MOIS DE LA CYBERSÉCURITÉ : SE DÉFAIRE DES IDÉES REÇUES

Octobre marque comme tous les ans le mois de la cybersécurité.

L’occasion de se pencher sur l’évolution des cybermenaces, les succès de l’année écoulée, mais aussi les causes des échecs. En effet, de nombreux préjugés, qui perdurent au sein des entreprises, continuent d’alimenter des vulnérabilités pouvant pourtant être facilement gommées. Selon Pierre-Louis Lussan, CountryManager Southern Europe chez Netwrix, il est urgent que les organisations dépassent ces a priori et se montrent proactives en matière de cybersécurité :« Les données, aussi bien des employés que celles des clients, constituent les actifs d’une organisation et sont, à ce titre, les clés pour assurer la pérennité des activités. Il est donc essentiel que les entreprises les sécurisent en dépassant trois idées reçues qui persistent.

Idée reçue n°1 – la cybersécurité,c’est compliqué

Le principe de la cyber protection repose sur contrôler qui fait quoi à tout moment, ainsi que savoir précisémen toù est chaque donnée. Pour ce faire, les entreprises ont besoin d’une traçabilité complète, pour hiérarchiser la sécurisation des informations par ordre de criticité, alors que l’adoption du travail hybride a étendu la surface d’attaque et accéléré les risques. Si gagner en visibilité et contrôle semble ardu, il existe des outils technologiques automatisés à même de remplir ces fonctions. De plus, la cybersécurité peut être fournie en tant que service via un partenaire dédié, lorsque l'organisation ne dispose pas de suffisamment de ressources internes pour assurer la protection de son environnement informatique.

Idée reçue n°2 – la menace vient de l’extérieur

Les organisations sont préoccupées par les menaces externes, mais les risques associés à leurs employés doivent également être pris en considération. Les comptes à privilèges, avec des droits d'accès élevés, sont particulièrement visés par les cybercriminels. Si la menace est extérieure, sa mise en œuvre est permise par des pratiques internes. La limitation des droits n’est pas une barrière efficace contre les cybercriminels si les accès sont accordés de façon permanente. Il est ainsi conseillé d’adopter une politique plutôt du « juste-à-temps », afin d’octroyer des droits temporaires à chaque demande d’accès; de sorte que si un cybercriminel compromet un compte utilisateur, il se retrouvera bloqué et ne pourra donner suite à ses activités suspicieuses car les droits d’accès ne lui seront refusés.

Idée reçue n°3 – Mes infos n’intéressent pas les criminels

Les organisations se pensent à l’abri des hackers, en particulier les PME persuadées que les cybercriminels recherchent en priorité des données liées notamment à la propriété intellectuelle, telles que les brevets. Or, toute information personnelle sur les employés et les clients est monnayable sur le Dark Net, etre présente donc une cible pour les attaquants sans aucune éthique visant par exemple des hôpitaux. Les entreprises qui ne prennent pas mesure du danger et ne s’arment pas en conséquence risquent de prendre un retard. Une protection des données innovantes, qui s’adapte à l’évolution du paysage des menaces, est nécessaire pour parer toute tentative de compromission, mais aussi pour gagner la confiance de l’ensemble de son écosystème.