Stratégie de sécurité informatique : 3 exemples

Les menaces qui pèsent sur l’infrastructure technologique des entreprises sont en constante évolution. C’est pourquoi les directeurs TI doivent plus que jamais adopter des stratégies proactives dans leur lutte contre les pirates informatiques.

Les entreprises essuient chaque jour un feu nourri de virus, de vers, de logiciels espions, de logiciels malveillants et de pourriels. Par exemple, la firme Symantec a détecté en 2014 une moyenne de 73 tentatives journalières d’hameçonnage par courriel.

Les entreprises de toutes tailles sont concernées : toujours en 2014, 41 % des tentatives d’hameçonnage étaient dirigées vers de grandes entreprises (plus de 2 500 employés), 25 % vers de moyennes entreprises (250 à 2 500 employés) et 34 % vers de petites entreprises (moins de 250 employés), selon Symantec.

Outre leur nombre, la variété et le niveau de sophistication de ces attaques sont inquiétants. Pas moins de 317 millions de nouvelles variantes de logiciels malveillants ont été créées en 2014. Parmi ces dernières, des offensives telles que Turla et Regin sont si savamment élaborées qu’on les soupçonne d’avoir été commanditées par des États.

Et les dégâts sont immenses : perte de données, blocage des systèmes informatiques, chantage et cyberextorsion, poursuites judiciaires, perte de confiance des clients.

Confrontées à cette réalité, les entreprises doivent trouver le moyen de s’adapter rapidement, et sans faire exploser leur budget TI.

Voici 3 exemples de stratégies porteuses pour votre entreprise.

Former ses employés

Avant de s’intéresser à l’attirail technologique permettant de repousser les nouvelles menaces informatiques, il n’est pas inutile de s’attarder à la culture d’entreprise qui ouvre souvent toute grande la porte aux brèches.

À cet égard, on peut consulter les données du US-CERT, un service du Département de la sécurité intérieure des États-Unis, qui a analysé les incidents de cyberpiratage du gouvernement fédéral américain entre 2009 et 2013. On s’aperçoit que les employés sont en cause dans plus de la moitié des cas : violation des politiques internes (21 %), perte ou vol d’un appareil (16 %), égarement de documents papier contenant des informations sensibles (12 %), exécution par un employé d’un fichier corrompu (8 %) et partage d’informations confidentielles à la suite d’un courriel d’hameçonnage (6 %).

Il n’est donc pas surprenant que les programmes de sensibilisation à la sécurité informatique soient courus partout en Amérique. Ceux-ci incitent non seulement à la prudence, mais comportent également des tests concrets pour mesurer l’efficacité de ces formations.

Une manière d’y arriver est de simuler des envois de courriels d’hameçonnage et regarder le taux de réponse des employés. La firme Wombat Security Technologies a d’ailleurs mesuré l’impact de ses formations, avec des courriels tests envoyés avant et après les ateliers.

Les résultats sont probants : un manufacturier de la Pennsylvanie comptant plus de 5 000 employés à travers le monde a pu réduire ses infections par logiciels malveillants de 42 %. Dans le secteur du commerce de détail, un distributeur œuvrant dans le domaine de la restauration a réduit son taux de réponse de 98,6 % à une simulation d’hameçonnage.

Miser sur l’évaluation des risques

En matière de sécurité informatique, le mot d’ordre a longtemps été de répondre à la « conformité »: s’assurer que les protocoles utilisés et les politiques internes sont sécuritaires et qu’elles respectent la loi. Il s’agit maintenant d’un strict minimum. Le pas suivant est d’identifier les risques réels encourus par votre entreprise.

Tout d’abord, il s’agit de déterminer quelles informations il vous serait dommageable de perdre ou d’exposer publiquement. Les données bancaires intéressent très certainement les cybercriminels, mais il faut également savoir qu’il existe tout un réseau souterrain de revente de courriels et de coordonnées personnelles. De plus, perdre de l’information personnelle sur un client ou un partenaire d’affaires peut vous exposer à des poursuites judiciaires onéreuses.

Chaque organisation fait face à un défi particulier : les hôpitaux voudront protéger les dossiers numériques de leurs patients ; les universités, le fruit de leurs recherches. Les commerces de détail veilleront à protéger leurs données transactionnelles.

Puis, au-delà des données, il y a les gens qui les manipulent. Aussi, il est important de mesurer le niveau de conscientisation de vos employés. Surtout si vous ouvrez la porte à l’usage d’appareils ou d’ordinateurs personnels dans un contexte de travail (le fameux « bring your own device », BYOD). Enfin, il faut évaluer le type de technologies que vous utilisez.

C’est en identifiant vos points vulnérables que vous pourrez optimiser vos efforts.

Donner une voix à la sécurité informatique

Avant les brèches majeures qui ont ciblé Target et Sony ces dernières années, Kenneth Haertling n’avait jamais été invité à s’adresser de vive voix au conseil d’administration. Il est pourtant le haut responsable de la sécurité informatique chez TELUS.

S’il participe désormais à ces rencontres sur une base régulière, c’est qu’il y a un véritable changement d’attitude de la part des administrateurs de sociétés envers la question de la cybersécurité. L’enjeu est à ce point important qu’il est maintenant intégré dans les plus hautes sphères décisionnelles.

L’avantage ? « Ça me permet de m’adresser sans filtre à la direction, explique Kenneth Haertling. J’utilise des points de comparaison pour leur faire comprendre l’état de la situation. Je montre comment les différents secteurs de l’entreprise se situent les uns par rapport aux autres, au niveau de la sécurité informatique. Puis, je montre comment la compagnie se tire d’affaire par rapport à la concurrence. »

Pour cela, il faut évidemment que le directeur de la sécurité informatique ait fait ses devoirs : c’est-à-dire apprendre à connaître les différents secteurs d’activités de l’entreprise et avoir établi des liens avec les directeurs de chacun de ces secteurs.

 C’est une des premières recommandations de la firme Citrix. « Entretenir une relation de travail étroite entre la direction des TI et la direction des affaires est un ingrédient essentiel pour une sécurité efficace », écrivent-ils dans un rapport sur le sujet.

 « Rencontrer régulièrement les décideurs de l’entreprise, ajoutent-ils, donne la chance au responsable de la sécurité d’encadrer les nouvelles initiatives d’affaires dès le début. Cela lui donne également une meilleure connaissance des risques et du niveau de conformité qui est requis dans le secteur d’affaires propre à l’entreprise. »

 Si ce n’est pas déjà fait, il vous reste donc à inviter votre responsable de la sécurité à votre prochain conseil d’administration…