Année après année, les analystes et les fournisseurs de solutions de sécurité insistent sur le nombre croissant de cyberincidents. L’inaction n’est donc pas une option. « Partez du risque que vous voulez accepter et alignez votre budget de cybersécurité sur celui-ci. »
Il est important de noter qu’à côté de l’augmentation du nombre d’attaques, il y a aussi plus de protection. « Nous constatons clairement une augmentation du nombre d’incidents enregistrés », déclare Paul Vanderborght, Managing Director Cloud & Infrastructure Services Belgium chez Capgemini. « Mais évidemment, il y a aussi beaucoup de choses que les entreprises ne rendent pas publiques. Il est pourtant bon que les piratages fassent la une. Cela favorise la prise de conscience, y compris au niveau des directions. »
« En général, le CEO et le CFO évaluent bien les risques », estime Paul Vanderborght. « Ce sont des profils qui possèdent un réseau. Ils discutent avec des collègues d’autres entreprises et apprennent ainsi qu’elles ont eu des problèmes. Mais dans la pratique, c’est souvent la concrétisation technologique qui ne suit pas. » Et c’est là que le bât blesse. La sécurité requiert une approche de bout en bout. L’évaluation correcte des risques par le CEO est donc une bonne chose, mais elle doit être traduite en termes concrets dans toute l’entreprise, jusqu’au niveau technique.
Reconnaître le danger
Cette traduction doit porter non seulement sur les systèmes, mais aussi et surtout sur leurs utilisateurs. Les cybercriminels considèrent les humains comme la voie d’accès la plus facile au réseau de l’entreprise. Ils ne cessent d’affiner leurs attaques à l’aide de courriels de phishing. Que peut faire une entreprise face à cela ? « Cela commence par le volet technique », explique Paul Vanderborght. « Vous devez détecter les attaques de phishing et limiter les dégâts. Parallèlement, la sensibilisation reste très importante. Chez Capgemini, nous organisons une campagne annuelle au cours de laquelle nous apprenons à nos collaborateurs à reconnaître les courriels et les liens malveillants.
« En matière de cybersécurité, on part du risque que l’on veut accepter. En même temps, cela nécessite un état d’esprit qui va au-delà de l’informatique. »
Paul Vanderborght, Managing Director Cloud & Infrastructure Services Belgium chez Capgemini
Dans le même temps, il faut aussi miser sur la technologie. L’un des termes utilisés par les fournisseurs de solutions de sécurité à cet égard est le zero trust. Le zero trust est un principe de base signifiant que rien ni personne n’a accès aux applications et aux données, sauf après une vérification stricte. « Je considère plutôt le zero trust comme un moyen de protection supplémentaire », déclare Paul Vanderborght. « Je suis convaincu que le zero trust offre une bonne solution pour certains domaines spécifiques. En appliquant le zero trust à un administrateur disposant de nombreux droits d’accès, par exemple, vous augmentez le niveau de sécurité. »
Au-delà de l’IT
Le soutien d’un spécialiste externe peut aider une entreprise à prendre plus rapidement les mesures nécessaires en matière de cybersécurité. En effet, qu’on le veuille ou non, la sécurité reste jusqu’à nouvel ordre une préoccupation majeure pour toutes les organisations. « La cybersécurité requiert un état d’esprit qui va au-delà de la simple informatique », affirme Paul Vanderborght. « Il s’agit d’un processus de bout en bout. Tous les départements de l’entreprise doivent être impliqués. Partir du risque que l’on veut accepter reste un bon point de départ, notamment aussi pour déterminer le budget. » Il s’agit d’une base sur laquelle s’appuyer, non seulement avec la technologie qui assure la protection, mais aussi avec des initiatives et des formations visant à faire passer la sensibilisation à la cybersécurité à un niveau supérieur.