Cybersécurité-843016322-FR

5 conseils pour renforcer la sécurité des systèmes d’information

Neuf failles de sécurité sur dix sont le fruit de l’ingénierie sociale ou du phishing (hameçonnage), c’est-à-dire de manœuvres trompeuses ou de manipulations ayant pour but d’usurper l’identité ou de voler les identifiants des utilisateurs. De même, la plupart des fraudes (environ 65 %) que subissent les entreprises ne proviennent ni d’actes prémédités ni d’une faille du système mais bien d’une opportunité de fraude qui a été exploitée.

Sur l’ensemble de la chaîne de protection des systèmes d’information (une notion plus vaste que la « cybersécurité » et qui englobe à la fois les systèmes numériques et analogiques), le facteur humain reste le maillon faible. Il constitue en effet l’essentiel des quatre millions d’euros dépensés chaque année par les entreprises pour colmater les brèches de leur système de sécurité.

[INFOGRAPHIE – Cybersécurité : se protéger aujourd’hui des menaces de demain]

La culture de la sécurité doit faire partie de l’ADN des entreprises

Aujourd’hui, le digital fait partie intégrante de notre vie. Cependant, on oublie trop souvent que le principal objet de la sécurité n’est pas le système en lui-même mais les données qu’il contient, qu’elles soient personnelles, médicales, commerciales ou contractuelles.

Le monde numérique étant devenu le prolongement du monde réel, il convient d’exercer la même vigilance. De même que nous refermons la porte en sortant de chez nous ou que nous installons une porte blindée pour protéger notre domicile, notre espace en ligne se doit d’être protégé. Ainsi, les entreprises qui « oublient de fermer la porte » s’exposent au vol de leur stratégie, de leurs informations commerciales ou de leurs processus.

Pourtant, il existe un levier permettant de réduire les risques d’attaques : sensibiliser les utilisateurs. En effet, sans une démarche de formation et de sensibilisation des professionnels et de la société en général, toutes les mesures techniques seront inutiles car l’utilisateur continuera à cliquer sur un lien sans aucune vérification.

[A VOIR : Hackers mal ou bien intentionnés : les « Black Hats » et les « White Hats » du piratage informatique]

En matière de sécurité des données, le risque zéro n’existe pas

L’usage du pare-feu, les mesures contre les ransomwares, les antivirus, la mise à jour du système d’exploitation ou le renforcement des mots de passe sont quelques-unes des solutions techniques appliquées actuellement. Toutefois, le pare-feu humain reste encore le système de protection le plus sûr.

Ces solutions ainsi qu’une politique de défense active (recherche sur les réseaux pour détecter les éventuelles attaques, techniques préventives et correctives, intelligence artificielle, etc.) peuvent contribuer à renforcer l’intégrité des systèmes. Cependant, il ne s’agit pas tant d’utiliser une seule technologie que d’appliquer plusieurs « couches de sécurité » afin d’éviter que les systèmes non protégés (un véhicule autonome, p. ex.) ne soient attaqués.

Le cyberespace n’échappe pas à la réglementation sur la protection des données

Le cyberespace apparaît comme un nouveau lieu politique où les citoyens interagissent. À ce titre, il est soumis à la législation en vigueur.

La réglementation prend de plus en plus une dimension internationale. En Espagne, la loi sur la protection des données (Ley Orgánica de Protección de Datos ou « LOPD »), l’équivalent de la loi « informatique et libertés » en France, protège les données à caractère personnel quel que soit leur format, du simple enregistrement de voix aux notes prise sur un cahier. La nouvelle directive européenne de protection des données, qui entrera en vigueur en mai 2018, se veut plus contraignante en obligeant à prendre en compte la sécurité des données dès la mise en place du système d’information. Enfin, la norme ISO 27001 vise à certifier les systèmes d’information les plus sécurisés.

La sécurité n’est pas incompatible avec la vie privée. Au contraire, elle est le seul moyen de la garantir. Nombre d’applications téléchargées sur les smartphones sont gratuites. Conséquence : c’est l’utilisateur qui devient un produit dont on exploite les données. La sécurité et la législation visent donc à empêcher une utilisation malveillante de ces informations.

Tirer les enseignements des erreurs de sécurité des données

Au fil du temps, professionnels et particuliers ont pris en main la protection de leurs données. Auparavant, les entreprises victimes d’une attaque en raison d’une faille de sécurité préféraient passer l’incident sous silence par crainte de ternir leur image. Aujourd’hui, elles s’efforcent de réduire la portée des problèmes et d’en tirer les leçons.

C’est ce qui s’est produit avec le phénomène WannaCry. Les entreprises ont reconnu les faits et, bien que l’épisode ait été largement relaté, ses effets ont été minimes par rapport aux autres attaques subies jusqu’alors.

Si cet accident nous rappelle de ne pas oublier de mettre à jour notre système d’exploitation (Microsoft avait publié un correctif en mars), il souligne surtout l’importance de l’utilisateur dans la stratégie globale de sécurité. Autre enseignement : la sécurité est l’affaire de tous les acteurs impliqués.

Sécurité des données : un champ en pleine évolution

Tous les jours, des attaques se produisent partout dans le monde. Même si dans l’ensemble nos systèmes sont bien protégés, avec du temps et des moyens, aucune infrastructure n’est infaillible.

Actuellement, les mesures de sécurité se situent à l’échelle du code afin d’identifier les vulnérabilités. Parallèlement, les protections de type pare-feu et antivirus s’améliorent et deviennent de plus en plus robustes. Malgré tout, il reste du chemin à parcourir pour que les utilisateurs prennent pleinement conscience des enjeux liés à la sécurité des données.

The following two tabs change content below.

Monica De La Huerga

Head of Security – Chief Information Security Officer (CISO) Spain at Sopra Steria - Spain
I’ve been working in the security field since 2014. Security does not depend only on technology. Human firewall is a must.

Latest posts by Monica De La Huerga (see all)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *