L’entreprise se digitalise en crescendo. Ses données sont de plus en plus transférées, stockées et/ou traitées. Le numérique facilite la manipulation, accélère le traitement! Bref, c’est plus pratique à gérer et, surtout, moins coûteux. Mais, Il y a toujours un mais.
En se digitalisant de plus en plus, l’entreprise doit se préparer à faire face à de nouveaux challenges, et non des moindres, ceux de la cybercriminalité. La mauvaise nouvelle est qu’il n’y a pas de solution infaillible capable d’offrir une sécurité absolue des systèmes d’information. Pis encore, avec internet, les menaces sont d’ordre mondial, exposant les entreprises aux hackers des quatre coins de la planète. Ces dernières doivent se protéger pour pouvoir tirer pleinement profit.
“Tout le succès d’une opération réside dans sa préparation”
Ne laissez pas l’expression “sécuriser le système d’information” vous tromper, il ne s’agit pas d’une surcouche qu’on applique en seconde oeuvre. Pour qu’elle soit effective, la sécurité doit être bâtie, brique par brique, au fur et à mesure que le système informatique se développe. Elle nécessite de ce fait un effort continu, et est une culture qu’il faut adopter par tous les collaborateurs. Bien évidemment c’est plus compliqué que d’installer un antivirus ou de configurer un pare-feu, mais le résultat devrait être nettement plus fructifiant.
Et n’oubliez jamais : mieux vaut prévenir que guérir.
“Pour pouvoir élaborer une stratégie qui répond aux besoins et aux attentes de l’entreprise, il est recommandé de commencer par un audit technique, organisationnel et physique approfondi”, affirme Tarek Baldi. Pour plus d’efficacité, une telle évaluation doit être élaborée régulièrement. D’ailleurs, la loi tunisienne sur la sécurité informatique exige des sociétés d’auditer leurs systèmes informatiques au moins une fois par an. Seul hic : aucune sanction n’a été prévue à l’encontre des entreprises qui n’appliquent pas la loi.
37% des entreprises ont déclaré être victimes de cyber-crime en 2016 — PwC
“Aucune loi ne peut obliger les entreprises à effectuer des missions d’audit, d’où l’absence de mesures dissuasives”, nous a révélé une source officielle de l’Agence nationale de la sécurité informatique. Résultat : “La plupart des entreprises évitent les audits”, nous précise la source. Seuls les grandes boîtes et quelques entreprises publiques se le permettent. “Certains organismes publics n’appliquent même pas les recommandations du rapport. Pour eux, l’audit n’est qu’une case à cocher”, déplore Baldi. Et ce ne sont pas les moyens qui font défaut : “Une grande partie du matériel de sécurité, valorisé à plusieurs milliers de dinars, est sous-exploité, souvent par manque de compétence, mais aussi par choix”.
Que peut apporter l’audit de sécurité ?
Il permet, entre autres, de mettre en avant les failles, de sensibiliser les collaborateurs, d’attribuer les rôles et les responsabilités dans le cadre de la politique de sécurité de l’entreprise, ainsi que d’évaluer les procédures de gestion, notamment la mise en place d’un plan de continuité d’activité. Sur le plan technique, l’audit permet de prévoir tout besoin de réaménagement de l’architecture du réseau, ou le déploiement d’outils de protection. Ici, Imed Hnana cite les solutions antivirales, les pare-feux, les détecteurs d’intrusions ou encore les systèmes de data loss prevention.
Et si malgré toutes ces précautions l’entreprise est attaquée, que doit-elle faire ? “En cas d’incident, l’entreprise doit informer immédiatement l’ANSI, comme l’indique la loi en vigueur,” nous a expliqué notre interlocuteur de l’agence. “Le but étant d’essayer de déterminer les techniques et les méthodes utilisées lors de l’attaque, et d’arrêter sa propagation si besoin est”. Ainsi, l’ANSI peut contacter les opérateurs et les fournisseurs locaux pour leur demander de bloquer des adresses IP ou de fermer des ports. L’Agence peut même entrer en contact avec les fournisseurs des pays sources des attaques pour prendre les mesures nécessaires.
“Le bon général gagne la bataille avant de l’engager”
Les pirates adorent les bugs, surtout ceux qui leur permettent de compromettre les machines de leurs victimes. Et, malheureusement, ces failles sont innombrables et sont présentes dans tous les logiciels. La bonne nouvelle est qu’aujourd’hui, les développeurs en sont conscients, mettant à jour leurs programmes à chaque fois qu’une faille est détectée. Pour se protéger, il est donc essentiel de mettre à jour vos logiciels et firmwares et d’installer en priorité les patches de sécurité. Le hic est que ces mises à jour ne sont toujours pas disponibles : “Nous avons malheureusement constaté que plusieurs fournisseurs tunisiens n’hésitent pas à importer des produits en fin de cycle”, a noté avec amertume notre source au sein de l’ANSI.
59% des employés volent des données propriétaires en quittant leurs postes — Heimdal Security
“Ces produits ne recevront donc aucune mise à jour et seraient un jour ou l’autre une brèche largement ouverte aux malfaiteurs”. Le problème est que, parfois, les pirates réussissent à découvrir une faille avant le développeur de l’application. Le temps que la mise à jour est disponible et c’est déjà trop tard.
Les mots de passe font désormais partie intégrante de notre vie digitale de tous les jours, notamment grâce à la liste de services et de comptes qui ne cesse de gagner en longueur. Cela va sans dire, il faut choisir un mot de passe sécurisé; donc plus jamais de “123456”, de “password”, ni même de votre date de naissance. Avec un tel sésame, vos secrets appartiendront aux hackers en moins d’un millième de seconde !
Il faut aussi penser à changer les mots de passe par défaut de vos équipements réseau, de vos bases de données, etc. Aussi trivial que ça a l’air, ces erreurs sont plus fréquentes que vous ne le pensez. Equifax, l’entreprise américaine à laquelle on a dérobé les données de 143 millions d’Américains, avait comme login et mot de passe de l’une de ses bases de données : admin/admin ! J’ai oublié de vous le dire: un mot de passe sécurisé n’arrêtera pas les hackers d’accéder à vos fichiers. Il ne pourra que les retarder un peu. Peut-être.
Une solution plus efficace serait d’utiliser l’authentification à deux facteurs. Pour vous connecter sur un site, et en plus du mot de passe classique, un SMS vous sera envoyé avec un code secret. Seule la personne avec la bonne combinaison accédera au compte. Seul hic: ce système n’est pas proposé par tous les sites.
78% de personnes prétendent être conscientes des risques que posent les liens inconnus sur les emails … et pourtant cliquent dessus! — Friedrich-Alexander-Universität
Pour assurer un niveau acceptable de sécurité, une seule solution semble efficace: la vigilance. À utiliser sans modération.
L’intelligence artificielle n’a pas dit son dernier mot?
Il a été prouvé que ces systèmes d’intelligence artificielle fonctionnent plus rapidement et plus efficacement que les humains pour de nombreuses tâches, à l’instar de la détection automatique d’intrusion 24h/24h. Ceci s’expliquerait par leur capacité à traiter des quantités de données colossales en des temps records leur permettant d’envoyer des notifications.
En réalité, les systèmes de sécurité de l’IA auront la capacité d’apprendre, de détecter et de corriger les failles de sécurité avant qu’elles prennent la forme d’une menace. En effet, le temps est un facteur très important à prendre en considération lorsqu’il s’agit de mener les analyses pertinentes (malware, logs…). Détecter, confirmer, remédier et vérifier des alertes avec l’IA augmentent fondamentalement les capacités des analystes.
87% des directeurs des systèmes d’information pensent que les systèmes de sécurité ne protègent pas suffisamment leurs entreprises — Venafi
A titre d’illustration, une étude de la société Vectra a fait ressortir que 34% des équipes de Security Operation Centers (SOC), quelle que soit leur taille, utilisant l’IA, peuvent détecter les menaces en quelques minutes. D’un autre côté, 50% des équipes de SOC de plus de 10 personnes ayant déployé de l’IA détectent les menaces en quelques minutes. Aujourd’hui, le challenge est de pouvoir agir avant que le mal soit fait.
