Cybersécurité & Covid-19 : 7 réflexions pour aborder 2022

Observations de Rob Rashotte, vice-président de l’Institut de formation NSE de Fortinet, suite à sa participation à un panel organisé par l’Université d’Ottawa.

Covid-19 = Des organisations de toutes tailles touchées

Le Covid-19 a touché toutes les organisations, entreprises familiales, grands comptes…Travailler à distance signifie une extension du réseau de l’entreprise à domicile, et donc une vigilance accrue côté sécurité.

Les réseaux domestiques présentent des lacunes et sont plus exposés aux attaques. Si les parents ont suivi une formation de sensibilisation à la sécurité, il n’en est pas de même pour les enfants.

Cybersécurité =  « Technologie + Facteur humain » pour protéger le réseau

Le facteur humain est essentiel. Pour un réseau sécurisé, les formations de sensibilisation à la sécurité sont indispensables, tout comme un renforcement positif pour que la cyberconscience soit intégrée à la culture de l’entreprise.

Travail à domicile – Travail hybride = Déficit de compétences en cybersécurité

Compétences techniques, capacités de communication et de collaboration sont nécessaires et indissociables pour réussir.

Le secteur de la cybersécurité a besoin de professionnels pour combler le déficit de compétences en cybersécurité de 3,12 millions de personnes (étude ISC 2020). Diverses initiatives sont lancées et mettent l’accent sur les femmes, les anciens combattants, les programmes solaires et les organisations à but non lucratif pour attirer des personnes dans l’industrie, les former et les certifier.

Emplois en cybersécurité = Pas seulement réservés aux ingénieurs

Une organisation de cybersécurité a besoin de rôles différents et complémentaires :  techniques et non techniques, postes d’entrée, niveau intermédiaire, direction …  Chaque personne est responsable de la réussite et de la sécurité de l’organisation.

Conseil d’administration = Responsabilité ultime

Selon Advancing Cyber Resilience Principles and Tools du Forum économique mondial, « le conseil d’administration dans son ensemble assume la responsabilité ultime de la surveillance des cyberrisques et de la résilience. » Si une cyber-attaque peut paralyser une organisation, son RSSI doit avoir un lien hiérarchique direct avec le PDG et un canal de communication direct avec le conseil d’administration.

Cybersécurité = Evolution + Adaptation permanente

Selon le rapport 2021 Global Threat Landscape de Fortinet, on note une multiplication par 10,7 des ransomwares au cours des 12 derniers mois.  Pour répondre efficacement, il faut adopter l’apprentissage automatique et l’IA, mais également s’appuyer sur des conseillers de confiance qui aident à utiliser au mieux les solutions actuelles et étendre les réseaux.

Pratiques de sensibilisation = Pilier central

Le travail à domicile, extension du réseau de l’entreprise, est un point d’entrée potentiel. Il faut développer les bonnes politiques de mots de passe, le maintien d’un poste de travail sécurisé, limiter les accès autorisés.

Les entreprises doivent investir dans un service de formation à la sensibilisation à la sécurité et le déployer auprès des collaborateurs qui doivent comprendre à quoi ressemblent les attaques : formes, sophistication, impact, réaction.

Source Fortinet – Rob Rashotte, vice-président de l’Institut de formation NSE de Fortinet