“Une PME est également une cible potentielle”
Pour de nombreuses entreprises, la cybersécurité représente un phénomène extrêmement complexe. “Mon conseil à cet égard est de toujours s’appuyer sur les bonnes pratiques”, recommande Xavier Mertens de SANS Institute. “Il est évident en effet que la sécurité ne dépend pas d’une technologie en particulier.”
Lorsqu’il est question de cybersécurité, impossible de ne pas évoquer le facteur humain. “La shadow IT ou informatique fantôme pose désormais un véritable problème”, affirme d’emblée Xavier Mertens, consultant indépendant en sécurité rattaché au centre de formation à la sécurité SANS Institute. L’informatique fantôme est un terme générique pour désigner les applications informatiques que les collaborateurs d’une organisation utilisent sans en informer le département IT.
“L’informatique fantôme est surtout un problème culturel”, enchaîne Xavier Mertens. “Les gens veulent pouvoir travailler rapidement. Et dans ce contexte, les jeunes collaborateurs préfèrent utiliser leurs équipements personels, souvent plus puissants. Si le departement IT ne resoud pas leurs problemes rapidement, ils recherchent leur propre alternative.” C’est ainsi que l’on voit circuler des solutions IT sur lesquelles le département IT n’a aucune prise – et ne peut pas securiser de façon appropriee.
Priorité aux bases
“Le besoin de cybersécurité est un phénomène complexe”, affirme encore Xavier Mertens. “Certes, la sensibilisation est importante. Les gens doivent en effet avoir conscience des dangers potentiels. Mais dans le même temps, la réalité du terrain est importante. Une PME considère l’IT comme un outil : un instrument qu’elle doit utiliser, mais pour lequel elle ne prévoit pas du temps ou des moyens spécifiques pour l’améliorer.” C’est ainsi qu’il peut arriver que les serveurs d’une entreprise soient simplement accessibles via l’internet, et donc pas seulement par les collaborateurs qui télétravaillent, mais aussi par le premier cybercriminel venu.
“L’origine d’un incident lié à un rançongiciel est presque toujours des plus banales”, explique Xavier Mertens. “Très souvent, il s’agit d’une mauvaise configuration, un élément qui a été mal réglé. C’est pourquoi la leçon numéro un en cybersécurité est toujours la même : commencez d’abord par les bases.” Un choix qui fait à nouveau référence à la problématique de la sensibilisation. Xavier Mertens : “L’utilisateur est et reste le maillon faible. Quand bien même votre filtre de spam parvient à intercepter 95% des menaces, c’est un coup d’épée dans l’eau si votre collaborateur clique quand même sur l’un des messages restants.”
Configuration sécurisée
Cloud et sécurité : dans le contexte de la numérisation, ces deux notions restent indissociables. “Le passage dans le cloud reste trop souvent encore un choix du CFO”, observe Xavier Mertens. “Une décision prise dans une perspective financière. Le CFO choisit le cloud parce qu’il assure de la prévisibilité : chaque mois le même coût fixe.”
Si l’on s’en tient à ce seul argument, rien d’illogique, à condition évidemment que la configuration de la solution cloud choisie soit correcte. “Les cybercriminels sont constamment en quête d’opportunités”, poursuit Xavier Mertens. “Là où se trouve cette opportunité, il faut prévoir de la cybersécurité.” Pourtant, les petites entreprises ne devraient pas imaginer qu’elles ne sont dès lors pas une cible intéressante pour les cybercriminels.
Mon conseil est de toujours s’appuyer sur les bonnes pratiques, sachant que la sécurité ne dépend pas d’une technologie en particulier
Xavier Mertens, consultant indépendant en sécurité rattaché au centre de formation à la sécurité SANS Institute
Sur l’ensemble de la chaîne
“Un autre risque se situe au niveau de la chaîne d’approvisionnement”, note encore Xavier Mertens, “où les systèmes des entreprises échangent un nombre croissant de données entre eux, sans que cela se fasse toujours de manière sécurisée.” Dès lors, l’ensemble de la chaîne s’en trouve fragilisée. “Par le biais d’une PME mal sécurisée, les cybercriminels peuvent très bien pénétrer dans une autre entreprise, plus grande celle-là, intégrée dans la même chaîne d’approvisionnement. C’est pourquoi la sécurité de cette PME est bel et bien tout aussi importante.”
“Mon conseil à cet égard est de toujours s’appuyer sur les bonnes pratiques”, conclut Xavier Mertens. “Il est évident que la sécurité ne dépend pas d’une technologie en particulier. Car même une technologie de qualité ne sera d’aucun secours si votre réseau est mal configuré ou si un utilisateur décide de cliquer quand même sur un lien suspect.”
Pour plus d’infos cliquez ici
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici