L’augmentation du nombre de failles de données s’est poursuivie en 2015. En fait, il se passe rarement une journée sans qu’une entreprise ou un pays ne soit victime d’une cyber-attaque.

Cette année, les attaques les plus médiatisées ont touché des grandes entreprises comme Github ou Uber, mais également les données d’entraînement personnelles du champion cycliste Chris Froome. Ces agressions, parmi d’autres, démontrent l’étendue d’un problème qu’un grand nombre d’entre nous ont déjà affronté et que beaucoup redoutent.

Mais derrière les grands titres d’une presse qui se délecte généralement de la fuite de photos de célébrités, et qui se demande si l’Amérique soupçonne la Russie ou si les coupables se trouvent en Chine, le message est clair : les hackers ont toujours une longueur d’avance sur les procédures de sécurité appliquées par les entreprises. Malgré tout, professionnels et particuliers disposent de certains moyens pour se protéger et inverser la tendance pour mettre un terme à la domination des hackers.

Partager les bonnes pratiques – Une cyber-attaque est une expérience terrible pour une entreprise. Outre les données sensibles qui peuvent atterrir dans les mains des mauvaises personnes, une attaque malveillante a nécessairement un effet néfaste sur l’image de marque et l’attitude des clients. Pour avoir une longueur d’avance sur les pirates – et la conserver -, les entreprises doivent travailler main dans la main, ce qui passe par le partage d’informations concernant les différents types d’attaques, les tactiques de défense et les bonnes pratiques applicables.

Récemment, le Congrès américain a adopté une loi visant à protéger juridiquement les entreprises qui partagent les indicateurs concernant les cybermenaces et les mesures de protection en vue de favoriser ce type d’échange. Ainsi, deux projets de loi présentés cette année assurent la protection en responsabilité des entreprises qui partagent leurs indicateurs de cybermenaces avec le gouvernement. Ces mesures sont essentielles parce qu’elles encouragent les entreprises à partager leurs connaissances en les protégeant juridiquement contre la divulgation d’informations relatives à une cyber-attaque dont elles sont victimes.

L’éducation pour tous – La meilleure manière de lutter contre un problème récurrent est d’augmenter le niveau de sensibilisation et d’éducation en expliquant avant tout pourquoi il survient et se reproduit. C’est pourquoi les entreprises doivent prendre le temps de partager les meilleures pratiques, tant au niveau des clients que des employés. En matière de sécurité, les risques sont le résultat d’actions ou d’erreurs commises par les employés ou les clients, ce qui ne signifie toutefois pas qu’ils en soient les uniques responsables.

En tant qu’entreprise, votre devoir est de mettre en œuvre des règles visant à sensibiliser vos employés aux problématiques de sécurité. Il arrive que les cyber-pirates utilisent une méthode aussi simple que l’envoi par courriel d’un logiciel malveillant – ce fut le cas pour Target, la grande enseigne américaine. Mais à mesure que les pirates deviennent plus sophistiqués, la sensibilisation des employés doit aller au-delà de la gestion améliorée des mots de passe. Pensez par exemple à la manière dont les utilisateurs sont authentifiés pour accéder au réseau, et combien il est facile pour un pirate de déjouer les protections. Les processus de connexion qui requièrent une authentification à deux facteurs peuvent ajouter une couche de sécurité supplémentaire aux comptes accessibles à distance.

Mais si les données de votre entreprise sont effectivement protégées à l’intérieur du réseau, certains employés préfèrent utiliser leur propre application sur le cloud pour gérer leurs documents de travail. Or, de telles applications peuvent opérer à l’extérieur du domaine d’intervention du service informatique, exposant vos données à de multiples dangers. Veillez à appliquer une règle spécifiant les applications que les employés sont autorisés à utiliser – voire à mettre en place un système chargé de gérer et de sécuriser l’identité de chaque utilisateur, plutôt que de chaque appareil utilisé pour accéder au réseau. Il est en fait indispensable de bien expliquer aux employés pourquoi ces mesures sont importantes et ce qu’ils peuvent faire de leur côté, en encourageant leur contribution et leur rôle dans le maintien de la sécurité.

Tirez un plan – L’expérience montre que tout le monde peut être victime d’une cyber-attaque et de failles de sécurité. Les entreprises n’ont dès lors aucune excuse pour ne pas déployer un plan de sécurité et s’armer de technologies dernier cri, telles que le chiffrement, les outils de lutte contre les attaques par déni de service distribué (DDoS) ou la protection de leurs applications critiques.

Selon une récente étude, plus de la moitié (54 %) des entreprises manquent d’informations de sécurité pour se protéger contre les menaces informatiques. De même, 6 décideurs IT sur 10 n’accordent aucune confiance aux règles de cybersécurité de leur entreprise. Les entreprises doivent agir immédiatement et, si ce n’est déjà fait, appliquer un plan en veillant à investir dans les technologies appropriées pour protéger leur organisation et leurs données.

Il est absolument indispensable de changer notre façon de traiter et gérer l’information, que ce soit en tant que particulier ou en tant qu’entreprise. Ce virage peut être provoqué par un changement de comportement lié à une attaque de grande envergure qui touche de nombreuses personnes – par exemple, le piratage des appareils de chauffage connectés en plein hiver. Il peut également être d’ordre institutionnel : l’année 2016 devrait être marquée par l’introduction de la nouvelle législation européenne en matière de protection des données, et qui concerne la façon dont les entreprises collectent, stockent, accèdent et sécurisent les informations. Quoi qu’il en soit, les entreprises ne doivent pas rester les bras croisés. C’est à elles de prendre des initiatives et de mettre en œuvre leurs propres règles et infrastructures de sécurité. C’est à ce prix que nous parviendrons à devancer les pirates.

 

__________
Tewfik Megherbi est consultant avant-vente F5 Networks