Pour ne citer qu’un exemple éloquent, nous pouvons parler d’un acteur du CAC 40 dont le hacking fut particulièrement déroutant. Un faux communiqué de presse présentant toutes les caractéristiques des documents officiels émanant du groupe, annonçait entre autres, la révision des comptes financiers ainsi que le licenciement de son Directeur Financier. Inutile de préciser que cette information a secoué les marchés financiers français d’une part, mais a également eu un fort impact sur l’entreprise en question : son action a chuté de 19% dans les minutes qui ont suivi la diffusion du faux document. Outre les dommages financiers, ce genre d’attaque ternit aussi considérablement l’image de marque de l’entreprise. Il était jusqu’alors difficile d’imaginer une usurpation d’identité et un piratage aussi sophistiqués.
L’originalité et le caractère inattendu des attaques prouvent, si cela était encore nécessaire, que les systèmes informatiques des entreprises ne sont pas totalement inviolables. La rapidité et l’ampleur de ces attaques doivent inciter les entreprises à investir du temps et de l’argent dans la cybersécurité si elles veulent éviter des pertes qui peuvent s’avérer colossales. D’autant que des solutions existent.
En effet, le marché propose des solutions de partage offrant un cadre sécurisé et permettant d’échanger fichiers et messages hautement stratégiques, le tout sans risque d’interception par un tiers. Ces outils facilitent l’organisation et les échanges en entreprise et limitent les e-mails et documents papier. La signature électronique est une autre solution permettant de garantir l’identité d’une personne morale ou personne physique dans le cadre d’échanges dématérialisés (comme par exemple pour authentifier la diffusion d’un communiqué !) Et cette signature numérique a la même valeur légale qu’une signature manuscrite.
Pourtant, certaines entreprises n’ont pas encore pris en compte cet aspect fondamental de leur transformation digitale. C’est pourquoi il est essentiel que 2017 devienne une année où la cybersécurité des entreprises, privées ou publiques, soit une priorité. Surtout si ces entreprises ont une activité stratégique ou si elles font partie des OIV1(Opérateurs d’Importance Vitale). Pour éviter le vol des données essentielles et confidentielles, et pour rendre impossible les usurpations d’identité, les entreprises doivent donc s’organiser et changer leurs process et habitudes. Sachant que certaines mesures de protection sont à la portée de tous les budgets et ne nécessitent pas de connaissances techniques particulières. Pour faire face aux nouveaux enjeux liés à la sécurité tout en restant compétitives, les entreprises doivent absolument avoir la maîtrise de l’intégralité de leurs données. Cela passe notamment par la sauvegarde en ligne. En cas d’attaque, une solution spécialement conçue pour les professionnels permettra à une organisation de reprendre rapidement ses activités. Avec une sauvegarde isolée du réseau de l’entreprise, les données sont stockées en lieu sûr et sont par ailleurs rendues illisibles pour les hackers grâce au chiffrement. En cas d’incident, le département IT pourra récupérer ses données facilement et rapidement.
Aujourd’hui la sécurité est l’affaire de tous. Ce sujet n’est plus seulement sous la responsabilité des DSI. Les collaborateurs ont un rôle clé à jouer. Former les équipes à la sécurité des systèmes d’information et les sensibiliser aux bonnes pratiques élémentaires de sécurité est une étape incontournable. La sécurité de l’entreprise passe par une prise de conscience collective.
En effet, les DSI sont très fréquemment confrontées au phénomène du shadow IT. Les équipements personnels (ordinateurs portables, tablettes, Smartphones, etc.) se multiplient dans le monde professionnel et ils sont difficilement maîtrisables dans la mesure où ce sont les utilisateurs qui décident de leur niveau de sécurité. Mais les collaborateurs doivent prendre conscience que l’usage d’outils non approuvés par la DSI n’est pas sans conséquence. C’est donc à la DSI de proposer des solutions ayant les mêmes avantages et la même flexibilité que les applications et appareils qu’ils utilisent pour leurs besoins personnels. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) recommande d’ailleurs d’autoriser uniquement la connexion de terminaux identifiés et maîtrisés par l’entreprise. Il est donc urgent que les entreprises privilégient l’usage de produits et services qualifiés par leurs soins, en passant notamment par un partenaire Cloud de confiance pour la gestion des données sensibles.
Il devient donc important de prendre en compte ce type de comportements et c’est pour faire face à ces nouvelles problématiques que la législation, notamment au niveau européen, évolue. Pour les entreprises, le non-respect des exigences du RGPD2 qui entrera en vigueur en mai 2018, les expose à de lourdes amendes. Elles doivent absolument se mettre en conformité avec le texte et tout mettre en œuvre pour protéger les données de leurs clients. En conclusion, et au-delà des obligations légales, les entreprises ont tout intérêt à faire de la protection des données une priorité, pour préserver la confiance de leurs clients et protéger leur image notamment. Pour cela, elles peuvent se référer au guide d’hygiène informatique proposé par l’ANSSI. La version 2017 a fait l’objet d’une mise à jour portant à la fois sur les technologies et pratiques - nouvelles ou croissantes - avec lesquelles il s’agit de composer en matière de sécurité. Pour y parvenir, les auteurs du guide ont pris en considération l’évolution de la menace et des enjeux auxquels les entreprises sont confrontées.
« Pour que le numérique demeure un espace de liberté, d’échanges et de croissance, il est nécessaire que la confiance et la sécurité y soient établies et défendues »