CCI/FEB: ‘Belgian Cyber Security Guide’ pour les PME

La CCI et la FEB publient une brochure d’introduction très intelligible sur la cyber-sécurité pour les PME, y compris 10 actions sécuritaires ‘Must do’.

Le cyber-sécurité devient un thème toujours plus aigu, comme le démontrent les nombreux messages de cyber-attaques et de cyber-espionnages. Aucune entreprise n’échappe plus à ces dangers, si petite soit-elle. “Chaque jour, il y a des fuites d’informations vers l’étranger et les concurrents”, souligne Rudi Thomaes, secrétaire général de la Chambre de Commerce Internationale (CCI) belge. Souvent, la direction de l’entreprise n’est pas réellement consciente de ce que cette menace et la sécurité requise impliquent, avec tous les dangers que cela entraîne. Voilà pourquoi la CCI et la Fédération des Entreprises de Belgique (FEB) ont pris l’initiative d’un ‘Belgian Cyber Security Guide’, qui offre en 10 points une introduction intelligible au sujet. “Nous voulons informer toutes les entreprises, quelle que soit leur taille, sur la manière dont elles peuvent faire face à ces menaces”, déclare Christine Darville, en charge du département juridique de la FEB. La brochure a nécessité un an de travail à EY (Ernst&Young) et à Microsoft, avec les conseils d’Isaca et en collaboration avec le BCCentre.

Avec cette brochure, la FEB entend accomplir un premier pas vers les entreprises dans l’optique d’une approche plus efficiente de la sécurité, surtout à présent que des développements tels BYOD et le nuage induisent de nouvelles tâches sécuritaires. Actuellement disponible en anglais, la brochure sera traduite en français et en néerlandais, pour abaisser encore son seuil d’accès. Les différentes fédérations sectorielles au sein de la FEB peuvent désormais décider comment cette brochure et le sujet abordé seront communiqués à leurs membres. Elles peuvent envisager aussi des actions de support complémentaires, comme des sessions d’information, etc.

La CCI et la FEB insistent sur le fait que cette brochure ne sera pas un coup unique, mais le début d’autres actions sur le thème de la sécurité, en collaboration avec les autorités et les entreprises. Le contenu sera donc actualisé au fur et à mesure des évolutions dans le monde de la sécurité. En fonction des réactions provenant des fédérations sectorielles et des membres, la FEB elle-même pourra aussi envisager une fonction interne en la matière, ainsi qu’une collaboration avec d’autres organisations. Cette brochure devrait également servir de base à la création de publications pour d’autres groupes. C’est ainsi que le B-CCentre – un partenaire de ce projet de ‘Guide’ – envisage un document à utiliser dans les écoles.

La brochure sera disponible par voie électronique via le B-CCentre www.b-ccentre.be et la CCI.

Aujourd’hui même!

L’important, c’est que les entreprises – même la plus petite – prennent conscience de la nécessité de passer à l’action. “Les attaques ne sont pas de la science fiction”, affirme Rudie Thomaes, “mais une réalité. Et un incident peut signifier la fin d’une petite entreprise.” Nombre d’entreprises modestes font du reste partie de ‘chaînes’, à l’image des ‘supply chains’ (chaînes d’approvisionnement), et les grandes sociétés poseront toujours plus d’exigences sécuritaires supplémentaires à ce genre de chaînes (de sorte que les fournisseurs ne constituent plus des ‘portes dérobées’ pour des attaques). Les entreprises qui ne mettent pas en oeuvre une sécurité adéquate, pourraient donc être exclues et perdre des plumes. Elles pourraient même suite à un incident connaître des difficultés supplémentaires avec leurs actionnaires, clients ou fournisseurs,… et éventuellement même des problèmes pénaux.

Pour maintenir le seuil d’accès aussi bas que possible, la CCI et la FEB publient également un index des…

… 10 ‘Key principles’ et 10 ‘Must Do’-actions:

Principle 1: Voir plus loin que la technologie

Must Do 1: Assurer la prise de conscience et la formation des utilisateurs

Principle 2: Il ne suffit pas d’être en conformité

Must Do 2: Tenir ses systèmes à jour

Principle 3: Traduire son ambition en matière de sécurité dans une politique de sécurité de l’information

Must Do 3: Protéger l’information

Principle 4: S’assurer d’un engagement de la part de la direction

Must Do 4: Appliquer un plan de sécurité pour les appareils mobiles

Principle 5: Créer un rôle visible de sécurité dans l’entreprise et responsabiliser les personnes

Must Do 5: N’autoriser l’accès à l’information qu’en cas de nécessité justifiée

Principle 6: Conserver la sécurité avec fournisseurs externes

Must Do 6: Appliquer des règles de sécurité pour navigation sur internet

Principle 7: S’assurer que la sécurité soit un moteur pour l’innovation

Must Do 7: Faire usage de mots de passe complexes et sûrs, et les garder en sécurité

Principle 8: Persister dans ses efforts

Must Do 8: Faire des copies de sauvegarde des données et de l’entreprise et les vérifier

Principle 9: Rester concentré

Must Do 9: Lutter à différents niveaux contre les virus et autres programmes malveillants

Principle 10: Se préparer à affronter des incidents

Must Do 10: Prévenir, détecter et agir.