Dans l’univers hyper connecté qui est le nôtre, la sécurité des systèmes d’information est devenue l’affaire de tous. De la grande institution bancaire à la petite PME en passant par le citoyen lui-même, chaque maillon de la chaîne peut être la cible de hackers malintentionnés, que ceux-ci soient à la recherche d’argent facile, de données sensibles ou simplement d’un intermédiaire vulnérable pour mener à bien des attaques de plus grande envergure.

En matière de piratage informatique, la tendance générale est à la professionnalisation de la menace. Si leurs motivations sont diverses, les hackers développent une expertise toujours plus poussée et déploient des moyens toujours plus importants pour atteindre leurs objectifs. A tel point que plus personne n’est à l’abri. « Si un vaccin est inoculé pour se protéger soi-même, il l’est aussi pour protéger les autres, en prévenant un risque d’épidémie. Il en va de même en matière de sécurité informatique. Le système informatique d’une entreprise vulnérable peut être utilisé pour lancer des attaques sur d’autres cibles. Aujourd’hui, plus personne ne peut encore dire que la sécurité ne le concerne pas », lance Cédric Mauny, Head of Technical Unit Security Audits and Governance Services chez Telindus.

Le plus grand défi actuel est encore de sensibiliser l’ensemble des acteurs, même les plus petits, aux risques encourus. « Plus notre environnement est connecté, plus le risque de sécurité est grand », résume Jacques Ruckert, Director, Products & Solutions, de Telindus. « Autrement dit, la chaîne globale est aussi forte que son maillon le plus faible. Or, nous visitons souvent des entreprises où le code Wi-Fi est encadré au mur depuis plusieurs années, sans jamais avoir été modifié… »

Identifier les données sensibles

Aujourd’hui, la plupart des PME pour lesquelles l’IT n’est pas le cœur de métier ne sont pas suffisamment conscientes des menaces. « L’objectif ne doit jamais être de faire de la sécurité pour de la sécurité », reprend Cédric Mauny. « La première étape consiste en une analyse des risques. Il faut pouvoir identifier les ressources qui ont le plus de valeur et commencer par protéger celles-ci. Pour une PME dont les moyens sont limités, il s’agit de mettre en œuvre les bons efforts au bon moment, au bon endroit et de la bonne manière. »

L’autre point important concerne la gouvernance, c’est-à-dire la définition des rôles et des responsabilités de chacun dans le cadre d’une politique de sécurité de l’information. Il est primordial que chaque personne impliquée sache ce qu’on attend d’elle, du top management jusqu’aux employés. « Protéger ses ressources implique de mettre en place une structuration précise des rôles. Il faut que ces rôles soient connus. Il n’y a rien de pire que d’entendre : je croyais que c’est toi qui allais le faire… »

Des mesures préventives, détectives et réactives

Il est tout aussi primordial d’assurer un suivi en mettant en place un monitoring régulier des systèmes d’information. Les menaces évoluent en permanence. Le niveau de sécurité doit suivre la même tendance. La combinaison gagnante se compose de mesures préventives, détectives et réactives afin d’être en mesure d’empêcher et le cas échéant de repérer toute attaque sur un système et de pouvoir réagir de la meilleure manière qui soit. « Pour cela, il faut se préparer, répéter, anticiper », constate Cédric Mauny. « Pour commencer, il peut être intéressant de demander à un prestataire externe de mener un audit pour identifier ce qu’il peut découvrir sur votre entreprise. Il est parfois étonnant de voir avec quelle facilité on peut avoir accès à certaines informations et, dans certains cas, s’en servir pour lancer des attaques ultérieures… »

Pénétrer pour mieux protéger

Au sein de Telindus, deux départements complémentaires regroupant plus de 25 personnes travaillent en permanence sur la sécurité des systèmes d’information. Le premier délivre du conseil en gouvernance, audit, gestion des risques et sensibilisation, le second étant dédié aux conseils en solutions de sécurité et à leur mise en œuvre concrète sur le terrain. « Grâce à l’expertise développée en interne, nous avons une approche 360°. Nos équipes savent où se trouvent les menaces. Elles peuvent pénétrer un système, elles peuvent donc aussi le protéger efficacement. Elles sont capables de mesurer si le niveau de protection est en ligne avec ce qui est attendu, tout en assurant les mises à jour destinées au maintien de ce niveau de sécurité optimal. »

Ici comme dans d’autres domaines sensibles, le risque zéro n’existe pas. L’idée est toutefois de pouvoir ralentir, détourner et détecter l’action d’un éventuel hacker en multipliant les mesures de sécurité … En élevant le niveau de vigilance de chaque entreprise, c’est tout l’écosystème qui en sort gagnant.