Personne n’a oublié la cyberattaque du mois de mai dernier, ses 200 000 ordinateurs infectés, ses usines et ses hôpitaux contraints de baisser pavillon, faute de pouvoir accéder aux données « prises en otage » sur leurs machines. En cause, des failles de sécurité logicielles non comblées.

Une simple mise à jour aurait donc permis d’éviter cette déferlante mondiale de malwares, selon les experts. Traduisez : le problème est technique et chacun attend des éditeurs de logiciels qu’ils changent les serrures et de la DSI qu’elle ne les quitte plus des yeux. Une approche « tout technologique » qui n’est pas suffisante : le cyber-risque ne pourra être réduit qu’à la condition qu’il soit appréhendé dans toutes ses dimensions et pris en charge de manière transversale.

security concept with a lock

L’approche au cas par cas s’inscrit donc comme la première démarche d’une stratégie de cybersécurité. Et une des questions qu’il convient de se poser à ce stade est : quels sont les « trésors » de l’entreprise qu’il faut absolument protéger ? Sans surprise, la réponse variera en fonction du secteur d’activité, mais aussi de l’histoire et de la structure de l’entreprise.

Le plus important est de se concentrer sur les zones non couvertes ou mal couvertes. Il est ainsi possible d’analyser quatre pistes : les failles techniques, les failles humaines, les attaques externes et les attaques internes. Cet état des lieux passe aussi bien par le test des réactions de collaborateurs (faux coups de téléphone pour obtenir des mots de passe) que par des tests de pénétration informatique. Il est conseillé de confier ces opérations à des tiers qui identifieront plus facilement, avec un œil extérieur, les failles éventuelles.

Une fois cet état des lieux réalisé, vient le temps du diagnostic, à partager avec la direction informatique mais pas seulement, car ce sont bien les dirigeants et les équipes qui doivent être sensibilisés.
Le risque zéro, comme ailleurs, n’existe pas mais des actions simples peuvent permettre de réduire les probabilités de de sinistres. Des moyens technologiques mais aussi, une fois encore, humains sont à prendre en compte. Sensibiliser tous les collaborateurs de manière régulière est un passage obligé.
Si jamais un incident se produit quand même, il faut s’être préparé pour faire face aux conséquences. Pour chaque risque, on identifiera des contre-mesures. Si vous expliquez à vos collaborateurs que débrancher leur machine du réseau est la première chose à faire lorsqu’apparaît sur l’écran de leur ordinateur un message de cryptolockage, vous allez considérablement réduire les conséquences techniques, mais aussi financières de l’attaque.
Plus généralement, un suivi des menaces doit être confié à une personne dédiée et compétente et si cette personne n’existe pas au sein de l’entreprise, cette mission peut être externalisée pour que vous puissiez vous concentrer sur votre cœur de métier.

Jean-Marc ALLOUËT, Associé, BDO

BDO, cabinet d’audit et de conseil leader à Versailles, et présent dans 40 bureaux en France et 157 pays dans le monde. Pour en savoir plus : [email protected] et
https://www.bdo.fr/.