Les réseaux d’entreprise sont généralement plus difficiles à protéger contre les cyberattaques que les réseaux privés. Cette vulnérabilité s’explique par leur plus grande complexité et les conséquences économiques plus graves en cas de dysfonctionnement ou de panne. Il est donc indispensable de prendre des mesures efficaces pour réduire les risques.
Principaux conseils à suivre :
- Lors de l’évaluation des risques et de la mise en œuvre des mesures, prenez en compte les recommandations et brochures rédigées par des organismes reconnus.
- Identifiez les processus, systèmes et données qui comptent le plus pour votre entreprise et traitez-les en priorité.
- Réfléchissez à des mesures techniques et organisationnelles appropriées pour accroître la sécurité de l'information dans le réseau de votre entreprise.
- Définissez les responsabilités, les compétences et les services à contacter pour les questions liées à la sécurité.
Les réseaux d’entreprise sont en général des structures complexes qui se sont mises en place progressivement, avec de nombreuses interfaces et des flux de données vers une multitude de clients et partenaires commerciaux. De courtes périodes de dysfonctionnement ou de pannes suffisent parfois pour impacter lourdement l’activité économique de l’entreprise. Les PME sont donc, de ce point de vue, davantage exposées aux risques de la cybercriminalité que les particuliers.
Des mesures de protection adaptées s'imposent donc pour améliorer la capacité de résistance des PME – ce que l’on appelle aussi la « résilience informatique » –, et réduire les risques au minimum. Or du fait justement de la complexité et de l’ampleur de leurs réseaux informatiques, ces mesures de protection s’avèrent souvent très coûteuses et très lourdes en termes de ressources. D’où l’intérêt de bien y réfléchir afin d’apporter les meilleures solutions.
Se reporter aux recommandations et brochures officielles
Comment les PME peuvent-elles affronter cette lourde tâche ? Et comment peuvent-elles s’assurer qu’aucun aspect ne sera été négligé ?
Plusieurs institutions reconnues se sont penchées sur la question et sur l’application de mesures de sécurité informatique pour les PME. De nombreuses recommandations et brochures ont ainsi été rédigées pour aider les entreprises à adopter une approche la plus efficace possible. Le recours à ces outils est donc vivement conseillé.
Pour vous familiariser avec la question, vous pouvez commencer par consulter la « Sécurité de l'information : aide-mémoire pour les PME » de NCSC. Cet aide-mémoire très synthétique s’adresse spécifiquement aux PME suisses et s’avère donc utile pour améliorer la sécurité informatique dans leur infrastructure système et leur réseau informatique.
Identifier les processus, systèmes et données
La question se pose ensuite de savoir par où et par quoi commencer. Quels sont les processus, systèmes ou données à traiter en priorité ?
Pour répondre à cette question, une analyse de risque (même simple) s'impose. Il s’agit pour commencer d’identifier les processus, systèmes et données stratégiques ou particulièrement importants dans la chaîne de création de valeur de l’entreprise et d’évaluer leur vulnérabilité face aux dangers liés à l’usage des TIC.
Prendre des mesures techniques adaptées
C’est sur le plan technique qu’il faut ériger la première barrière défensive pour faire face aux cyberattaques. La liste des mesures envisageables est longue, mais lesquelles choisir ?
La réponse dépend fortement des menaces spécifiques auxquelles la PME est exposée. On peut toutefois identifier un certain nombre de mesures techniques générales à appliquer pour garantir une protection de base à chaque PME. Parmi ces mesures, il y a bien entendu :
- l’exécution régulière de sauvegardes de données (backup).
- l'installation et l’utilisation d'un antivirus régulièrement mis à jour
- le téléchargement et l’installation des mises à jour de sécurité à intervalles réguliers
Prendre des mesures organisationnelles adaptées
Or, comme les mesures techniques ne suffisent pas pour assurer une protection globale, elles doivent être accompagnées de mesures de type organisationnel.
Là encore, il existe tout un attirail de mesures possibles, parmi lesquelles il convient de mettre en avant :
- la sensibilisation et la formation régulière des collaborateurs
- la mise en place d'une politique très stricte concernant les mots de passe
- la sécurisation des applications critiques (p. ex. le principe des « deux paires d’yeux » ou des doubles contrôles dans les applications d’e-banking)
Définir les responsabilités, les compétences et les services à contacter
Qui est responsable de la sécurité des données ? Qui est chargé de l'installation des mises à jour de sécurité ? À qui les salariés doivent-ils s’adresser s’ils estiment être la victime d'une attaque par malware par exemple ?
Pour que tout fonctionne sans accroc, les responsabilités, les compétences et les services à contacter en cas de problème de sécurité informatique doivent être clairement définis au sein de l’entreprise, mais aussi être connus de l’ensemble des salariés.
La création et l’utilisation d'une plateforme d'information adaptée doit permettre un accès facilité aux bureaux concernés, mais aussi de réduire les délais d'intervention en cas d'incident et d’augmenter le taux de signalement.
