Cybersécurité : et si on commençait par faire simple ?

Aujourd’hui, la cybersécurité se doit de faire partie intégrante de la stratégie des entreprises. Surtout quand on sait que 40 % des victimes d’attaques par rançongiciels sont des PME et ETI. Pour autant, celles-ci peinent à mettre en place les mesures nécessaires pour se protéger et quelles priorités se fixer en matière de sécurité informatique. Et si, la cybersécurité était une simple affaire de pragmatisme ?

Les entreprises n’ont pas le choix. La mise en place d’une stratégie de cybersécurité est imposée par la recrudescence des attaques et menaces (phishing, ransomware…) auxquelles elles doivent faire face.

La cybersécurité, des priorités difficiles à établir

Néanmoins, les PME et ETI ne savent pas par où commencer pour se protéger. Plusieurs raisons sont souvent évoquées, parmi lesquelles, en tête de liste, la complexité des solutions : zero trust, bastion, analyse de logs. Nombre de dirigeants imaginant que, pour être protégés efficacement, ils doivent mettre en place des solutions extraordinaires, parfois portées par des effets de mode.

Deuxième frein, et non des moindres, le budget. En effet, dans l’imaginaire collectif, qui dit “complexe” dit onéreux. Les actions à mettre en place pour se protéger semblent alors hors d’atteinte pour les PME et ETI, qui renoncent faute d’arriver à se fixer des priorités.

Enfin, la résistance au changement des collaborateurs. En effet, sans accompagnement, ils tardent à apprendre les bons gestes en matière de cybersécurité. Ils conservent alors des habitudes risquées (mot de passe peu sécurisé, ouverture de mails douteux, connexion au wifi public…).

Des menaces à identifier en amont

Avant toute chose, il faut savoir et comprendre les menaces auxquelles les entreprises sont exposées. Savoir ce que l’on cherche à combattre permet de mettre en place les actions qui conviennent en matière de sécurité.

Dans un premier temps, il faut identifier les menaces les plus populaires et les plus utilisées, comme le ransomware ou le phishing par exemple. En ce sens, le mail est devenu une des principales portes d’entrée pour les pirates et une vraie faille de sécurité. Le but est alors de leurrer l’utilisateur, pouvoir récupérer un certain nombre de données afin d’en tirer profit ou de rançonner l’entreprise.

Ces menaces peuvent causer différents préjudices aux PME et ETI. Avant tout, le blocage de son système d’information et, dans les cas extrêmes, l’arrêt de la production. À terme, cela peut même aller jusqu’à des pertes financières, voire la faillite de l’entreprise.

La meilleure stratégie : l’approche pragmatique ?

Et si la meilleure stratégie était d’être légèrement moins vulnérable que les autres ? La logique est simple. Les pirates cherchent les entreprises dont la sécurité est la plus faible afin de les attaquer et récupérer leurs données. Ainsi, pour bien se protéger, il faut peut-être commencer par être juste un peu mieux protégé.

Pas besoin donc de mettre en place des solutions sophistiquées et coûteuses qui ne couvriraient que des risques secondaires.

Dans un premier temps, une approche plus pragmatique est nécessaire avec la mise en place de choses simples pour faire face aux menaces les plus évidentes :

* Formations et accompagnement des collaborateurs : tests de phishing, sensibilisation aux menaces, politique de mots de passe et contrôle d’accès…

* Installations de solutions de protection logicielles “de base” : antivirus, antispam, firewall…

* Mise en place d’une stratégie de sauvegarde performante (avec copie immuable par exemple) et tests de procédures de récupération des données ;

* Mise en place de Plans de Continuité ou de Reprise d’Activité ciblés sur les actifs informatiques critiques.

Autant de choses qui, misent bout à bout, permettent aux PME et ETI de se prémunir contre le vol ou la perte de données. Avec ces mesures de quasi bon sens, elles atteignent un premier palier de protection.

Ainsi, grâce à une approche de la cybersécurité plus pragmatique, les entreprises commencent par se protéger des risques majeurs en maîtrisant leur budget. Enfin, les collaborateurs qui sont une des premières lignes de défense en matière de sécurité informatique, et qui resteront toujours un maillon faible, peuvent être mieux formés et accompagnés sur ces sujets. Une fois ce palier franchi, des solutions plus sophistiquées, ciblées sur des vulnérabilités particulières peuvent être envisagées. Mais avant d’en arriver là, en matière de cybersécurité, si nous commencions par faire simple ?
____________________________

Par Jean-Eric Loisel, Directeur qualité au sein de Foliateam

Cybersécurité : et si on commençait par faire simple ?
Jean-Eric Loisel, Foliateam

La cybersécurité, des priorités difficiles à établir

Des menaces à identifier en amont

La meilleure stratégie : l’approche pragmatique ?

À lire également :

Auditer en continu son parc : un élément clé d’une gouvernance sécurité efficace

Cyberassurance et cybersécurité, approches complémentaires, objectif commun

4 (bonnes) questions à se poser avant de choisir sa formation « cybersécurité »

Cybersécurité : faire mieux avec moins

Startups : 5 des conseils cybersécurité essentiels

Cybersécurité : Une nouvelle stratégie à mettre en œuvre

Cet article vous plait ?

Bravo, vous êtes bien abonné à notre newsletter !

Rajouter InformatiqueNews.fr sur votre écran d'accueil