Incident de sécurité : mieux vaut prévenir que guérir

La sécurité ICT est l’une des grandes questions du moment. Les communiqués de presse annonçant des piratages de fichiers client, des détournements de sites web et des tentatives de chantage par le biais du ransomware sont monnaie courante. Les coûts d’un tel incident peuvent rapidement grimper en flèche. Pire encore : dans le contexte du futur RGPD, de telles crises peuvent également se solder par une amende sévère.

La sécurité est, depuis bien longtemps, une question prioritaire du CIO. À juste titre. La cybercriminalité est devenue une véritable industrie. À l’instar de l’économie ” classique “, tout tourne aussi autour des données dans l’univers de la cybercriminalité. Les hackers accèdent à un marché criminel où un large éventail d’outils sont en vente : des progiciels complets d’attaque, mais aussi une multitude de services dans le cloud, tels que le phising, le ” ransomware as a service “, etc.

Vol et chantage

Dans le contexte numérique actuel, les volumes de données augmentent à une vitesse fulgurante. Et de nouvelles données s’y ajoutent inlassablement, à mesure que nous numérisons de plus en plus de processus d’entreprise. Au final ? Toujours plus d’applications et donc toujours plus de personnes et d’appareils qui exploitent ces données. Comme le dit le proverbe : ” L’occasion fait le larron “. Plus de données, c’est donc aussi plus de possibilités de criminalité. Autrement dit : il semble que nous ne soyons pas près de nous débarrasser du phénomène de la cybercriminalité. Dans le monde numérique, les criminels utilisent d’ailleurs également les deux ” modèles d’affaires ” classiques : soit ils volent des données dans l’intention de les vendre, soit ils optent pour le chantage et proposent à l’entreprise visée de récupérer ses données en échange d’une rançon.

Selon une étude de FireEye menée à l’échelle mondiale, si le hacker ne fait pas parler de lui, 146 jours s’écoulent en moyenne avant que l’effraction soit remarquée.

Une caractéristique de la cybercriminalité est que les entreprises parviennent rarement à prendre les pirates informatiques sur le fait. Un piratage n’est souvent découvert que plus tard, lorsque les criminels essaient d’écouler les données ou lorsqu’ils bloquent un système et demandent une rançon. Selon une étude de FireEye menée à l’échelle mondiale, si le hacker ne fait pas parler de lui, 146 jours s’écoulent en moyenne avant que l’effraction soit remarquée. En Europe, la moyenne s’élèverait plutôt 469 jours. Les hackers peuvent donc, en moyenne, se servir librement pendant plus d’un an. Un rapport de Trustwave suggère que dans 81 % des cas, l’incident n’est pas identifié par l’entreprise elle-même, mais signalé par une/des personnes(s) externe(s). Dans le pire des cas, un message est publié dans la presse, avant même que l’entreprise soit informée du piratage.

Coûts et amendes

Un incident de sécurité entraîne des coûts. Il s’agit avant tout de coûts directs. Une attaque avec un virus CryptoLocker, par exemple, verrouille les données de l’entreprise et les rend inutilisables. La conséquence est immédiatement tangible : l’entreprise n’est plus en mesure d’effectuer son travail et perd du chiffre d’affaires. Certaines entreprises refusent de négocier avec les criminels. Cette option n’est évidemment envisageable que lorsque l’organisation dispose d’une sauvegarde de ses données. Mais même dans ce cas, la récupération des données nécessite toujours un certain temps. Si l’entreprise se plie aux exigences des criminels, elle le paie cash.

Si des données confidentielles sont compromises lors de l’incident, l’entreprise doit – selon les directives du RGPD qui entrera en vigueur fin mai – signaler la fuite des données.

Quel que soit le choix que fait l’organisation, une telle attaque a presque toujours un impact financier, mais nuit également à sa réputation. L’incident sème le doute quant à la fiabilité de l’entreprise, dont les clients peuvent se détacher. Si des données confidentielles sont compromises lors de l’incident, l’entreprise doit – selon les directives du RGPD (Règlement général sur la protection des données) qui entrera en vigueur fin mai – signaler la fuite des données. Si elle ne le fait pas, elle encourt de lourdes amendes. Le RGPD engage, par ailleurs, la responsabilité personnelle du dirigeant de l’entreprise. Une chose est sûre : face au risque d’incident ICT, mieux vaut prévenir que guérir.

Sécurité intégrée

La question est évidemment de savoir comment les entreprises peuvent garantir un environnement ICT sûr à leurs collaborateurs. Il convient tout d’abord de ne pas envisager la sécurité comme une solution qu’il suffirait de superposer à l’infrastructure de l’entreprise, mais plutôt comme une solution intégrée à tous les niveaux. Dans le même temps, l’entreprise doit veiller au bon équilibre entre sécurité et faisabilité. Le système de sécurité parfait n’existe pas. Il s’agit donc de trouver une solution sûre, permettant également de travailler en toute efficacité.

En tant que fournisseur, HP répond à cette tendance en déplaçant l’essentiel de la sécurité vers l’appareil. Le convertible professionnel EliteBook x360, par exemple, est équipé de la technologie HP SureStart. Si l’appareil détecte une tentative de piratage, il réinitialise automatiquement le BIOS. Il va de soi qu’un ordinateur portable perdu ou volé ne peut pas permettre d’accéder aux données qui y sont stockées. HP a, pour ce faire, recours à l’authentification multifactorielle. Grâce à un système de reconnaissance faciale, de l’iris ou de l’empreinte digitale, seul l’utilisateur légitime a accès à l’appareil. Autant de fonctionnalités qui contribuent à une stratégie simple, mais efficace. Plus les outils offerts par le département ICT d’une entreprise sont performants, moins les collaborateurs auront tendance à apporter leurs appareils personnels au travail, avec les problèmes de sécurité supplémentaires que cette pratique engendre…

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire