Bilan

Souriez et ne vous faites pas hacker

Le risque zéro n’existe pas. Les hackers ou personnes malveillantes peuvent toujours attaquer une entreprise ou un particulier, avec à la clé des perturbations opérationnelles désastreuses ou des fuites de données confidentielles. Comment s’organiser pour contrer et limiter les risques? C’est le travail d’équipes entières et la responsabilité de toute l’entreprise.

Crédits: DR

Une panne informatique peut parfois avoir de lourdes conséquences. EasyJet, l’Ecole polytechnique fédérale de Zurich ou certains hôpitaux ont été la cible de cyberattaques, tout comme le Swatch Group qui a également été touché fin septembre.

Le télétravail en a augmenté le risque. Les mauvaises pratiques des travailleurs couplées au manque de protection des différents réseaux et infrastructures technologiques représentent autant de nouvelles failles. Les équipes de sécurité informatique ont fort à faire pour empêcher les attaques. Cedric Nabe, directeur du service Risk Advisory au sein de Deloitte, doit mettre au point des stratégies de défenses. «D’abord, il faut identifier qui veut attaquer et pourquoi», explique-t-il.

Conscient qu’une stratégie de cyber sécurité peut être très complexe, il faut prioriser les risques avec un impact élevé combiné à une probabilité d’occurrence également élevée: «Une banque de détail qui se voit privée de son e-banking peut connaître des désagréments importants. Pour une institution spécialisée dans le wealth management, le déni de service est relativement moins grave - bien qu’il reste problématique». La confidentialité des données des clients est centrale, et a de grandes conséquences réglementaires (par exemple pénalité liée règlement général sur la protection des données) et réputationnelles. «Cela peut créer ensuite des impacts financiers», précise l’expert.

Crédits: Rapport sur le coût d'une violation de la confidentialité des données, IBM.

IBM a réalisé un rapport sur le coût d’une violation de la confidentialité des données. Les données personnelles des clients sont bel et bien les données personnelles des clients qui sont compromises.

Dans son rapport, IBM évalue le coût moyen d’une attaque selon le type de données saisies. L’entreprise spécialiste en technologie et informatique précise que les coûts liés à la perte d’activité, mais aussi la réponse a posteriori, la notification ainsi que la détection et l’escalade du problème sont pris en compte.

Crédits: Rapport sur le coût d'une violation de la confidentialité des données, IBM.

Les mesures de protections ne suffisent plus.

Hameçonnage, ransomware ou doxxing: il existe de multiples manières d’impacter négativement une entreprise. Pour les équipes en charge de la cybersécurité, la direction opérationnelle et les membres de conseils d’administration, il faut être conscient que le risque zéro n’existe pas. «C’est frustrant pour le conseil d’administration mais c’est comme ça», affirme Cedric Nabe. «Il y aura toujours des moyens d’entrer. Le plus important est d’adopter une approche équilibrée à la gestion des risques de cybersécurité. Les entreprises devraient être proactives pour faire face aux menaces et planifier des moyens de prévenir les cyberattaques réussies plutôt que de réagir lorsqu'elles se produisent. Cependant, bien que les mesures de prévention soient importantes, il est également nécessaire de disposer de capacités de détection, de réaction et de récupération en cas de cyberattaque.»

Cedric Nabe. Crédits: DR.

Les employés actifs dans la cybersécurité ont plusieurs bases sur lesquelles s’appuyer. En principe, une seule et même personne ne peut pas réaliser toutes les tâches. «L’externalisation de services de sécurité est de plus en plus populaire. Elle doit permettre aux équipes de sécurité de se concentrer sur des tâches à forte valeur ajoutée», explique l’expert.

Pour beaucoup d’entreprises, le risque réside autant dans les employés étourdis que ceux malveillants. «Quand la pandémie s’est matérialisée et qu’il y a eu une augmentation drastique du télétravail, les employeurs ont dû rapidement fournir des ordinateurs portables professionnels», constate encore Cedric Nabe.

Crédits: Rapport sur le coût d'une violation de la confidentialité des données, IBM.

Sécuriser l’environnement informatique dans les locaux est une chose. Dans le cas où chacun est chez soi, les besoins en matière de sécurité sont plus compliqués à mettre en œuvre. Les personnes ne travaillent pas toujours depuis un wifi sécurisé, elles peuvent plus facilement se laisser avoir par des tentatives d’hameçonnage en cliquant sur de mauvais liens. Cela offre une brèche aux cybercriminels, qui parviennent alors à trouver des informations sensibles.

«Les ordinateurs privés n’ont pas tous les outils sophistiqués dont on peut bénéficier dans un environnement professionnel. Utiliser un VPN ne suffit pas», analyse Cedric Nabe. «Un ordinateur privé lorsqu’infecté par un virus peut permettre à un hackeur de récolter tous les identifiants et les informations confidentielles échangées même lors de l’utilisation d’un portail de connexion à l’entreprise», affirme-t-il.

Crédits: IBM.

Vu que le risque zéro n’existe pas, il faut également trouver des moyens d’opérer lors de perturbations technologiques. Les entreprises doivent tourner, et continuer à produire malgré les potentielles attaques. «C’est très important de mettre en place des stratégies de continuité d’activités selon une approche basée sur les risques. S’il n’y a qu’un accès au bâtiment et il est bloqué, on doit pouvoir continuer à travailler depuis un autre bâtiment ou en télétravail de manière sécurisée», image Cédric Nabe. Pour cela, des serveurs alternatifs ainsi que d’autres canaux de communication se révèlent utiles.

Cisco insiste également sur l'importance d'avoir une stratégie en amont. Cette entreprise basée à Rolle est spécialiste en matière de cybersécurité. Elle a réalisé une étude qui analyse les performances des programmes de cyberdéfense.

Ce graphique montre que la gestion des risques est mieux maîtrisée que l’efficience au niveau des opérations. Les entreprises interrogées ont dû expliquer en quoi leur programme sécuritaire permettait d’arriver aux différents rendements. Ces derniers, au nombre de 11, sont répartis en trois grandes catégories (Enabling business, managing risk et operating efficiently). L’entreprise spécialiste en cybersécurité commente ces données. Elle estime que le secteur de la finance s’en sort tendanciellement mieux que les autres industries.

Garciarebecca1
Rebecca Garcia

JOURNALISTE À BILAN

Lui écrire

Rebecca Garcia a tout juste connu la connexion internet coupée à chaque téléphone. Elle a grandi avec la digitalisation, l’innovation et Claire Chazal. Elle fait ses premiers pas en journalisme sportif, avant de bifurquer par hasard vers la radio. Elle commence et termine ensuite son Master en journalisme et communication dans son canton de Neuchâtel, qu’elle représente (plus ou moins) fièrement à l’aide de son accent. Grâce à ses études, elle découvre durant 2 mois le quotidien d’une télévision locale, à travers un stage à Canal 9.

A Bilan depuis 2018, en tant que rédactrice web et vidéo, elle s’intéresse particulièrement aux nouvelles technologies, aux sujets de société, au business du sport et aux jeux vidéo.

Du même auteur:

A chaque série Netflix son arôme de cannabis
Twitch: comment devenir riche et célèbre grâce aux jeux vidéo

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info


Merci de votre inscription
Ups, l'inscription n'a pas fonctionné
Image Footer

"Tout ce qui compte.
Pour vous."