La cybersécurité n’incombe pas seulement aux responsables IT

De nombreux dirigeants de PME font fausse route lorsqu’il est question de déterminer à qui revient la responsabilité de gérer la performance, la sécurisation du système informatique et la prévention des violations de données.

Ils pensent bien souvent à tort que ce rôle est réservé au département IT, une logique qui peut en effet mettre à mal la sécurité de l’organisation.
Collaboration nécessaire entre les départements

La sécurité des données d’une entreprise dépend de la coopération qui existe entre ses membres. Il suffit qu’une seule personne ne joue pas le jeu pour que l’état du système informatique soit menacé, et que le risque de violation de données augmente. Prenons l’exemple de l’exécution d’un programme qui n’a pas été correctement configuré ou d’un logiciel obsolète. La gestion d’une telle situation est très certainement du ressort de l’équipe informatique. Toutefois, cette dernière ne peut pas être tenue pour responsable de tout le personnel hors IT qui ignore les règles de l’entreprise ou les bonnes pratiques en matière de sécurité. Parfois, les employés ordinaires font des choses « extraordinaires », telles que l’extension de leurs privilèges pour accéder à des informations normalement inaccessibles compte tenu de leur fonction. Il peut également arriver qu’un salarié en désaccord avec son employeur envisage d’effacer ou de modifier délibérément des données, ou bien de communiquer des informations confidentielles à un concurrent.


Budgets serrés et cybersécurité sacrifiée

Des outils permettent aujourd’hui aux équipes IT de détecter les signes avant-coureurs d’abus de privilèges ou de falsification de données, et ainsi de prendre rapidement les mesures nécessaires avant qu’une violation de données ne se produise. Cependant, les responsables informatiques doivent encore trop souvent travailler avec des budgets serrés voire réduits, ce qui peut les conduire à faire des sacrifices, parfois sur les mesures de sécurité les plus basiques, rendant dès lors les ressources de l’entreprise vulnérables aux attaques. La surveillance continue du comportement des employés de confiance en matière de données est, au mieux, une faible priorité. Bien souvent, d’autres activités sont prioritaires, telles que le renforcement des défenses contre les menaces externes et la gestion des projets stratégiques. Malheureusement, de nombreuses entreprises font des économies sur la cybersécurité. Une approche risquée car les violations de données ne peuvent être évitées que si l’ensemble du personnel, et pas seulement l’IT, maîtrise les meilleures pratiques et s’engage à s’aider mutuellement.


« Nous et eux »

Néanmoins, la plupart du temps, la mentalité du « nous et eux » prévaut. Alors que le problème de sécurité le plus important dans le cloud est le risque d’accès non autorisé, le service IT est bien souvent pointé du doigt lorsqu’un incident survient. Les employés doivent prendre conscience que la protection des données optimisée repose sur un effort collectif. Une bonne communication entre l’équipe informatique et le reste des collaborateurs peut donc faire toute la différence. Il arrive par exemple que les commerciaux travaillent sur un projet qui implique la création de fichiers comprenant les données sensibles de clients. A moins d’en avoir averti les responsables IT, les mesures nécessaires pour les sécuriser correctement risquent de ne pas être prises en compte. Ces lacunes dans la communication sont exactement ce que les hackers cherchent à exploiter.


Régulations et prérequis pour se conformer

Le coût d’une violation de données peut être très élevé, encore plus depuis l’entrée en vigueur en janvier dernier de la nouvelle Directive des Services de Paiement (DSP2), visant à réguler et sécuriser les échanges de données bancaires, et du Règlement Européen sur la Protection des Données (RGPD) en mai. Dans le cadre de ce dernier, en cas de non-conformité, les entreprises peuvent en effet écoper d’une sanction financière allant jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires annuel global. Une situation évitable pour les organisations si elles s’appliquent à suivre quelques étapes incontournables qui leur permettront d’améliorer la santé de leur système informatique, tout en réduisant le risque de rejoindre la liste croissante des entreprises victimes de violations de données :

 

-    Identifier les différents cas de vulnérabilité : commencer par une évaluation précise des risques actuels dans son environnement, basée sur des preuves et non des hypothèses ou des avis, est primordial. La plupart des organisations réussissent très bien à établir leur défense périmétrique. Il est ainsi essentiel, en premier lieu, d’examiner de plus près les systèmes internes, en accordant une attention particulière aux autorisations d’accès des utilisateurs et aux données auxquelles ils donnent accès.

 

-   Prioriser les actions en fonction du risque : une fois la base de référence établie, les priorités se distinguent en général clairement. Il est important d’impliquer les personnes n’appartenant pas au service IT dans le processus, car leur perception potentiellement différente de l’endroit où se trouvent les ressources de grande valeur pourrait révéler les points de blocage. De plus, les responsables d’autres départements seront probablement intransigeants sur l’accès sans restriction des personnes sous leur responsabilité à certains dossiers et fichiers nécessaires à la réalisation de leurs tâches. Dans ce contexte, les outils de reporting, basés sur des preuves, peuvent être utilisés pour montrer comment les collaborateurs ont accès aux données, quand ils y ont accédé pour la dernière fois et ce qu’ils ont fait avec. Sans cette analyse approfondie, il peut être difficile de justifier la suppression de certains droits d’accès.

 

-    Maîtriser les risques en continu : trop d’organisations considèrent la réduction des risques comme une préoccupation ponctuelle. En réalité, cela devrait être un processus contenu qui s’exécute autant que possible de manière programmée et automatique. Même une légère modification apportée à un fichier ou aux droits d’accès d’un utilisateur peut en effet avoir un impact considérable sur la vulnérabilité des données. Ces changements se produisent en permanence et il est important de les maîtriser pour minimiser les risques qui s’y rapportent.

 

-  Améliorer la communication : les entreprises doivent mieux communiquer sur ce qui représente un risque. Si l’un des membres de l’IT est en charge d’expliquer les différentes cybermenaces existantes et les bases de sécurité, il faut s’assurer qu’il utilise le bon vocabulaire, à la portée de tous et qui ne soit pas trop technique.

 

Alors que la question n’est plus de savoir "si" mais "quand" un incident de sécurité aura lieu dans une entreprise, les dirigeants ont besoin de comprendre comment étendre les bonnes pratiques à l’ensemble de l’organisation et des collaborateurs, au-delà du service IT. La responsabilité liée à la cybersécurité n’incombe en effet plus seulement à ce département, et il est urgent que les mentalités changent. Chaque membre d’une organisation doit être sensibilisé, se sentir concerné et engagé, quel que soit son rôle, y compris les plus hauts responsables.