Ordinateurs, téléphones portables, imprimantes, tablettes et autres gadgets intelligents ? Ou peut-être serveurs, emails, réseaux sociaux et Wifi ? Les ressources numériques et les appareils intelligents sont devenus indispensables pour la plupart des entreprises. Alors si vous souhaitez conserver une longueur d’avance sur les cybercriminels, déterminez quels éléments parmi ceux cités pourraient devenir vos points faibles. Il ne vous reste plus qu’à effectuer une évaluation des cyber-risques pour les découvrir.
Le constat est sans appel : plus vous utilisez d’appareils en ligne, plus la probabilité que des pirates s’y introduisent est élevée. Selon Statista, il existait environ 22 milliards d’appareils connectés dans le monde en 2018. Ce chiffre devrait plus que doubler d’ici 2030. La pandémie de COVID-19 a permis de nous confronter à une digitalisation inéluctable notamment à travers le travail à domicile des employés et l’adoption massive du télétravail.
En effet, plus nous progressons dans l’Internet des objets et adoptons des environnements de travail flexibles, plus cette tendance va s'appliquer aux entreprises et à leurs collaborateurs. Les montres intelligentes, les systèmes de chauffage ou encore les assistants virtuels ne sont que le début de cette nouvelle ère. Toutefois, les solutions numériques fraichement créées rendent également les entreprises plus vulnérables que jamais aux failles de sécurité et aux fuites de données. « Les entreprises qui souhaitent conserver une longueur d’avance sur ces menaces en constante évolution ne doivent pas cloisonner leurs décisions mais bien prendre en compte la totalité des risques sur l’ensemble de l’entreprise pour mieux les évaluer et les traiter de manière globale. Le fait de négliger cette étape pourrait leur coûter la confiance de leurs actionnaires et de leurs clients, voire leur emploi » selon Jason J. Hogg, PDG d’Aon Cyber Solutions, pour Harvard Business Review.
La première étape nécessaire pour une cybersécurité adéquate ? L’évaluation des cyber-risques.
En évaluant correctement vos cyber-risques, de préférence avec un consultant externe, vous pouvez :
1. Évaluer l’état réel de votre environnement en ligne et des menaces virtuelles
De nombreux chefs d’entreprises n’ont pas la possibilité d’être bien informés sur tout ce qui se passe dans leur parc informatique ou via leur organisation digitale, mais l’ignorance ne peut pas être une excuse. Par conséquent, l’évaluation des cyber-risques vous permet de faire le point sur votre organisation et la façon dont certains appareils pourraient affecter votre entreprise. Cet état des lieux vous offre également une analyse des éventuelles évolutions futures de votre environnement en ligne tout en vous alertant sur les potentielles menaces qui pourraient apparaître à l’avenir.
Comme l’entreprise de cybersécurité Recorded Future le déclare, si vous voulez vraiment disposer d’informations pertinentes sur vos faiblesses et facteurs de risque potentiels, les audits internes et les incidents de sécurité antérieurs ne doivent jamais être votre seule source : « ils produisent une liste de problèmes que vous connaissez déjà et non une liste des problèmes dont vous devez vous préoccuper aujourd’hui ou à l’avenir. » C’est pourquoi il vous faudra également être bien informé des menaces émergentes et imprévues. Par exemple, le fait de ne rien savoir sur les deepfakes ne signifie pas qu’ils ne seront jamais une menace demain.
2. Identifier quel type de cyberattaque pourrait nuire le plus à votre entreprise
Maintenant que vous avez une connaissance générale des différents types de cybercrimes, il est maintenant temps de déterminer quelle menace serait la plus dévastatrice pour votre entreprise. Un ransomware, une attaque par déni de service ou bien une technique d’ingénierie sociale telle que l'hameçonnage ? Identifiez également la plus coûteuse pour votre société. Une évaluation des cyber-risques vous apportera les réponses dont vous avez besoin. Le fait d'identifier la plus grande perte potentielle vous aidera à trouver les meilleures mesures de prévention.
Dans le cadre de l’évaluation des risques, des études de cas d’entreprises similaires à la vôtre pourraient être utiles. Par exemple, selon la plateforme d’études Expert Insights, les emails d’hameçonnage constituent la menace la plus importante et la plus préjudiciable pour les petites entreprises. « L’hameçonnage représente 90 % de toutes les failles de sécurité auxquelles les entreprises sont confrontées.
Cette technique a augmenté de 65 % au cours de l’année dernière, entraînant plus de 12 milliards de dollars de pertes, » explique Joel Witts. Les tentatives d’hameçonnage sont courantes dans le secteur de la santé. Pourquoi ? Les cliniques et les hôpitaux possèdent des informations précieuses sur les patients et les cybercriminels peuvent vendre ces données sur le dark web à des prix très intéressants. Selon Forbes, les dossiers médicaux électroniques (DME) valent des centaines, voire des milliers de dollars. Autre exemple prouvant que la numérisation peut être utile, mais également dangereuse : les fichiers non protégés sont des cibles faciles pour les cybercriminels.
3. Déterminer les vecteurs d'attaques les plus probables
st-ce qu’il s’agit de vos collaborateurs ? De mots de passe faibles ? D'un wifi non sécurisé ? Du manque de sauvegardes fiables et régulières ? Grâce à l’évaluation des risques, vous connaîtrez les vulnérabilités de votre entreprise.
Une étude de l’Institut Ponemon en 2018 a révélé que jusqu’à 60 % des fuites de données dans les PME se produisent en raison de la négligence des collaborateurs ou des prestataires, et que les appareils mobiles sont les points d’entrée les plus vulnérables dans les réseaux des entreprises.
4. Évaluer et redéfinir vos mesures de sécurité actuelles
Maintenant que vous avez identifié les points sensibles, les différentes menaces et les éventuels moyens d’accès des cybercriminels, il est important de savoir si vous avez le plan d'attaque nécessaire pour vous protéger durablement. Si les collaborateurs qui n’ont pas le niveau de connaissances informatiques requis sont considérés comme étant le facteur de risque le plus élevé, faites-vous suffisamment d’efforts pour les sensibiliser ?
Si vous commencez à évaluer vos mesures de sécurité dès maintenant, vous aurez non seulement une longueur d’avance sur les pirates, mais également sur vos concurrents. Selon l’enquête CNBC/SurveyMonkey sur les petites entreprises, 44 % des propriétaires de petites entreprises prévoient d’investir dans des objets connectés en 2020, mais seulement 20 % d’entre eux prévoient d’investir dans des solutions de cybersécurité. Ils s’exposent à des risques s’ils ne se dotent pas d’une stratégie globale de sécurité des données.
En somme, si vous faites appel à un professionnel pour évaluer vos cyber-risques, vous pourrez prendre des décisions éclairées concernant votre cybersécurité, et les malfaiteurs auront beaucoup de mal à vous atteindre vous et votre entreprise. Ainsi, dans le domaine de la cybersécurité et de la sécurité des données, il est essentiel de s’en tenir au célèbre adage : “mieux vaut prévenir que guérir”.