Suite à l’usage intensif du télétravail, de plus en plus privilégié par les organismes en raison de la crise sanitaire liée à la COVID-19, et l’accroissement des cyberattaques, le Conseil de l’Economie et de l’Information du Digital (CEIDIG) annonce la publication d’un nouveau guide « L’essentiel de la sécurité numérique pour les dirigeantes et les dirigeants – 2e édition ».
Le nombre de cyberattaques a été multiplié par 4 au cours de l’année 2020, en raison du comportement inadéquat des travailleurs peu sensibilisés sur les enjeux de la cybersécurité ou des capacités toujours plus importantes des attaquants à se mobiliser.
L’objectif de ce guide est de sensibiliser les instances dirigeantes à prendre connaissance des enjeux liés à la cybersécurité et à l’intégrer dans leurs feuilles de routes.
Datanaos vous propose ci-dessous un résumé de ce guide, disponible en version complète ici.
La cybercriminalité, un marché en plein essor
Le guide commence par un constat, celui que la cybercriminalité est devenu un marché, s’est démocratisé, s’est industrialisé.
Aucun organisme n’est à l’abri des cyberattaques car les attaquants, dont les profils sont variés (cybercriminels, activistes, opportunistes, Etats, concurrents, collaborateurs, …), tendent aujourd’hui à s’attaquer à des organismes en fonction de leurs propres ressources et connaissances (et pour ceux les moins préparés, les TPE / PME et start-ups).
Il est d’ailleurs rappelé plusieurs fois dans le guide qu’à ce titre un organisme de bonne taille et sérieux dans la mise en œuvre de mesures de sécurité peut ainsi être compromis par ses partenaires ou sous-traitants de taille inférieure.
La cybersécurité est donc un enjeu non pas individuel, mais collectif.
Principales attaques
Les principales attaques auxquelles doivent faire face les organismes ne sont d’ailleurs pas minutieusement préparées. Le Guide nous apprenant que la plupart des attaques sont des attaques, non pas ciblées, mais opportunistes, les principales attaques sont finalement bien communes et les moyens de s’en protéger sont assez simples à mettre en œuvre :
- Phishing (hameçonnage) ;
- Credentials Stuffing (bourrage d’identifiants) ;
- Défauts et erreurs de paramétrage ;
- Shadow IT (Informatique de l’ombre) ;
- Actes de malveillance internes.
Principales mesures de sécurité
Nous ne ferons pas une liste exhaustive des mesures de sécurité présentées dans le Guide, mais certaines sont rappelées à plusieurs reprises tout au long du document et figurent à la fois parmi les plus simples à mettre en œuvre, et les plus basiques :
- Sensibiliser les collaborateurs – ceux-ci sont les premières portes d’entrée au sein du système d’information de l’organisme pour des attaquants, mais aussi les premiers remparts en cas d’attaque ;
- Associer les responsables sécurité en amont des nouveaux projets de l’organisme (contrats, sites, traitements informatisés de données, …) ;
- Vérifier les mesures de sécurité des partenaires et sous-traitants – introduire des clauses de sécurité dans les contrats.
Vous êtes dirigeant ? Datanaos vous recommande fortement de prendre connaissance de ce guide et vous souhaite une bonne lecture.