Sensibilisation, formation, supervision permanente – les bases de la cybersécurité !

De la veille à la protection des données personnelles aux cyberattaques le pas est direct. Et les chiffres aussi : 5037 notifications de violation de données en 2021, une hausse de 80% par rapport à 2020.

Augmentation de la digitalisation

Certes, RGPD oblige les entreprises à notifier la CNIL lorsqu’elles constatent l’atteinte aux données personnelles dont elles sont responsables. Il y a bien sûr les pertes, les fuites involontaires, mais ce que la CNIL souligne pour 2021, ce sont les causes liées aux attaques informatiques qui sont en très forte hausse. Seule faible circonstance atténuante face à cette croissance, la très forte augmentation de la digitalisation des processus des entreprises, transformation profonde qui créé des nouvelles failles et axes d’attaques cyber.

Personnellement, j’ai confiance dans les chiffres et les constats de la CNIL. Quand on écoute quotidiennement les discours marketing des éditeurs de cybersécurité, l’état des lieux donné par la CNIL dans un sens rassure et donne bonne conscience à nos actions de tous les jours.

La clarté des chiffres donnés par la CNIL impressionne : 6 notifications sur 10 étaient liées directement à une attaque cyber! Et la plupart de ces attaques étaient liées à des ransomware (rançongiciels).

Multiplication des attaques aux rançons

Durant l’année 2021, la CNIL a enregistré 2200 attaques ransomware !

La face visible de la cybersécurité tourne actuellement majoritairement autour des attaques de phishing porteuses des ransomwares. C’est un sujet critique, les attaques aux rançons se multiplient et causent des graves sinistres aux entreprises de tout segment économique. Ces incidents ont d’ailleurs fait émerger une nouvelle génération d’antivirus, les EDR (Endpoint Detection and Response).

On ne peut pas citer ce fléau, sans souligner la triple peine subie par les utilisateurs victimes de ces attaques : premièrement, ils sont bloqués, perdent leurs données et leur activité, deuxièmement, ils payent les rançons, mais souvent, ils n’arrivent pas à récupérer les données voire ils sont obligés de changer de matériel.

Sensibilisation et formation des utilisateurs

Revenons au bilan annuel de la CNIL, qui estime être bien en deçà de la réalité…. Et de synthétiser le faible niveau de protection informatique des entreprises : techniques de chiffrement dépassées, mots de passe faibles, pas de RSSI au sein des entreprises, pas de budget ou budget insuffisant (on dit souvent qu’un budget entre 15 % à 20 % du budget global IT doit être alloué à la cybersécurité).

Tout cela nous ramène aux bases de la cybersécurité d’une entreprise, qui au-delà d’un socle d’outils SSI à mettre en œuvre et des processus de surveillance et d’exploitation de ces outils, doit reposer sur la sensibilisation continue et la formation des utilisateurs.

Il faut éduquer les utilisateurs, tous et dans toutes les entreprises et indifféremment des secteurs économiques, aux dangers de l’utilisation du Web, de la messagerie, de l’importance des processus d’authentification forte et de contrôle des identités, etc.

Un plan global, cohérent et adapté à chaque entreprise

Les entreprises doivent se doter des logiciels de sensibilisation et tests anti-phishing adaptés aux métiers de chacun au sein de l’entreprise, on va ainsi mieux tester et in fine mieux former un comptable en utilisant ses propres mots clés liés à son métier et son quotidien. De même, il faudra débriefer avec ceux qui sont tombés dans le piège, pas pour les pénaliser, mais pour leur expliquer les fautes à ne plus commettre et les habitudes à prendre (par exemple de vérifier l’adresse source des mails entrants, ou de l’importance des mots de passe robustes), l’attention à porter constamment et les former pour qu’ils puissent maîtriser les vraies attaques. Car la vraie attaque viendra certainement ; dans le monde de la cybersécurité, on dit qu’il y a deux types d’entreprises : celles qui ont subi une attaque cyber et celles qui ne le savent pas encore.

Sensibiliser, tester, former, re-tester, etc. c’est la clé pour que l’entreprise rester à l’abri des attaques et incidents cyber. Bien sûr, il faut un ‘’peu’’ investir en outils et en personnels, mais cela sera de toute manière bien inférieure aux dommages et aux pertes financières d’une vraie attaque.

Cela implique un plan global, cohérent et adapté à la taille, l’empreinte digitale de l’entreprise et la criticité de ses données, un plan qui s’articule entre la partie sensibilisation-test-formation et la partie supervision permanente des infrastructures IT de l’entreprise par des ingénieurs et cyber-analystes. 

Publié dans Smart DSI N° 26