La cybersécurité est comme toujours une question d’équilibre. Les entreprises doivent en effet mettre dans la balance les risques qu’elles sont disposées à prendre et la sécurité qu’elles sont prêtes à payer. Cet exercice doit se faire dans un contexte d’évolution ultra-rapide et sur un marché de l’emploi où les experts en sécurité sont une denrée rare.
La criminalité a évidemment toujours existé. Mais au fur et à mesure que la société se numérise, il ne faut pas s’étonner de voir le cybercrime prendre de nouvelles formes toujours plus efficaces. « La sophistication des attaques est manifeste », estime Bart Loeckx, Director Networking & Security chez Telenet Business. Les agresseurs attaquent leurs victimes potentielles de manière très ciblée et avec patience.
Ce sont surtout les plus petites entreprises qui estiment trop souvent encore qu’elles ne constituent pas une cible intéressante pour les cybercriminels. Mais à tort. « Nous constatons encore et toujours une sous-estimation des risques », souligne Bart Loeckx. « Le fait de ne plus avoir subitement le moindre accès à ses données est une situation que bon nombre d’entreprises ne peuvent toujours pas s’imaginer. »
Angles morts
Dans le même temps, ces entreprises ont aussi souvent un faux sentiment de sécurité. Aussi ironique que cela puisse paraître, une telle évolution peut aussi s’expliquer par les investissements en cybersécurité de ces dernières années. « Les entreprises croient trop rapidement avoir fait le nécessaire », analyse Bart Loeckx. « Elles sous-estiment dès lors l’impact potentiel d’un incident. » Investir dans des outils uniquement n’est donc pas suffisant. La complexité croissante des menaces potentielles rend une vision holistique indispensable. Sans une telle vue d’ensemble, des angles morts subsistent.
« La plupart des entreprises réalisent certes des sauvegardes », explique encore Bart Loeckx, « mais comment peuvent-elles être certaines que ces sauvegardes sont ‘propres’ ? De même, les entreprises ont mis en place des solutions de ‘patch management’ et d’authentification à deux facteurs, mais les utilisent-elles correctement ? » Par ailleurs, cette vue holistique se révèle également nécessaire pour obtenir une évaluation précise des risques. Car le risque zéro n’existe pas : celui qui verrouille tout hermétiquement finit par ne plus pouvoir travailler.
L’ensemble de la chaîne d’approvisionnement doit collaborer
L’imminence de l’échéance pour NIS2 donne incontestablement une nouvelle dimension à la cybersécurité. Pourtant, force est de constater que nombre d’entreprises préfèrent continuer à se montrer attentistes. Il ne s’agit sans doute pas là de la meilleure stratégie à suivre. « En effet, d’autant que la portée de NIS2 est bien plus vaste que celle de la directive précédente », rappelle Bart Loeckx.
Il ne s’agit en effet pas uniquement des entreprises qui tombent sous le champ d’application de NIS2, mais très souvent aussi de leurs fournisseurs et partenaires. « Le volet technologique du dossier n’est pas la difficulté majeure », précise Bart Loeckx. « Le défi porte sur le périmètre, à savoir dans le fait qu’il faut s’intéresser bien davantage à l’ensemble de la chaîne d’approvisionnement. »
Pas de tabou
L’un des aspects importants de NIS2 – et en même temps un élément face auquel certaines entreprises étaient précisément dans l’expectative – est l’obligation de déclaration. Pourtant, il s’agit là d’un outil essentiel pour permettre d’évaluer le plus rapidement possible l’impact d’une cyberattaque : une communication ouverte. « La question est évidemment de savoir quelle information on communique et à quel moment », indique Bart Loeckx. « Faut-il d’abord colmater la faille de sécurité puis seulement alors communiquer ? En l’occurrence, le contexte est bien sûr très important. Cela dit, il ne devrait en fait y avoir aucun tabou. Pas besoin d’être alarmiste, mais bien de communiquer correctement. »
« Nous constatons encore et toujours une sous-estimation des risques. Le fait de ne plus avoir subitement le moindre accès à ses données est une situation que bon nombre d’entreprises ne peuvent toujours pas s’imaginer. »
Bart Loeckx, Director Networking & Security chez Telenet Business
Pour concrétiser cette approche holistique de la cybersécurité, les entreprises ne disposent cependant pas toujours de l’expertise nécessaire en interne. Il se révèle extrêmement difficile de maintenir à niveau l’expertise nécessaire, voire de trouver les bons experts en sécurité sur le marché de l’emploi actuel. Dès lors, les intégrateurs sont appelés à la rescousse. « Il n’est plus possible de suivre l’ensemble des domaines seul en tant qu’entreprise », estime Bart Loeckx, « car tout évolue beaucoup trop vite. Dès lors, l’externalisation des services de sécurité n’est désormais plus un tabou. »
Pour plus d’informations sur la cybersécurité, cliquez ici.