S'ABONNER
S'ABONNER
Partenaires

« Le risque zéro est inconcevable, même avec une confiance zéro »

ISACA
ISACA
Partner content

Partner content met en relation les organisations avec les lecteurs et fait appel aux spécialistes de Roularta Brand Studio pour le texte et les illustrations. Le contenu peut être fourni par le partenaire et n'engage pas la responsabilité de la rédaction.

24 octobre 2023, 06:00 Mise à jour le: 24 octobre 2023, 08:45

La cybersécurité est plus que jamais au centre de l’actualité. Le grand public entend parler d’entreprises piratées et de victimes de phishing. « Mais nous ne pouvons pas – et nous ne voulons pas – débrancher le câble réseau partout. Nous devons viser la confiance numérique. »

L’augmentation du nombre d’attaques s’explique en partie par le fait que nous agissons de plus en plus de manière numérique. « Il y a davantage de transformation numérique », déclare Marc Vael, Platform CISO chez Veralto et membre de l’Information Security Advisory Group auprès de l’ISACA. « Les entreprises répondent ainsi aux besoins de leurs clients. Mais il s’agit naturellement d’une évolution sur laquelle les cybercriminels capitalisent également. »

Les gens ont encore souvent peur de signaler qu’ils ont été victimes d’une attaque. Le nombre d’incidents reste incertain, notamment parce que les attaques se produisent de plus en plus indirectement. Les pirates ne s’attaquent pas à l’entreprise qu’ils visent, mais pénètrent le réseau de l’un de ses partenaires, pour finalement atteindre leur cible. Cela montre que chaque entreprise doit prendre ses responsabilités.

Une fusée à trois étages

Mais quelles mesures concrètes une entreprise peut-elle prendre, par exemple dans le cadre de la lutte contre le phishing ? « Cela nécessite une fusée à trois étages », explique Marc Vael. « Vous devez informer vos collaborateurs sur les messages de phishing en circulation. Ensuite, vous devez vérifier qui a effectivement cliqué sur le lien malveillant. Il est également important de signaler le message de phishing, par exemple, via suspect@safeonweb.be, qui bloque les liens malveillants par l’intermédiaire de tous les fournisseurs de télécommunications belges. » Il se peut que le message continue à s’afficher après cela, mais le lien ne fonctionnera plus.

Marc Vael, Platform CISO chez Veralto et membre de l’Information Security Advisory Group auprès de l’ISACA.

Il est essentiel que les collaborateurs surmontent leur gêne. « Il n’y a aucune raison d’avoir honte du fait d’avoir cliqué sur un lien dangereux », estime Marc Vael. « Les personnes qui signalent immédiatement qu’elles ont commis une faute méritent une récompense. » Au lieu de garder le silence, elles seront beaucoup plus enclines à en parler avec leurs collègues. Cela s’avère être une excellente façon de sensibiliser aux cyberdangers.

Un battage marketing

Pour répondre aux menaces croissantes, les fournisseurs de solutions de sécurité utilisent de plus en plus un nouveau terme : le zero trust. Il s’agit d’une approche qui bouleverse l’approche classique de la sécurité : par définition, rien ni personne n’a accès. Dans la pratique, avec le zero trust, l’accès aux données et aux applications repose sur une vérification systématique. « Je n’y crois pas », affirme Marc Vael. « Le zero trust équivaut à débrancher le câble réseau. Dans un monde numérique, ce n’est pas ce que nous voulons faire. »

« En fin de compte, c’est le conseil d’administration qui décide de la stratégie. Il n’a pas toujours le sens de la technologie et de la cybersécurité, mais il comprend l’importance de la confiance numérique. »

Marc Vael, Platform CISO chez Veralto et membre de l’Information Security Advisory Group auprès de l’ISACA

En outre, dans la pratique, le zero trust ne s’avère pas directement être une solution pour les services traditionnels, l’IdO et les services de prestataires externes, entre autres. « Pour moi, le zero trust est un battage marketing », déclare Marc Vael. « Je crois au digital trust. Le risque zéro n’existe pas. Viser le risque zéro avec une confiance zéro n’est tout simplement pas une bonne chose. »

D’autres moyens sont les bienvenus

L’augmentation du risque d’incidents de sécurité est manifeste. La nécessité de se protéger l’est tout autant. Mais les entreprises disposent-elles d’un budget suffisant pour cela ? Selon le rapport « State of Digital Trust 2023 » de l’ISACA, 38 % des entreprises ne disposent pas d’un budget suffisant pour la sécurité informatique. « Il faut avant tout être capable de bien expliquer ce pour quoi on a besoin de budget », explique Marc Vael. « En fin de compte, c’est le conseil d’administration qui décide de la stratégie. Et même si le contexte technologique autour de la cybersécurité n’est pas toujours bien compris, le conseil d’administration comprend la nécessité de parier sur la confiance numérique. »