La cybersécurité n'est pas (seulement) une question de technologie.
Stop reacting ! Start anticipating !
Stop reacting ! Start anticipating !
La cybersécurité est une préoccupation importante pour chaque organisation et les pertes potentielles peuvent être considérables.
Les événements quotidiens démontrent le risque posé par les cyberattaquants. La direction de toute organisation est confrontée à la tâche de s'assurer qu'elle comprend les risques et fixe les bonnes priorités. Ce n'est pas une tâche facile et se concentrer uniquement sur la technologie pour résoudre ces problèmes n'est pas suffisant.
Lorsqu'ils pensent à la cybersécurité, beaucoup de gens imaginent automatiquement le service de cybersécurité de l'entreprise en train de trimer en sweat à capuche devant son ordinateur portable pour traiter du code, rechercher des virus et installer des pare-feu.
Bien que cela fasse partie du travail, l'équipe de cybersécurité ne suffira pas à elle seule à se prémunir contre les menaces actuelles. Le facteur "humain" est souvent ignoré, alors qu'il s'agit d'un élément essentiel à la mise en place d'une cyber-résilience solide. Vous pouvez investir considérablement dans la mise en place de services d'infrastructure à clé publique ou de pare-feu solides, mais si vous ne surveillez pas de manière réaliste l'évolution des menaces potentielles contre votre entreprise, ou les risques qui émanent de votre propre personnel et de vos partenaires, tous vos efforts seront vains.
Il est absolument impossible de parvenir à une sécurité absolue
Croire ou faire croire qu'une protection absolue contre la cybercriminalité est possible n'est ni un objectif réalisable ni un objectif approprié. Au mieux, vous ne créerez pas les conditions pour maintenir un niveau de vigilance suffisant de la part de vos collaborateurs et dans le pire des cas, vous créerez une pression insupportable sur vos équipes.
Tout appareil connecté à l'internet, toute pièce de l'"internet des objets" peut potentiellement être piraté. Les pirates développent sans cesse de nouvelles méthodes et des technologies de plus en plus sophistiquées, et la défense a toujours un temps de retard. Une bonne posture défensive repose sur une compréhension réaliste de la menace (c'est-à-dire le criminel) par rapport à la vulnérabilité de votre organisation (anticipation). Vous devez mettre en place le meilleur processus pour détecter une violation imminente ou réelle (détection) et être en mesure de traiter immédiatement les incidents (réaction) si vous voulez minimiser les pertes.
Ne vous fiez pas uniquement à la technologie
Les technologies sont essentielles à la sécurité de base et doivent être intégrées dans l'architecture technologique, mais une cybersécurité efficace dépend moins de la technologie que vous ne le pensez. Les ordinateurs ne sont pas à l'origine des crimes. Ce sont des "personnes réelles" utilisant des ordinateurs qui les commettent. Et les membres de votre personnel peuvent être, et sont souvent, sciemment ou inconsciemment complices. Les connaissances et la sensibilisation de l'utilisateur final sont donc tout aussi essentielles.
La plupart du temps, un changement de culture est indispensable. Les collaborateurs doivent être sensibilisés aux risques qu'ils encourent et prendre l'initiative d'informer leurs managers de leurs inquiétudes.
Ayez un œil sur les pratiques de vos fournisseurs
Vous devez attendre de votre prestataire de services d'externalisation des pratiques durables et exiger une expérience collaborateur appropriée. L'une des statistiques les plus importantes à prendre en compte est le (vrai) taux de turnover des équipes. En effet, l'impact d'un taux de turnover élevé a un coût indirect sur l'organisation informatique, mais il augmente également votre exposition aux risques liés à un personnel externalisé insatisfait.
Vous devez attendre de vos sociétés d'outsourcing qu'elles développent des pratiques qui ne viendront pas diminuer la réputation et la vulnérabilité de votre organisation. Lorsque vous examinez le profil de votre futur partenaire, vous devez avoir une approche équilibrée entre les coût et les avantages avec l'impact sur votre marque. En d'autres termes, si vous cherchez uniquement à réduire les coûts d'exploitation par le biais de l'externalisation, vous risquez d'avoir de mauvaises surprises à la fin.
Adoptez une approche intelligente du risque en matière d'externalisation et de délocalisation
Le risque de violation de la sécurité ou de vol de propriété intellectuelle est intrinsèquement élevé lorsqu'on travaille dans le commerce international. Les problèmes de confidentialité doivent être entièrement pris en compte. Ces questions sont trop rarement abordées alors que les exigences doivent être documentées et que les méthodes et l'intégration avec les fournisseurs doivent être définies.
Le Patriot Act oblige les banques d'investissement et les cabinets de conseil américains, collecteurs d'informations stratégiques, à mettre toutes leurs données à la disposition du gouvernement fédéral américain.
Vous auriez intérêt à choisir des partenaires français ou européens plus proches de vous et plus soucieux de vos intérêts à long terme.
Ayez un plan et d'autres plans pour le cas où votre plan échouerait
La procrastination est inhérente à la nature humaine, surtout lorsque vous n'êtes pas tout à fait sûr de la bonne façon d'aborder un problème. Mais vous devez anticiper votre réponse avant qu'une faille de sécurité ne se produise. Malheureusement, c'est trop souvent le contraire qui se produit.
Quel que soit le nombre de niveaux de protection que vous mettez en place, il y a toujours un angle mort où vous ne pouvez tout simplement pas anticiper une attaque. Une fois que votre système a été compromis, vous devez mettre en place des plans de réponse et de récupération.
La mise en place d'un plan de réponse à incident est un élément essentiel d'un programme de sécurité réussi. Son objectif est d'établir et de tester des mesures claires qu'une organisation pourrait et devrait probablement prendre pour réduire l'impact d'une violation provenant de menaces externes et internes.
Si les personnes chargées de mettre hors service un système crucial lors d'une attaque attendent un appel téléphonique ou un mail de votre part pour s'acquitter de leur tâche, que se passera-t-il lorsque l'attaque mettra hors service ces deux voies ? Vous avez besoin de plusieurs niveaux de réponse, et ces réponses doivent être élaborées à l'avance lors de simulations ou d'exercices.
Le véritable défi consiste à faire de la cybersécurité et de la sécurité de l'information une approche courante. Même avec des murs de château fort très hauts et le sentiment d'avoir fait tout ce que vous pensiez devoir faire en matière de cybersécurité, vous êtes probablement encore vulnérable. Cela signifie que la cybersécurité doit faire partie de votre politique de ressources humaines. Cela signifie également que la cybersécurité et la sécurité de l'information doivent occuper une place centrale lors du développement de nouveaux systèmes informatiques. Enfin et surtout, vous devez savoir ce qui se passe à l'extérieur et à l'intérieur de votre organisation. Ce sont les personnes qui créent les plus grandes vulnérabilités, tout comme elles sont l'élément le plus précieux de la solution.
La bonne nouvelle, c'est que si vous êtes à la recherche d'un partenaire indépendant pour vous accompagner, Stroople propose des solutions personnalisées pour concevoir et construire votre équipe technologique de rêve. Vous pouvez choisir la meilleure solution qui vous convient. Nous fournissons des équipes spécialisées, que vous ayez besoin d'embaucher ou d'externaliser votre équipe de cybersécurité.
