Auto -évaluez votre niveau de maturité en matière de cybersécurité : vers la Certification ISO/IEC 27001

Les nouvelles menaces en ligne : les dangers du phishing et les risques en interne

Le paysage des menaces en ligne ne cesse de s’élargir, avec des sources de menace provenant notamment de l’extérieur. Les hackers, experts en cybercriminalité, utilisent diverses méthodes pour atteindre leurs objectifs. Le phishing, par exemple, consiste à tromper les utilisateur·rice·s en se faisant passer pour des entités de confiance, que ce soit des administrations ou des entreprises bien établies.

Ils créent des répliques presque identiques de sites web pour inciter les utilisateur·rice·s à divulguer leurs données personnelles, qu’ils peuvent ensuite utiliser pour usurper des identités ou accéder à des comptes bancaires. Ces attaques ciblent les utilisateur·rice·s tant dans leur sphère privée que professionnelle, les hackers recueillant ainsi des données sensibles de l’organisation

Le but recherché peut être politique, des personnes militantes pour une cause cherchent à dénoncer des méthodes de travail ou le projet même de la structure. Plus généralement, l’objectif des pirates informatiques est économique. En s’introduisant dans les réseaux des entreprises, ils peuvent dérober des données confidentielles pour faire chanter l’équipe de direction. Les hackers demandent une rançon en échange de la non-diffusion ou même de la vente des informations récoltées.

Pour atténuer ces risques potentiels, il est essentiel de mettre en place des politiques de gestion des accès strictes au sein de l’organisation.

Même si les menaces viennent principalement de l’extérieur, la cybersécurité requiert également la mise en place de dispositifs internes à l’organisation pour limiter les risques en matière de protection de l’information. Les normes de référence en la matière préconisent un niveau de « confiance zéro » envers les salarié·e·s. En d’autres termes, peu importe son statut dans l’organisation, son niveau de rémunération ou ses compétences, une personne ne doit pouvoir accès uniquement aux données qui concernent directement sa mission.

La gestion des accès doit être stricte et se limiter aux seules personnes qui ont besoin d’avoir accès à certaines données pour mener à bien ce pour quoi elles ont été recrutées. Les données personnelles des salarié·e·s, comme l’adresse, le Relevé d’Identité Bancaire ou encore, le niveau de rémunération, ne doivent être accessibles que par certain·e·sprofessionnel·le·s. Cela peut être un gros risque sur le plan légal puisque les organisations sont tenues depuis 2018 de respecter le Règlement Général sur la Protection des Données (RGPD). Afin de se prémunir de tels débordements, il est nécessaire de mettre en place des politiques d’accès limités au sein d’une structure.

Procéder à l’auto-évaluation avec DNV

DNV a établi une Maturity check-list qui permet de réaliser un premier état des lieux en matière de sécurité de l’information grâce à un rapide questionnaire à choix multiples comportant seulement 10 questions.

Vous pourrez avoir une première compréhension des exigences actuelles en matière de sécurité de l’information, en lien avec la norme ISO/IEC 27001. Cette norme est la référence internationale en matière de cybersécurité.

Vous souhaitez vous auto-évaluer ? Vous pouvez vous y avoir accès en cliquant ici.

Les résultats vous indiqueront votre niveau de maturité en matière de sécurité de l’information. A partir de ce premier constat, vous pourrez ensuite entamer votre chemin vers la certification à la norme ISO/IEC 27001. Pour en savoir plus, DNV a rédigé un livre blanc qui vous donne toutes les informations cruciales en lien avec cette norme. Vous pouvez le télécharger ici.

Qui sommes-nous ?

DNV est un organisme de certification tierce partie accrédité et peut vous aider tout au long de votre parcours de certification. Nous fournissons des formations pertinentes, des auto-évaluations, un gap analysis et une certification pour votre système management de la sécurité de l’information.