateurs, les fournisseurs, les prestataires et les autres partenaires sont des portes d’entrée possibles pour les cyberattaquants. L’entreprise peut ainsi être visée à travers l’un d’eux ou être une victime collatérale. Avec la personne responsable de la sécurité numérique, il est nécessaire de passer en revue les données, les fichiers, les applications partagées et les modes d’interconnexion avec les parties prenantes afin de déterminer quelles procédures mettre en place pour se protéger. (Source : rapport du CEIDIG). 

3) S’entourer des bonnes personnes et services

• S’assurer 

« Mon 1er conseil : assurez-vous. » C’est la recommandation claire de Dominique Cerutti, PDG du grand cabinet de conseil en ingénierie Altran, après une attaque majeure dont son entreprise a été victime fin 2019. Cela permet d’avoir accès rapidement à tous les experts nécessaires – juridiques, techniques, communication – et de couvrir la perte financière liée aux dégâts subis, à leur réparation, ainsi qu’à la baisse de revenus due à l’arrêt de l’activité. (Source : rapport du CEIDIG). 

Néanmoins, le marché de l’assurance cyber est en pleine restructuration et il peut être nécessaire de réfléchir à des solutions alternatives ou complémentaires, telles que les captives (des structures de placements qu’il faut envisager face à la dégradation des couvertures des risques), comme l’explique cet article de l’AGEFI. 

• Être accompagné par des experts 

Recourir à des sociétés de conseil expert est souvent indispensable sur ces questions et il s’agit a minima d’identifier en amont des experts en cybersécurité, dans le domaine juridique, de la communication et de la gestion de crise. 
Dans le secteur public, l’ANSSI (Agence nationale de sécurité des systèmes d’information) a pour mission de conseiller et d’accompagner les entreprises. Le CEIDIG est également un centre de ressources pertinent.

Source : guide du CEIDIG, L’Essentiel de la sécurité numérique pour les dirigeants et les dirigeantes