Cyber-sécurité : les entreprises doivent avoir une approche qui surpasse la technique !

Aujourd’hui, face aux dernières innovations technologiques, les entreprises ont un niveau de maturité différent. Que l’on parle d’adoption de plateforme collaborative, de mobilité, de télétravail, etc. toutes semblent conscientes des risques inhérents à ses pratiques émergentes mais tardent à prendre les mesures de sécurité qui s’imposent. L’impression qu’il existe des risques informatiques augmente au fur et à mesure que la solution dont on parle héberge des documents dans le Cloud.

D’après l’étude "Collaboratif et mobilité, où en sont les entreprises françaises ?"[1

], ces dernières ont plus de défiance envers un service de stockage en ligne comme DropBox (73 %) que vers l’e-mail (67 %). Un paradoxe en matière de cyber-sécurité, car ce dernier est plus souvent la cible d’attaques. Cette illustration reflète le danger existant de sous-évaluer les risques IT potentiels et de déployer des solutions de sécurité inadaptées.

Pour avoir une vision pragmatique, il ne faut pas penser la sécurité informatique uniquement en termes de moyens techniques. La réflexion doit prendre de la hauteur. Dans un environnement de plus en plus exposé aux menaces informatiques (+ 11 % d’attaques réseau enregistrées à la fin du second trimestre [2]), il est important d’évaluer les risques pouvant affecter à la fois le patrimoine informationnel de l’entreprise et celui des individus qui la composent. Pour une entreprise engagée dans l’utilisation de services Cloud, l’un des premiers pièges à éviter est de laisser partir ses informations chez un prestataire de services Cloud avec lequel elle n’a pas contractualisé.

Les critères à prendre en compte pour définir sa sécurité

Ce qui détermine la ligne de conduite en termes de conformité et de sécurité dans l’entreprise doit être la réglementation inhérente à son secteur d’activité, ainsi que la prise en compte et la compréhension de ses objectifs business.

Il devient indispensable de maîtriser la donnée et son cycle de vie en s’appuyant sur les bons réflexes. Quelles sont les données à chiffrer, celles à surveiller, où doivent-elles être stockées (sur site, en hébergement sur le territoire, dans le cloud), etc. Bref, faciliter la classification de l’information tout en évaluant précisément le coût de la sécurité associée. Dès lors, il y a des compromis et des aménagements à trouver. Si, par exemple, un service Cloud permet à une direction métier d’être plus compétitive et agile mais que sa sécurisation est telle qu’elle engendre un coût disproportionné. L’entreprise devra être en mesure de trouver un service collaboratif alternatif. À l’inverse, on peut considérer que des données moins sensibles nécessiteront un niveau de sécurité moins élevé. Autre critère à prendre en compte dans le choix d’une solution Cloud [3] : les obligations que l’on peut exiger du prestataire. L’absence de contrat de service est de fait rédhibitoire ; ce contrat doit à minima stipuler la manière dont les données seront restituées en cas d’arrêt des prestations, le taux de disponibilité du service garanti, les pénalités en cas de litige, etc.

Les enjeux organisationnels et techniques d’un projet de protection de la donnée

Le processus de mise en conformité de la gestion de la donnée impose généralement la mise en place d’un projet de Data Loss Prevention. Dans les faits, seuls 10 % du temps consacré au déploiement d’un projet DLP correspond à des déploiements techniques (solutions de chiffrement, contrôle des données qui sortent, classification, traçabilité, gestion des périphériques externes, etc.). Les 90 % restants seront consacrés à la classification de l’information, la conduite du changement, la formation des opérationnels, la sensibilisation des salariés, etc. Dans ce cadre, les outils seront essentiellement des agents déployés sur les PC des collaborateurs, là où se crée l’information.

Par conséquent, une sensibilisation des utilisateurs à toutes les actions que la DSI va leur interdire est nécessaire. Leur concours peut toutefois être sollicité dans la définition de répertoires correspondant au degré de sensibilité des informations de l’entreprise et sur lesquels seront automatiquement appliquées les règles de sécurité à suivre.

L’importance des collaborateurs et des divisions métiers dans la définition, la mise en œuvre et le respect d’une politique de sécurité efficace ne doit pas être négligé. Or, 37 % des entreprises françaises admettent encore ne pas avoir mené d’actions de communication et de sensibilisation de leurs collaborateurs à la sécurité des outils, et sous-entendu de leurs données. Ce qui paraît être une hérésie à l’heure où les attaques informatiques, ciblant les entreprises et s’appuyant sur l’ingénierie sociale, sont de plus en plus virulentes.

---

[1] Etude Intel et L'Usine Digitale

[2] http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-sep-2016.pdf

[3] http://www.silicon.fr/etude-adoption-du-cloud-confrontee-a-une-crise-de-croissance-152191.html

Par Fabien Tanguy, Expert Sécurité, et Fabien Rech, Directeur Régional France, d’Intel Security Intel Security

Les avis d'experts et points de vue sont publiés sous la responabilité de leurs auteurs et n'engagent en rien la rédaction.