Adopter une attitude proactive en matière de cybersécurité : 5 astuces pour protéger votre entreprise

Du point de vue de la cybersécurité, l’année 2017 aura permis aux entreprises de tirer plusieurs leçons, notamment ce qu’il faut éviter de faire. Voici deux leçons à tirer de ces atteintes à la sécurité :

• L’année 2018 est bien entamée et les entreprises utilisent plus que jamais le Web pour alimenter leur croissance. En conséquence, chaque entreprise devrait se doter d’un plan en matière de cybersécurité.

• Les infractions aux données personnelles peuvent être prévenues.

Voici cinq façons de protéger votre entreprise contre les infractions aux données personnelles et autres atteintes à la cybersécurité.

1. Concevez des applications intrinsèquement sécuritaires

Pour ce qui est de la sécurité des applications, la meilleure défense, c’est l’attaque. Vous devez donc faire de la sécurité une composante essentielle de votre cycle de développement de logiciels. Et la modélisation des menaces demeure l’approche à privilégier.

La modélisation des menaces permet d’évaluer le comportement d’une application du point de vue de la sécurité. En effectuant cette évaluation lors de la phase de conception, il est possible d’identifier des failles potentielles et de mettre en place les contrôles de sécurité appropriés pour éviter les infractions aux données personnelles.

De plus, les tests de pénétration et l’analyse du code source doivent avoir lieu pendant la phase de développement, et non pas une fois le produit achevé.

Non seulement développerez-vous ainsi des applications qui sont intrinsèquement sécuritaires, mais le processus de développement de vos applications s’en trouvera également amélioré. Il est beaucoup plus difficile d’intégrer un volet consacré à la sécurité à une application existante que de le faire pendant le développement.

2. Assurez-vous que vos applications sont à jour

Cette exigence s’applique tant aux applications conçues à l’interne qu’à celles développées en collaboration avec un tiers. En vous assurant que vos applications sont à jour, vous maximisez vos chances de contrer les atteintes à la sécurité. De plus, si de telles atteintes surviennent, la probabilité qu’on vous en tienne responsable sera moindre. Nous vous recommandons donc de vous assurer que le code de vos applications, mais aussi les modules d’extension et les infrastructures, soient mis à jour sur une base régulière. De plus, ayez toujours la sécurité en tête lorsque vous concevez des applications.

3. Ne négligez pas votre infrastructure

Lors du développement d’une application, il faut évidemment songer à la sécurité, mais il ne faudrait pas non plus perdre de vue l’infrastructure. Si les pirates réussissent à s’introduire dans votre entreprise par l’entremise d’une application, ils essaieront d’accéder à d’autres systèmes. Vos serveurs Web et autres composantes réseau devraient donc être mis à jour eux aussi sur une base régulière.

4. Effectuez régulièrement des évaluations de sécurité et des tests de pénétration

Les tests de pénétration consistent à monter des attaques contre votre application ou votre infrastructure afin d’identifier les failles potentielles. Ces tests devraient être effectués chaque fois qu’une modification importante est apportée à l’application, ou encore sur une base trimestrielle.

Tous les tests de pénétration doivent s’inspirer de menaces réelles. Voici quelques exemples de menaces potentielles : OWASP Top 10 Application Security Risks of 2017 ^{(10 principales menaces à la sécurité des applications selon l’OWASP)}.

5. Enseignez à vos employés les meilleures pratiques en matière de sécurité

Si les pirates n’arrivent pas à s’introduire dans votre entreprise par l’entremise de vos applications ou de votre infrastructure, ils s’attaqueront au maillon le plus faible de la chaîne : vos employés. En effet, les employés représentent l’une des principales failles de sécurité d’une entreprise. Il suffit que l’un d’entre eux clique sur un lien dans un courriel pour mettre en péril toute l’entreprise.

Je ne rappellerai jamais assez l’importance d’offrir à vos employés une formation adéquate sur la sécurité. Cette formation devrait être obligatoire pour tous les employés et vous devriez effectuer des tests aléatoires sur une base régulière, par exemple en envoyant un courriel hameçon simulé.

Conclusion

L’important est d’adopter une attitude proactive face à la cybersécurité. Si vous attendez qu’une autre faille de sécurité soit annoncée dans les médias, vous risquez d’être pris au dépourvu et tenterez de trouver une solution rapide au problème. Peut-être que vous en serez quittes pour un bon mal de tête, mais il est aussi possible que vous n’ayez pas le temps de vous préparer à une réelle cyberattaque.