Cybersécurité : 5 recommandations pour éviter de se retrouver à terre

Personne n'est épargné, ni les PME, ni les ETI, ni les grands comptes. Après un an de crise sanitaire, les entreprises sont particulièrement vulnérables au risque cyber. En 2020, le nombre d'attaques de type "rançongiciel" a été multiplié par 4. " La cybercriminalité se perfectionne et s'organise désormais comme une véritable industrie qui s'attaque aussi bien aux grands comptes qu'aux petites entreprises. Cette pression risque d'augmenter progressivement. Ça devient compliqué d'imaginer de ne pas être touché ", prévient Daniel Benabou, président du Conseil de l'Economie et de l'Information du Digital (Ceidig) qui a édité mi-avril 2021 un guide L'essentiel de la sécurité numérique pour les dirigeants et dirigeantes * dans lequel il esquisse des recommandations prioritaires, et les points clés sur lesquels les membres du Comex et les Daf doivent se concentrer. Si ces attaques devaient réussir, il faut donc limiter au maximum ses impacts et mettre en place plusieurs règles de base, qui nécessitent de la part des entreprises un changement radical de méthode.

Identifier les points critiques

Parmi elles, l'identification des activités vitales au bon fonctionnement de l'entreprise. Cette démarche va permettre de cartographier les données qui doivent rester confidentielles, disponibles ou sensibles comme celles des clients ou de la comptabilité, et ainsi déployer un dispositif de sécurité adapté pour les protéger.

Deuxième recommandation : la gestion des droits et des accès, la capacité de savoir qui peut faire quoi est devenue essentielle. " Plus de 50% des attaques ont pour origine une négligence humaine, une absence de mot de passe. C'est quelque part assez encourageant car si une entreprise parvient à améliorer ce paramètre, elle dispose d'un levier important pour réduire l'impact des attaques. Quand on construit un projet, c'est important de prévoir la sécurité au tout début. Il n'est pas forcément nécessaire d'octroyer à un chef de département des droits maximums et permanents à un ERP par exemple, s'il n'a besoin que ponctuellement d'informations. Si les droits sont limités, la portée de l'attaque sera moindre ", explique Daniel Benabou.

Ensemble, on décide mieux

Troisième point clé : la mise en place d'un cyber-comex et d'une gouvernance dédiée à la cybersécurité afin d'arbitrer au mieux de l'intérêt du "business" et des métiers. Quel niveau de risque est acceptable ? Quelle modification des process est pertinente ? Quels investissements sont prioritaires ? Entouré d'un membre de la direction générale et de représentants métiers, la personne en charge de la sécurité prendra avec eux les décisions les plus adaptées. " Cette instance doit se réunir à fréquence régulière, une fois par trimestre, et à chaque fois que c'est nécessaire, lors d'un lancement d'un projet numérique ou lorsqu'une question stratégique se pose. Le Daf doit rencontrer régulièrement la personne en charge de la sécurité. C'est un des rares sujets transversal et stratégique qui nécessite un changement de méthode de la part des entreprises ", ajoute Daniel Benabou.

Attention à la balle perdue

Tout comme les collaborateurs, les fournisseurs, les prestataires et les autres partenaires sont des portes d'entrée possibles pour les cyberattaquants. " L'interconnexion grandissante entre les entreprises, les partenaires et les prestataires pose un sérieux problème d'effet domino en cas de compromission de l'un d'entre eux. L'entreprise peut ainsi être visée à travers l'un d'eux ou être une victime collatérale. Il est donc essentiel de passer en revue les données, les fichiers, les applications partagées avec les parties prenantes afin de déterminer quelles procédures mettre en place pour se protéger, et vérifier que les personnes qui ont accès aux dossiers communs soient légitimes ", conclut le président du Ceidig.

Cinquième et dernière recommandation : il semble pertinent de solliciter le responsable juridique pour insérer une clause de cybersécurité dans les contrats, et ainsi s'assurer que les prestataires fournissent des efforts suffisants pour garantir la protection des données.

*guide édité en partenariat avec la CPME, le MEDEF, Croissance +, l'ANSSI