Pourquoi mettre en place un plan de cyberdéfense en entreprise
Les entreprises et particulièrement les PME sont des cibles de choix , cependant aucun texte ni obligation légale ne poussent encore les entreprises à se prémunir des dangers-cyber, c’est pourquoi il est important d’imposer et d’ appliquer un plan de cyberdéfense en entreprise.
C’est en se basant sur la charte définie par cybermalveillance .gouv et d’autres sources que nous conseillons des éléments concrets à mettre en place dans chaque organisation en matière de cybersécurité.
Comme un plan d’évacuation, votre charte d’entreprise doit être connue de tous et faire partie intégrante de la vie en entreprise. L’afficher clairement dans votre entreprise à la vue des salariés va créer un réflexe et une culture d’entreprise autour des sujets de cybersécurité.
Regroupé autour de 8 préceptes de base, regardons en détail les difficultés que peuvent rencontrer les entreprises dans leurs mises en place.
1. Faire de la cybersécurité une priorité stratégique
Si beaucoup d’entreprises ont bien conscience que la cybersécurité est un sujet prioritaire et stratégique qu’en est- il vraiment dans les faits ?
Pas toujours facile pour un chef d’entreprise d’investir dans un poste qui ne rapporte rien et qui est pourtant totalement stratégique à la survie de l’entreprise.
Considérer le poste Cybersécurité comme un poste d’investissement prioritaire.
2. Nommer un référent cybersécurité dans votre entreprise
Un poste trop souvent mis sur les épaules de la DSI.
S’il parait normal que cette responsabilité incombe au responsable informatique de l’entreprise. Il faut bien comprendre l’importance de cette nouvelle responsabilité en cas de véritable attaque sur votre entreprise.
Quel rôle aura t-il en cas d’attaques ? (quelles actions doit-il mener concrètement)
Auras- t- il besoin d’un aide ? (il est possible que les nuits de votre référent en cybersécurité soient plus courtes en cas d’attaques et aussi qu’il en vienne à travailler le weekend. Etre capable d’anticiper un système de roulement opérationnel entre vos salariés doit donc être préalablement étudié).
3. Sensibiliser vos salariés et collaborateurs
On aurait fortement tendance à penser que cette partie est la plus importante : créer un réflexe une culture d’entreprise en matière de cyber sécurité est impérative. La plupart des attaques sont réalisés par de l’erreur humaine.
Vous aurez beau investir dans des systèmes de protection informatiques, vos salariées restent le maillon faible de l’entreprise. Mais c’est totalement normal car ils ne sont pas toujours préparés et n’ont surtout aucune conscience qu’une erreur de leur part peut entrainer le blocage total de son entreprise et avoir de lourdes répercussions sur son travail et celui de ses collègues.
4. Former les salariés
Découlant naturellement du constat précédemment exprimé vos salariés sont au cœur de votre politique de cybersécurité. Investir dans des systèmes de protection sans former vos salariés deviendrait contre-productif.
Le meilleur investissement en cybersécurité n’est pas le dernier logiciel, mais bien la conscience que chacun de vos salariés peut être une porte d’entrée d’une cyber attaque et de lui donner les moyens de s’en prémunir.
Faire de vos salariés le pilier de votre plan de construction contre les cyber-dangers.
5. Anticiper les cyber attaques
Pas toujours perceptible, car personne ne peut vraiment prévoir quand aura lieu une attaque. Ce qui est certains, ce que votre entreprise sera à court moyen long terme victime d’une cyber-attaque alors, on s’y prépare :
Les cyber-attaques ont souvent lieu avant le weekend pour rajouter du délai et de la complexité dans l’intervention à mettre en place. Certaines périodes seront également plus propices à une attaque. Comme dans la technique de L’arnaque au Patron , profitant d’un congé de vos salariés pour lancer une attaque.
Accepter que même en mettant un maximum de dispositifs en place aucune organisation ne peut se prémunir complètement contre une cyber attaque fait partie de la cyber résilience dont chaque responsable d’entreprise et de collectivité doit faire preuve.
6. Évaluer votre niveau d’exposition
C’est sans doute le point le plus difficile à estimer : connaitre son niveau d’exposition n’est pas toujours facile même pour un expert en cybersécurité, alors pourquoi faire porter cette responsabilité uniquement à votre responsable informatique. Connaître son entreprise efficacement est encore le meilleur moyen de se protéger contre le risque cyber.
Ce niveau d’exposition peut être mis en avant de façon proactive en utilisant les services d’un Pentester où vous sera révélé lors d’une attaque réelle.
Faire tester votre système par un professionnel de la cybersécurité ne vous garantit pas une totale tranquillité mais réduira les points d’entrée d’un cyber attaquant.
On pourrait également vous conseiller d’évaluer concrètement le coût et les répercussions d’un arrêt de production ou la paralysie de vos services informatiques pendant plusieurs jours. Apprendre à anticiper le pire pour gérer au mieux la crise.
7. S’appuyer sur des prestataires certifiés ou reconnus
Identifiable par des labels ou des standards de qualité normée par cybermalaveillance.gouv
La bonne connaissance de ces nouvelles normes par votre interlocuteur est un bon moyen de déterminer la compétence de votre prestataire.
8. Promouvoir de manière globale (salariés, partenaires, fournisseurs) l’importance d’une culture transversale en cybersécurité.
En agissant concrètement et en augmentant la culture et les réflexes numériques de chacun de vos salariés vous agissez pour une meilleure protection de vos infrastructures.
La meilleure arme contre toute forme de méconnaissance face à une nouvelle menace reste la culture !
Rejoignez Amazon Web Services, l a gendarmerie nationale, la SNCF, , Orange France, Google France ou Microsoft qui ont déjà adopté et mis en avant cette charte cyber dans leurs organisations.
La Cyber charte Cybermalveilance.gouv (plan de cyberdéfense en entreprise) : PDF à télécharger et à afficher dans votre entreprise) : CharteCyber.pdf
Pour en savoir plus :