Cinq conseils pour maitriser votre risque informatique
Selon L’Insee, en France, plus de 848 000 entreprises digitales et de vente à distance ont été créées en 2020 durant le premier confinement – un chiffre phénoménal. Pour certains, il s’agissait de trouver de nouveaux canaux de revenus ou d’étendre les canaux existants à la lumière des innombrables licenciements causés par la pandémie. Pour d’autres, c’était une occasion en or de poursuivre une nouvelle carrière ou de lancer un nouveau produit ou service destiné à un public éloigné.
Plusieurs sont de petites entreprises qui n’avaient jamais fait de commerce en ligne auparavant, ou certainement pas de manière importante. En se développant, toutes ces entreprises ont ouvert de nouvelles surfaces d’attaque, se rendant plus vulnérables aux cyberattaques. Alors qu’une violation au sein d’une grande entreprise peut être considérée comme entraînant une lourde amende et une atteinte considérable à la réputation, pour une PME, elle peut sonner le glas, car elle n’a pas toujours les moyens économiques de supporter une période de perturbation.
Sachant que 43 % de toutes les violations de données concernent des PME, ces entreprises qui prennent souvent le temps, au cours de l’année, de réexaminer leurs dépenses, doivent aussi faire une révision des protocoles de sécurité et de la gestion des risques informatiques.
Les entreprises doivent examiner leurs investissements et s’assurer que tous les risques sont atténués, ce qui leur donne un filet de sécurité supplémentaire et une tranquillité d’esprit. La gestion des risques informatiques est aujourd’hui un domaine très mature et il existe de nombreuses directives et cadres tels que la norme ISO 31000, l’analyse des cinq forces de Porter ou la matrice d’Ansoff. Ces outils permettent aux entreprises d’évaluer le risque d’un investissement et fournissent un cadre pour anticiper et traiter les perturbations potentielles de l’activité. Investir dans un mauvais projet peut avoir des répercussions négatives importantes sur l’activité, mais avec une bonne planification, une reprise est (presque) toujours possible.
Sans investir dans la sécurité informatique et sans comprendre la gestion des risques, les entreprises ne peuvent pas se permettre de faire des erreurs. Mais avec la complexité des environnements commerciaux modernes, il est impossible de ne pas faire d’erreurs. C’est pourquoi, alors que nous commençons à voir les entreprises, nouvelles et existantes, émerger de la pandémie, il est important que les entreprises mettent en œuvre de nouvelles politiques de travail et prennent le temps de réfléchir à la confiance qu’elles ont réellement dans la planification de leurs activités. Elles doivent également se demander si elles ont mis en place un plan de continuité.
Vous trouverez ci-dessous 5 conseils qui vous permettront de réussir la mise en œuvre d’une stratégie de gestion des risques liés à la sécurité informatique et d’éliminer ce qui pourrait ressembler à un casse-tête informatique alors que de nombreuses entreprises se lancent dans une nouvelle aventure.
1. Comprendre l’IT Management
La première étape est d’améliorer la compréhension de la cyber-exposition. Savoir où se situent les risques est essentiel pour maintenir l’activité. Les organisations sectorielles et nationales fournissent des réglementations et des cadres pour aider à clarifier les obligations commerciales et à protéger les opérations de l’entreprise. Les normes réglementaires couramment référencées sont les normes ISO 27001, IEC 62443 et NIST.
2. Réduire la surface d’attaque de votre infrastructure informatique
Le contrôle et la protection des comptes à privilèges devraient également figurer en tête de liste des risques informatiques. Ces comptes constituent une cible idéale pour ceux qui ont des intentions malveillantes, puisqu’avec un seul compte, un cyber attaquant peut obtenir la capacité d’extraire, d’altérer ou de chiffrer des données critiques, ou de s’infiltrer plus profondément dans l’infrastructure et les opérations. Une compréhension de base des risques permettra de déployer les outils appropriés pour protéger les comptes à privilèges.
3. Réfléchissez à votre stratégie d’accès à distance
Les travailleurs à distance ou les tiers chargés de la maintenance des infrastructures critiques peuvent exposer le réseau d’une entreprise à une série de nouveaux risques. Lorsqu’ils se connectent aux actifs informatiques depuis l’extérieur du réseau de l’entreprise, les utilisateurs distants peuvent disposer de privilèges élevés pour exploiter des systèmes critiques. Et pourtant, ils ne bénéficient pas de la protection périmétrique d’un réseau. Comme ces employés ne sont pas physiquement présents et visibles, cela ajoute un défi supplémentaire : l’impossibilité de garantir leur identité – ce qui signifie qu’ils peuvent se connecter à partir de points d’extrémité non contrôlés ou vulnérables. L’identification de ces dangers est un élément crucial d’une stratégie de gestion des risques de sécurité.
4. Appliquer le principe du moindre privilège
Un moyen efficace de s’assurer qu’un utilisateur disposant de privilèges ne peut pas nuire à l’infrastructure consiste simplement à supprimer ces privilèges. Mais il s’agit d’une mesure radicale qui risque d’avoir un impact important sur les utilisateurs et la productivité s’ils ne peuvent soudainement plus accéder aux ressources clés qui leurs sont nécessaires. Une politique qui applique le principe du moindre privilège avec une solution de gestion des privilèges des points d’extrémité par exemple, limitera les privilèges d’accès au minimum et facilitera l’efficacité du travail. Ainsi, seul le bon privilège est accordé à l’utilisateur au bon moment pour la bonne action.
5. Ne faites confiance à personne !
Cela peut sembler dur au premier abord, mais vous ne devriez jamais faire automatiquement confiance aux utilisateurs, même privilégiés. Il serait stupide de penser que les utilisateurs internes sont intrinsèquement plus dignes de confiance que les utilisateurs externes. N’oubliez pas que tous les humains sont faillibles et que même les employés disposant de privilèges élevés peuvent commettre des erreurs et lancer la mauvaise commande sur le mauvais système critique. Les employés sont également sensibles aux escroqueries sophistiquées et peuvent se laisser prendre au piège de tentatives de phishing élaborées.
En s’attaquant au risque, les organisations peuvent se préparer à gagner
Optimiser la production, sélectionner les meilleurs équipements, définir les budgets… le monde de l’entreprise, c’est prendre des décisions éclairées et calculées afin de réussir et de minimiser les pertes. La gestion des risques informatiques n’est pas différente. Lorsqu’elle est bien planifiée et que les bonnes protections sont en place, l’entreprise est prête à gagner.
Les petites entreprises étant plus vulnérables aux cyber-attaques et les conséquences de tels incidents pouvant être fatales, il est absolument essentiel d’investir dans une stratégie solide de gestion des risques informatiques – en fait, le plus tôt sera le mieux. La protection des utilisateurs privilégiés et, plus particulièrement, des accès à privilèges, doit en être un élément essentiel.
En mettant en place des mesures adéquates, les entreprises réduiront considérablement le risque de compromission de leur infrastructure. Prenez de l’avance. Commencez dès maintenant à planifier votre stratégie – y compris le budget pour la mettre en œuvre – et mettez en place une politique bien pensée pour protéger votre entreprise.