Blog GlobalSign

04 nov. 2016

Cybersécurité : 31 conseils aux entreprises - La suite

Mercredi nous avons donc publié la liste des 15 premiers conseils partagés avec vous sur Twitter pendant le mois d'octobre. Voici les 16 conseils suivants pour clôturer ce chapitre !

Lutte contre la cybercriminalité

16. Constituez une équipe d’intervention sur incident

Même s’il vous faut toujours une personne chargée de faire appliquer le plan d’intervention sur incidents, vous devrez également lui adjoindre une équipe pour l’épauler. Il peut par exemple s’agir d’une personne aux Relations Presse pour publier un communiqué et d’un commercial pour discuter avec les clients. En fonction de la taille de votre organisation et de l’ampleur éventuelle de l’attaque, il est important que la réponse soit gérée par les bonnes personnes.

17. Effectuez une analyse des menaces internes

Une analyse des menaces internes permet d’identifier les menaces pour votre infrastructure informatique qui viennent potentiellement de l’intérieur. Cela peut aller des employés en poste aux anciens salariés, en passant par les sous-traitants, vendeurs, fournisseurs tiers de données ou associés.

18. Élaborez des consignes d’intervention rapide

Vérifiez que vous êtes préparés à intervenir rapidement et efficacement en cas de cyberattaque. Communiquez ce plan au reste de l’entreprise et désignez la personne qui sera chargée de veiller à la bonne exécution du plan.

19. Établissez un plan de communication externe

D’après le Règlement général sur la protection des données (RGPD), vous êtes tenu d’informer les autorités de surveillance compétentes lorsqu’une violation est portée à votre connaissance. Cette autorité de surveillance est un organisme probablement gouvernemental qui doit se trouver dans votre État membre. Vous devez également prévoir les messages à l’attention des personnes susceptibles d’être affectées y compris les clients, les sous-traitants et les employés.

20. Communiquez autour de l’intervention sur incident auprès des employés

En informant les employés sur le plan d’intervention et les faits relatifs aux types d’incidents et de réponses possibles, vous leur rappelez qu’il est de leur responsabilité de préserver la confidentialité et de réduire le plus possible le risque de fuites d’informations vers des sources extérieures.

21. Sachez tirer les leçons des erreurs passées

À l’issue de votre réplique à une violation ou un incident, et une fois la certitude acquise que l’attaque est terminée et que l’activité peut reprendre normalement, faites un point. Ce bilan doit vous permettre de discuter de votre plan d’intervention et de décider des éventuels ajustements à apporter, sur la base des erreurs commises la première fois. Communiquez également avec la Direction des Systèmes d’Information sur les modifications à apporter au niveau de l’exploitation ou des communications pour éviter que les mêmes vulnérabilités ne soient à nouveau exploitées.

22. Partez toujours du principe qu’il y a une vulnérabilité quelque part et que l’on n’est jamais protégé à 100 %

Le simple fait d’avoir investi du temps et de l’argent dans une stratégie de cybersécurité pour votre entreprise ne garantit pas pour autant la sécurité de vos systèmes. Il y a en effet toujours une nouvelle vulnérabilité à découvrir, un nouveau collaborateur à manipuler ou une faille potentielle à exploiter sur le réseau. Partez toujours du principe que les hackers sauront trouver la faille pour s’introduire chez vous.

L’avenir de la cybersécurité et des stratégies de sécurité et de protection de la vie privée

23. Protégez votre infrastructure informatique avec une cyber-assurance

En général, les polices d’assurance standard ne couvrent pas la perte de données – d’où l’intérêt des cyber-assurances. Pensez aussi à vérifier que vous êtes couvert en cas d’interruption de service. Par ailleurs, vous détenez peut-être des données tierces. Faites aussi attention aux pénalités pour non-conformité et défaut de notification d’infraction.

24. Attribuez une identité à chaque « objet » (appareils, capteurs, systèmes, etc.)

Avec le développement de systèmes toujours plus rapides, plus efficaces et plus productifs, les entreprises interconnectent des appareils et des capteurs qui partagent leurs données pour former ce que l’on appelle une infrastructure IoT (Internet des Objets). Dans cette infrastructure, chaque « objet » a besoin d’une identité.  Avec une identité vérifiable unique, les objets peuvent s’authentifier lorsqu’ils « arrivent » en ligne et assurer ainsi la sécurité et le chiffrement des communications entre les autres appareils, services et utilisateurs.

25. Assurez-vous qu’aucun système ne soit accessible sans AUTHENTIFICATION FORTE

Comme pour vos données les plus importantes (voir conseil no3 plus haut), votre infrastructure professionnelle critique ne devra être accessible que par authentification forte. Si vous travaillez dans un établissement bancaire, vous exigerez plusieurs points d’accès à votre coffre-fort. C’est la même chose en ligne. L'autre aspect à prendre en compte est l’accès basé sur des rôles : l’accès aux systèmes critiques est alors exclusivement réservé à une poignée d’utilisateurs privilégiés.

26. Faites appel à un hacker

De nombreux pirates informatiques à travers le monde n’ont aucune intention de s’emparer illégalement de vos données pour les revendre en ligne. Ils veulent apporter leur pierre. Toute entreprise devrait s’adjoindre les services d’un de ces « white hats », ou hackers éthiques, pour contrer les mauvaises intentions des « black hats ». Comme le dit le proverbe, il faut combattre le mal par le mal.

27. Anticipez la gestion de votre flux de données

Plus nos technologies se perfectionnent, plus nos données se complexifient. Pour une bonne gestion des données et pour éviter les vols, vous devez savoir quelles sont les données qui transitent dans votre entreprise, et avoir identifié leur circuit depuis la source jusqu’à leur destination/l’utilisateur final.

28. Exploitez le Cloud

Le Cloud a toute son utilité dans les petites et moyennes entreprises qui souhaitent externaliser la protection de leurs données en la confiant à une plus grande entreprise. Mais avant de signer avec un fournisseur de Cloud, assurez-vous de disposer de tous les éléments nécessaires. Renseignez-vous bien sur l’emplacement des centres de données et des lieux de stockage/d’accès à vos informations proposés par ces prestataires.

Renforcez la résilience de vos systèmes critiques

29. Segmentez votre réseau pour empêcher que l’accès à un système ne permette l’accès à un autre

Le réseau informatique de votre entreprise ne doit pas être accessible à partir d’un seul point, même si l’authentification sur ce point est une authentification « forte ». En séparant vos réseaux, vous empêchez qu’un hacker qui accéderait à un réseau ne puisse prendre le contrôle de l’ensemble. Séparez vos systèmes en fonction de leur importance ou du niveau de criticité du réseau pour votre entreprise. Appliquez votre niveau de sécurité maximum aux réseaux les plus critiques.

30. Restez à la pointe des dernières réglementations sectorielles

Pour assurer un niveau de cybersécurité de base, la plupart des secteurs d’activité exigent le respect de certaines normes et bonnes pratiques. Le secteur de l’énergie a son cadre de gestion de la cybersécurité du NIST (National Institute of Standards and Technology) américain, l’industrie automobile dispose d’un cadre de bonnes pratiques pour la cybersécurité automobile et le secteur des cartes bancaires a le PCI DSS, sa norme de sécurité pour les données. Afin d’éviter toute sanction financière pour non-respect des dernières normes et réglementations en vigueur, suivez de près l’actualité réglementaire.

31. Soyez sans cesse à l’affût des nouvelles technologies et de nouveaux fournisseurs

Pour clore cette série de conseils, nous vous recommandons de vous tenir régulièrement informé sur les bonnes pratiques de sécurité, mais aussi sur les opérateurs, les fournisseurs et les technologies. Soyez prêt à mettre à jour vos logiciels, à utiliser de nouveaux outils et de nouvelles technologies pour protéger votre infrastructure en ligne.

Nous espérons que ces 31 conseils de cybersécurité à l’attention des entreprises vous auront permis de mesurer l’importance qu’il y a à rester maître de la sécurité au sein de votre entreprise. Sachez qu’une menace peut et a plus de chances de venir de l’intérieur de que de l’extérieur. Partez toujours du principe que vous êtes exposé aux attaques et tenez-vous prêt à faire face à l’inévitable.

Partager ce blog