Prévenir vaut mieux que guérir

La direction
il y a 20 heures
8 min de lecture

Faites un bilan de l’état de santé de la sécurité de votre entreprise, sinon…

Il y a quelques jours, je consultais mon dentiste pour la sixième fois en un an. Ça fait beaucoup, me direz vous! Croyez-moi, je le pense aussi, mais je n’aurais pas été aussi fidèle aux rendez-vous si je n’avais pas perdu trois dents auparavant.

Une jeune femme, chemisier et tailleur, assise à une table de commande virtuelle. — Prévenir vaut mieux que guérir

En effet, je ressentais régulièrement des douleurs dentaires sans que cela m’empêche de continuer à mâcher des aliments, jusqu’à ce fameux soir où ma cavité dentaire a enflé tel un ballon et mes mâchoires inférieures et supérieures ne pouvaient plus se toucher sans que je ressente une atroce douleur.

La suite, nous la connaissons déjà : trois dents perdues et quelques milliers de dollars dépensés. Quel gâchis!

Si j’avais consulté mon médecin plus tôt, non seulement je n’aurais pas dépensé un tel montant d’argent, mais surtout, j’aurais encore toute ma dentition aujourd’hui.

Cette histoire illustre parfaitement la réalité de plusieurs entreprises canadiennes en lien avec la cybercriminalité : elles se laissent « tuer à petit feu » et s’inscrivent davantage dans la réaction après incident que dans la prévention.

Et le mal, quant à lui, ne cesse de se répandre…

Selon le sondage (1) de CIRA sur la cybersécurité de 2022, trois entreprises canadiennes sur dix 29 ont subi une violation des données de leurs clients et/ou de leurs employés. « Avant la pandémie, seuls 18 disaient en avoir fait l’expérience ».

(1) Source de ce sondage : https://www.cira.ca/fr/ressources/cybersecurite/rapport/sondage cybersecurite 2022.

Le sondage précise également qu’en 2022:

29 % des entreprises ont subi une violation de données d'informations de clients ou d'employés, ce qui est une augmentation par rapport à 18 avant la pandémie.

15 % des organisations ont signalé avoir perdu des clients en raison d'une attaque, ce qui est le double du niveau pré pandémique.

25 % d'organisations canadiennes de plus ont souscrit une assurance cybersécurité en 2022 malgré les coûts et les exigences croissants.

55 % considèrent leur organisation comme plus vulnérable aux cybermenaces, car leurs employés travaillent à distance.

63 % des organisations considèrent la souveraineté des données comme plus importante que le prix lors de la sélection d'un fournisseur de services de cybersécurité.

96 % des organisations ont une formation obligatoire de sensibilisation à la cybersécurité pour certains Employés, contre 87 % avant la pandémie.

82 % des professionnels de la sécurité indiquent que leur organisation dispose d'un plan de réponse aux cyberincidents tandis que 6 organismes sur 10 ont utilisé ce plan dans les 12 derniers mois.

55 % des professionnels de la cybersécurité sont au courant du projet de loi C 27 et 59 % d'entre eux sont inquiets de son impact potentiel sur leur organisation. Le secteur privé semble moins préparé à mettre en place de nouvelles exigences.

Au moins 25 000 $ ont été versés par les organisations qui ont payé une rançon.

29 % des entreprises ont subi une

violation de données d'informations

de leurs clients ou de leurs employés

Vous avez certainement compris au travers des statistiques ci-dessus que vous devez faire plus pour vous protéger et protéger votre entreprise du cybercrime les dommages en cas d’incident ou d’attaque pourraient vous coûter très cher.

Vous êtes aussi capable de voir à quel point vous seriez paralysé si votre site Web tombait en panne pendant 24 heures, ou encore si vous étiez incapable de récupérer vos documents stratégiques à quelques heures d’une rencontre avec le client le plus important de votre vie, ou bien avec l’investisseur que vous attendiez depuis longtemps.

Cependant, qu’il me soit permis de vous dire qu’au-delà de ce que vous perdrez potentiellement à la suite d’un cybercrime, il y a ce que vous gagnerez assurément en réalisant un diagnostic de votre santé cybernétique.

Qu’est-ce que vous gagnerez à faire un bilan?

Une entreprise est essentiellement constituée d’actifs humains, matériels et immatériels, qui, mis ensemble, produisent des biens et services pour des clients, le tout avec un objectif de rentabilité.

Assurer la pérennité d’une entreprise, c’est donc assurer la pérennité de ses actifs.

Cependant, comme le corps humain peut subir des attaques de toutes sortes (infections bactériennes ou virales, accidents, vieillissement, etc., les actifs d’une entreprise peuvent faire l’objet d’attaques qui pourraient mettre à mal le fonctionnement et même l’existence de l’entreprise. Au premier rang de celles-ci se trouve le cybercrime, ou cybercriminalité.

L’être humain a tout à gagner, pour vivre longtemps et en bonne santé, à réaliser régulièrement un contrôle de santé chez un médecin et à soigner les problèmes de santé détectés avant qu’il ne soit trop tard. Selon votre profil de risque (antécédents familiaux, exposition aux menaces du fait de votre activité professionnelle, etc., vous serez amené à rencontrer votre médecin plus ou moins souvent que les autres.

De la même façon, toute entreprise sérieuse doit de se garder en forme le plus longtemps possible et identifier les situations à risque aussitôt que possible pour intervenir lorsqu’il est encore temps. Si, par exemple, vous attendez d’être attaqué pour vous rendre compte que vous aviez des vulnérabilités dans votre site Web, votre logiciel de paie ou la base de données de tous vos clients, il sera trop tard et des dommages tangibles et intangibles pourraient détruire votre entreprise.

C’est pourquoi il faut faire un bilan de l’état de santé de la sécurité de votre entreprise à une fréquence régulière, au début et à la fin d’un projet d’envergure, lors de l’intégration de nouveaux systèmes ou en cas de changement majeur. Ce bilan doit bien entendu être réalisé par des professionnels de la cybersécurité, reconnus et éprouvés.

Quels sont les principaux actifs à évaluer?

Si une entreprise (PME ou multinationale) dispose de plusieurs actifs informationnels ou systèmes d’information, il n’en demeure pas moins que tous ne jouent pas le même rôle et ne revêtent pas la même importance.

Un des éléments clés du bilan de cybersanté consiste à identifier le ou les systèmes informatiques les plus importants de l’entreprise et à se concentrer sur ceux-ci. Il faut également identifier les situations mettant l’entreprise à risque d’être la cible d’une cyberattaque. C’est un peu comme si vous étiez chez le docteur et que vous deviez parler de vos antécédents familiaux!

Il est primordial que tous les actifs d’une entreprise soient classifiés selon leur niveau de criticité afin de prioriser les actions de diagnostic et de maintenance.

Toutefois, il convient de préciser que l’homme reste le principal actif pour toute entreprise, en plus d’être le maillon faible de la chaîne sécuritaire. Il est donc important de réaliser des tests de contrôle des employés afin de mieux faire face aux menaces de type ingénierie sociale et hameçonnage, tout en formant et en sensibilisant les employés aux enjeux de cybersécurité actuels. Comment se passe la réalisation d’un bilan de santé en cybersécurité?

Plusieurs normes internationales en matière d’audit de sécurité des systèmes d’information peuvent servir de cadre de référence pour la réalisation d’un diagnostic de sécurité.

Au Groupe Cyberswat, notre expertise avérée dans le domaine de la cybersécurité nous a permis de faire une sélection parcimonieuse des éléments clés à mettre en place, éléments qui sont particulièrement critiques dans le contexte des PME.

Inspiré de la norme internationale ISO/IEC 27002 2013 et du référentiel de cybersécurité de l’organisme américain NIST notre diagnostic permet d’obtenir des recommandations et des pistes de solutions afin de diminuer la probabilité et l’impact d’une atteinte dans un environnement informatique.

« L’évaluation est la clé de la réussite.

Si vous ne savez pas où vous en êtes,

vous ne savez pas où vous allez. »

Benjamin Franklin

Les principales étapes d'un processus de diagnostic de sécurité seront :

1.La préparation de la mission de diagnostic

La phase préparatoire consiste à prendre toutes les dispositions sur le plan organisationnel et logistique pour garantir le bon déroulement de l’activité. Elle est essentiellement constituée d’une entrevue de type semi-dirigée et réalisée par des experts en cybersécurité avec les principaux acteurs du système d’information de votre entreprise. Au cours de cette importante séance de travail, tous les éléments clés seront évoqués, notamment les parties du système d’information devant faire l’objet du diagnostic, la méthodologie de travail, les résultats attendus et l’élaboration du rapport. La bonne nouvelle dans tout ça, c’est que votre entreprise n’a rien de particulier à préparer pour cette rencontre, ce qui allège votre charge de travail. La présence des cadres décisionnaires dev otre entreprise à l’entrevue, comme les directeurs des finances ou des TI, est un gage de succès de l’activité.

2. La réalisation du diagnostic

Le diagnostic de sécurité proprement dit est effectué en collaboration avec les personnes responsables du parc informatique et/ou du site Web de votre entreprise. À l’issue des séances de travail, l’équipe d’experts en cybersécurité passera en revue l’ensemble des informations recueillies et procédera à l’élaboration des recommandations.

3. L'élaboration du rapport

Le rapport de diagnostic sera accompagné d’un plan d’action en matière de cybersécurité, qui guidera les responsables de votre entreprise chargés de sa mise en oeuvre, et de l’assignation, de la priorisation et de l’application des recommandations du diagnostic et de toute autre intervention post diagnostic (par ex., les tests d’intrusion). Une réunion de clôture permettra aux experts de présenter les conclusions du diagnostic et les recommandations formulées. Comme un rapport médical, le rapport de diagnostic présentera:

une appréciation du niveau de santé général de l’environnement informatique analysé;
un ensemble de recommandations, priorisées par niveau de risque (élevé, modéré, faible);
une explication des conséquences possibles si la situation n’est pas corrigée (par exe, une fuite de données, une attaque de rançongiciels, la perte de disponibilité du service, etc.

4. Le suivi post-diagnostic

Selon les besoins de l’entreprise, la phase post diagnostic peut intégrer le suivi de la mise en oeuvre des recommandations formulées lors du diagnostic. Les experts en cybersécurité pourront alors, à fréquence définie, réaliser des contrôles de sécurité et évaluer le niveau d’évolution de l’entreprise.

En conclusion

Malgré l’évolution croissante du cybercrime, les expertises en matière de cybersécurité sont de plus en plus poussées et à même de répondre à l’ingéniosité malsaine des cyberdélinquants. Il revient aux entreprises, notamment aux TPE et aux PME, d’assurer la sécurité de leur patrimoine informationnel en tirant parti de cette expertise pour prévenir et contrecarrer les actions des mauvais acteurs de notre cyberespace.

Le groupe Cyberswat se place aux côtés des entreprises dans ce combat pour préserver leurs acquis grâce à ses experts et à ses services taillés sur mesure pour chaque entreprise.

Article rédigé par Cyrille Augustin Molemb Beal

Cyrille Augustin Molemb Beal, conseiller en sécurité de l’information, titulaire d’un m aster en TI, il possède une douzaine d’années d’expérience dans les TI, incluant une dizaine dans la cybersécurité.

Pour en savoir plus : www.cyberswat.ca

COMPLÉMENTS :

BÉNÉFICES DE FAIRE DES BILANS RÉGULIERS :

Cartographier votre système d’information (si ce n’est déjà fait)
Identifier vos postures de sécurité et comparer vos pratiques de sécurité avec les normes de l’industrie pour vous assurer d’avoir le niveau requis de protection
Gérer vos processus d’affaires en toute sécurité et garantir un environnement de travail sain
Acquérir une bonne réputation et la préserver
Gagner la confiance de vos partenaires et clients
Augmenter votre productivité et votre rentabilité
Mieux faire votre analyse de besoins en matière de solutions de sécurité et mieux gérer vos dépenses
Obtenir des recommandations concrètes et faciles à mettre en place