Articles

Comprendre et prévenir les Cyber-Risques

Une priorité pour Administrateurs et Dirigeants
Les cyberattaques sont devenues un enjeu majeur pour notre économie. Les entreprises (grands groupes, Eti et PME) font l’objet d’attaques informatiques répétées : espionnage économique, fraude, demande de rançon, utilisation des données. Elles peuvent avoir des conséquences très significatives sur leurs finances et leur réputation.
 
La cybersécurité est un sujet stratégique pour les entreprises : prioritaire pour les actionnaires (risque de perte de valeur), les conseils d’administration et notamment les comités d’audit (protection des actifs, contrôle interne), ainsi que pour les clients (fiabilité des produits, protection des données)
 
Quelles recommandations ?
 
Les réponses à apporter sont multiples : individuelles et collectives, éducatives, techniques, juridiques, réglementaires. Pour Alexandre Montay, “il ne s’agit pas seulement d’un problème de budget, il s’agit d’un enjeu culturel : le dirigeant doit d’abord prendre conscience des risques”.
 
Le conseil d’administration doit se préparer à la gestion de crise (avec un protocole de surveillance et d’intervention, et du partage d’informations avec d’autres entreprises). Au préalable, il convient :
 
• d’identifier, de classifier et de localiser les données stratégiques de l’entreprise,
 
• de superviser la mise en place de dispositifs d’alerte,
 
• d’informer le conseil d’administration régulièrement,
 
• de s’assurer de la conformité aux contraintes règlementaires,
 
• de vérifier la mise à jour des contrats d’assurance au regard de ces nouveaux risques.
 
En effet, l’assurance sait répondre aux nombreux préjudices potentiels : frais de reconstitution des données, aide à la gestion de crise, aide à la reconstitution d’image, coût des mises en cause de la responsabilité de l’entreprise etc.
Au sujet des assurances, Alain Juillet rappelle que “Le montant total des primes d’assurances relatives aux cyber-risques payées par les entreprises américaines, est 100 fois plus élevé qu’en France à iso PNB”.
 
• intégrer les cyber-risques au rapport annuel (en diminuant les pages RSE !)
 
Source CESIN (pour lire l’article complet) : https://www.cesin.fr/article-comprendre-et-prevenir-les-cyber-risques-une-priorite-pour-administrateurs-et.html
/0 Commentaires/par

CYBER ATTAQUES : Une entreprise sur deux touchée à cause de…. ses clients

Dans son étude « cyber insécurité : gérer les menaces de l’intérieur », Proofpoint, leader de la cyber sécurité en entreprise, pointe la vulnérabilité humaine à l’origine des vols de données et des cyberattaques. Comment faire pour réduire ce facteur humain et sécuriser les entreprises ? Quelques pistes à suivre.

En 2017, Yahoo subissait une cyberattaque. Résultat : 3 milliards de comptes exposés. Un an plus tard, c’est Facebook qui avouait s’être fait subtiliser les données de 500 millions d’utilisateurs. Et ces deux géants ne sont pas les seuls. Sur les 300 cadres interrogés dans l’étude de Proofpoint, 86% indiquent avoir subi une cyberattaque au cours des 3 dernières années et 60% au moins 4. Et à ce jeu, aucune entreprise n’est épargnée, le facteur humain restant présent dans les petites comme les grandes structures.

Un risque humain connu et reconnu 

Pour 48% des cadres interrogés, les failles humaines (malwares, emails frauduleux, phishing) figurent parmi les trois principaux facteurs d’attaques.  Et contrairement aux idées reçues, les salariés ne sont pas les premiers touchés. Les hackers frappent souvent les entreprises à travers leurs clients (48%) puis leurs employés (43%) et enfin les travailleurs temporaires (38%). La famille et les proches des salariés sont cités en 6ème position, preuve que le problème ne se cantonne pas à l’entreprise mais à son cercle élargi. Or, les dirigeants n’ont peu ou pas de mainmise sur ces individus.
Le risque zéro n’existe donc pas et la vulnérabilité liée aux facteurs humains ne peut que se limiter. Les cadres interrogés sont d’ailleurs conscients de la croissance de ce phénomène (47%) tout en restant assez confiants sur la capacité de leurs dirigeants à résoudre ces difficultés (76%). Ils reconnaissent pratiquement tous que des mesures sont déjà mises en place pour contrôler ces risques (96%).

Des dirigeants et des cadres engagés 

Parmi les solutions citées, le Cloud apparaît comme un premier élément de protection des données. Un cadre sur deux annoncent d’ailleurs y avoir transféré la moitié de ses données. Parmi le autres solutions envisagées pour lutter contre les violations de données, on trouve :

  • Mettre en place une double authentification (93%)
  • Réaliser des tests réguliers sur les données (96%)
  • Intégrer des programmes sécurisés et faire migrer les données dans le Cloud (96%)

Du côté des failles humaines, d’autres process sont proposés :

  • Définir et limiter l’accès à certaines données (95%)
  • Bloquer l’accès aux boîtes mails personnelles (91%)
  • Renforcer l’information sur les enjeux liés à la sécurité (93%).

Impliquer et former pour mieux responsabiliser 

Au niveau humain, les cadres ayant expérimenté plusieurs solutions soulignent l’efficacité des formations (35%) et l’élaboration commune des politiques de sécurité (34%).  L’implication des salariés, quelque soit le métier qu’ils exercent dans l’entreprise, est un facteur fondamental de réussite. Leur retour sur d’éventuelles failles permettra ainsi de prédire le type d’attaques employées, de même que l’analyse de leurs comportements et de leurs habitudes servira à établir des plans d’actions mieux ciblés.
Pour mieux sensibiliser les salariés, l’étude propose également de les mettre en situation de tentative de violation de données.

Paradoxalement, les entreprises peinent encore à mettre en place une unité de cybersécurité au sein de leur entreprise.

Créer une unité spécialisée, une idée trop peu suivie 

Moins d’une entreprise sur deux a  créé un pôle cyber sécurité en charge de cette question. Au mieux, il s’agit du directeur de la technologie (26%), du service informatique (15%) ou d’un partage de responsabilité entre divers responsables (12%). Une situation qui ne convient pas aux cadres. Selon eux, le DSI doit en faire une partie intégrante de l’informatique (94%), et le rôle du RSSI devrait être renforcé pour qu’il fonctionne aux côtés du CIO plutôt que de lui rendre compte (91%).

Pour réduire le risque humain responsable de failles et de cyberattaques, misez sur la coopération et l’information de vos salariés pour leur inculquer les bonnes pratiques.

 

 

 

 

 

 

/par
COVERLIANS

22, rue de la Rigourdière
35510 CESSON SEVIGNE

Fax : 02 99 66 06 71

CONTACTER COVERLIANS