Recommandations de cybersécurité aux sites de type entreprise
- note préalable
- un site de promo tel que le notre doit se comparer à une entreprise sensible en raison de la qualité de ses membres et du type possible de certains de ses échanges. Cette question engage donc une problèmatique de sécurité du site qui doit être de plus consciente de la simplicité d'accès et de la diversité des écrans utilisé (PC, PC et téléphones portables, tablettes) pour ménager un rendu agréable et utile.
INTRODUCTION[modifier]
Les entreprises en Europe connaissent sans doute la plus profonde transformation de cette génération, avec le transfert de leurs ressources et relations vers le numérique. Des initiatives telles que la transformation digitale et l’industrie 4.0 (un réseau intelligent de fabricants, fournisseurs et clients qui prend forme dans le monde et gagne du terrain en Europe) entraînent une meilleure connectivité entre les entreprises, les clients et les partenaires.
Malheureusement, le monde digital qui voit le jour expose les entreprises à de nouveaux risques de sécurité.
D’ici 2020, l’Union européenne devrait compter des dizaines de milliards de terminaux numériques, selon un rapport de la Commission européenne et pourtant, « malgré cette menace croissante, la perception et la connaissance des enjeux en matière de cybersécurité restent insuffisantes : 51 % des Européens se sentent peu informés au sujet des cyber-menaces ; 69 % des entreprises n’ont qu’une compréhension de base, voire aucune, de leur exposition aux cyber-risques. » De plus, « les attaques informatiques au moyen de rançongiciels ont triplé entre 2015 et 2017 [et] les effets de la cyber-criminalité sur l’économie ont été multipliés par cinq depuis 2013 »[1].
Ce rapport, fondé sur une étude Forbes Insights réalisée sur 451 entreprises en Europe, dont 50 en France, fait un point sur l’état de la cybersécurité dans ces régions et montre les différences de perception entre les chefs d’entreprise et les spécialistes de la sécurité sur ces problèmes.
Nous avons principalement comparé les conclusions obtenues en France et en Europe, mais avons également indiqué les différences importantes.
Nous fournissons également des recommandations aux entreprises françaises pour leur permettre de mieux se protéger.
Sommaire
- 1 INTRODUCTION
- 2 PRINCIPALES CONCLUSIONS
- 2.1 La cybersécurité est une affaire de dirigeants
- 2.2 Menaces visant les collaborateurs
- 2.3 La confiance dans la cybersécurité est faible
- 2.4 Manque de collaboration sur la cybersécurité
- 2.5 Moins de la moitié des entreprises augmentent leurs investissements pour contrer les menaces
- 2.6 Accent sur les produits, mais produits trop nombreux
- 2.7 Le Cloud, ou les limites de la cybersécurité
- 3 RECOMMANDATIONS CYBERSECURITE
- 3.1 Développer une stratégie de sécurité proactive qui vise à réduire la surface d’attaque de l’entreprise au lieu de tenter de verrouiller plusieurs points.
- 3.2 Insister sur la simplification et la consolidation des ressources de sécurité de l’entreprise.
- 3.3 Veiller à davantage sensibiliser tous les membres de l’entreprise à la sécurité.
- 3.4 Encourager et inciter à une plus grande collaboration avec les équipes chargées de la sécurité.
- 3.5 Collaborer avec les fournisseurs de Cloud sur la sécurité et maintenir une diligence raisonnable.
PRINCIPALES CONCLUSIONS[modifier]
En France et dans le reste de l’Europe, les dirigeants sont à peu près en adéquation avec les spécialistes de la sécurité à propos de la nature et de la portée des menaces de cybersécurité.
Cependant, les idéaux exprimés par ceux qui dirigent (les cadres dirigeants) et ceux sur le terrain (les spécialistes) divergent.
Cette divergence concerne les mesures à prendre et les efforts fournis par les entreprises pour réduire ou minimiser leurs surfaces d’attaque.
L’étude a relevé les tendances suivantes parmi les entreprises situées dans ces régions
La cybersécurité est une affaire de dirigeants[modifier]
En ce qui concerne l’état actuel de la cybersécurité dans les entreprises françaises, il est largement reconnu que les entreprises ne font pas assez d’efforts pour protéger leurs données, que ce soit en termes de moyens financiers, de politiques ou de volonté politique. Plus de huit participants sur dix, soit 86 % ont déclaré ne pas disposer des ressources nécessaires pour remédier aux problèmes de cybersécurité. Ils sont aussi nombreux à admettre ne pas disposer de stratégies de sécurité cohérentes et 72 % jugent nécessaire d’avoir des directives politiques fermes. Il est très significatif de constater que la problématique la plus importante indiquée en France est liée à une insuffisance de formation et de sensibilisation aux problèmes de cybersécurité (88 %), ce qui correspond à une transformation de la sécurité et non plus à une roue de secours constituée de nouveaux produits. Les répondants français semblent faire état d’un environnement de cybersécurité considérablement plus problématique que dans le reste de l’Europe .
Les dirigeants européens s’accordent aussi avec les spécialistes en informatique sur le fait qu’il faut rapidement mettre en place des politiques et des pratiques sécuritaires plus cohésives. Plus de 80 % des dirigeants d’entreprise et 75 % des spécialistes pensent manquer de talents au sein de leur entreprise pour pouvoir répondre à des attaques toujours plus sophistiquées et plus des deux tiers des cadres dirigeants s’accordent sur le fait qu’il y a un réel manque de soutien des dirigeants quant à la sécurité. Environ trois quarts des participants pensent que les solutions dont sont équipées leurs entreprises sont dépassées. Globalement, deux participants sur cinq ne sont pas satisfaits de la manière dont leurs entreprises répondent aux problèmes.
Menaces visant les collaborateurs[modifier]
Les entreprises françaises doivent mieux sensibiliser leurs collaborateurs face aux menaces les plus envahissantes. Selon 44 % des participants, le problème de sécurité le plus courant en France sur ces trois dernières années est l’hameçonnage de mots de passe. 22 % des participants citent aussi les problèmes d’identité et d’accès, suivis des menaces persistantes avancées (18 %). Les problèmes d’identité et d’accès sont plus susceptibles d’être résolus par une mise à jour de la technologie, mais les problèmes liés à l’ingénierie sociale (notamment le hameçonnage) peuvent seulement être résolus efficacement en adjoignant la sensibilisation des collaborateurs aux mesures techniques.
Il n’y a pas qu’en France que les entreprises doivent adopter des principes de sécurité. En effet, dans toute l’Europe, les dirigeants et les spécialistes ont au moins une idée des menaces qui pèsent sur leurs entreprises même si, dans l’ensemble et comme on peut s’y attendre, les spécialistes ont généralement une évaluation plus pessimiste des menaces, notamment du fait que certains acteurs malveillants profitent de la vulnérabilité des utilisateurs.
La confiance dans la cybersécurité est faible[modifier]
Comme indiqué ci-dessus, de nombreuses menaces contre la cybersécurité sont liées au manque de préparation des collaborateurs et des utilisateurs. La moitié des dirigeants d’entreprises françaises déclarent que de nombreux problèmes liés à la cybersécurité peuvent être évités par un renforcement des mesures de protection contre les erreurs humaines et opérationnelles. Un nombre légèrement inférieur de 42 % préconise la mise en œuvre de solutions technologiques pour résoudre le problème, un résultat plutôt préoccupant quand on sait que la simple mise en œuvre de solutions de sécurité ponctuelles est une stratégie qui ne fonctionne tout simplement pas.
La confiance des français envers les mesures de sécurité d’entreprise actuelles, quel que soit leur emplacement et leur mode de mise en œuvre, est bien plus élevée que dans le reste de l’Europe.
Environ 42 % des entreprises françaises font totalement confiance à la sécurité de leur présence dans le Cloud, soit le double de la moyenne européenne, avec des niveaux de confiance envers leurs processus de sécurité et leur infrastructure existante pratiquement aussi élevés (32 %). La confiance redescend à peu près aux niveaux européens pour l’état de la sécurité des terminaux et des personnes. De plus, seuls 22 % des participants sont très satisfaits du temps de réponse de leur entreprise aux problèmes, alors que 32 % déclarent pouvoir faire mieux. Il est intéressant de constater que le profil de sécurité de la technologie émergente de l’Internet des objets (IoT) est plus élevé que la confiance que les entreprises françaises accordent à leur propre personnel et leurs propres produits de sécurité, 24 % des répondants faisant état d’un niveau de confiance élevé vis à vis de la sécurité de leurs fonctionnalités IoT. Ici également, ces résultats sont largement supérieurs à ceux du reste de l’Europe.
L’enquête démontre clairement que les niveaux généraux de confiance dans les solutions, politiques et procédures de cybersécurité existantes sont bien plus élevés en France que dans le reste de l’Europe. Il reste à voir si ces résultats sont justifiés ou indiquent un certain niveau de complaisance. Il n’existe certainement aucune indication empirique que le contexte des menaces soit plus favorable en France ou, à l’inverse, que le niveau de préparation soit supérieur.
À l’échelle de toute l’Europe, les dirigeants ont tendance à exprimer des niveaux de confiance envers la sécurité de divers aspects de leurs opérations plus élevés que ceux des spécialistes qui en sont effectivement responsables. Environ un dirigeant européen sur quatre (23 %) déclare avoir confiance dans la sécurité du Cloud, contre 20% seulement pour les spécialistes. S’agissant de l’infrastructure, la différence est encore plus marquée. Seuls 13 % des spécialistes en sécurité européens déclarent avoir totalement confiance dans la sécurité de leur infrastructure, contre 24 % pour les dirigeants d’entreprise . Il n’importe pas de savoir qui a raison ; le seul fait qu’il existe une telle différence d’opinion sur l’état de la sécurité entre les dirigeants et les spécialistes doit déjà être considéré comme un problème.
La sécurité informatique est une activité en équipe et tous les acteurs de l’entreprise doivent faire des efforts pour collaborer selon les mêmes objectifs et la même perspective.
Manque de collaboration sur la cybersécurité[modifier]
Même si les chefs d’entreprise européens s’accordent à peu près avec leurs spécialistes en ce qui concerne la sensibilisation aux vulnérabilités de sécurité dans leurs entreprises, ils sont peut-être plus susceptibles d’exagérer l’aspect positif des progrès dans ce domaine ; ce point de vue est loin d’être aussi répandu auprès des spécialistes.
Pire encore, même si de nombreux dirigeants s’attribuent un rôle clé dans la progression de la cybersécurité, rares sont les spécialistes de terrain qui sont de cet avis.
Bien que les niveaux de collaboration concernant la sécurité soient considérablement plus élevés en France que dans le reste de l’Europe, il est tout de même nécessaire que les différents services de leurs entreprises se rapprochent plus qu’ils ne le font aujourd’hui. Généralement, la collaboration est décrite comme relativement faible. Moins d’un tiers des participants décrit les différentes équipes au sein de leurs entreprises comme « très collaboratives » lorsqu’il s’agit d’aborder la stratégie de sécurité et/ou de répondre aux préoccupations concernant la sécurité. Les équipes réseau, sécurité et infrastructure des entreprises montrent le niveau d’implication le plus élevé relativement aux questions de sécurité. Il est encourageant de constater que les équipes fonctionnelles les plus responsables de la mise en œuvre de la cybersécurité semblent collaborer dans une certaine mesure.
Le réseau est susceptible d’être le principal vecteur de distribution d’une stratégie de sécurité transformée au reste de l’entreprise. Une collaboration étroite entre toutes les équipes fonctionnelles est indispensable à la réussite de cette transformation, autant que l’est un leadership affirmé par les cadres de l’organisation. Malheureusement, les entreprises françaises indiquent que moins d’un quart des participants considère que les dirigeants sont très collaboratifs dans le domaine de la sécurité.
A l’instar de la différence entre les opinions des spécialistes et celles des dirigeants concernant l’état de la sécurité dans leurs entreprises, il existe une disparité de vue à propos de la perception du niveau de collaboration mis en place pour transformer la sécurité. Alors que près d’un tiers des cadres dirigeants en Europe affirment que leurs équipes sécurité collaborent activement, moins d’un spécialiste sur quatre est d’accord. La différence de perception du degré de collaboration est encore plus grande : 25 % des dirigeants affirment collaborer activement pour remédier aux problèmes liés à la cybersécurité contre 14 % des spécialistes .
Moins de la moitié des entreprises augmentent leurs investissements pour contrer les menaces[modifier]
Environ une entreprise européenne sur cinq augmentera ses investissements dans des domaines clés pour la cybersécurité. En France, la sécurité contre les menaces obtiendra les niveaux d’investissement les plus élevés, avec 44 % des dirigeants qui prévoient d’augmenter ce poste. La sécurité du Cloud et des terminaux, ainsi que des investissements en sécurité axée sur l’IA et l’autoapprentissage, va également faire l’objet 38% d’investissements considérables au cours des trois prochaines années (respectivement 42 %, 38 % et 40 %).
Les investissements en sécurité du Cloud et en IA représentent tous deux des stratégies de transformation tournées vers l’avenir et peuvent contribuer à expliquer les niveaux élevés de confiance des français envers 36% leur infrastructure de cybersécurité.
Parmi les entreprises françaises, les progrès les plus importants sont constatés dans le domaine de la formation et dans la mise en œuvre de règles et de processus de sécurité. 14 % affirment qu’ils consentiront à d’importants investissements (>10 % d’augmentation par rapport aux dépenses actuelles) en recrutant des collaborateurs dans le domaine de la cybersécurité et en mettant l’accent sur la formation des collaborateurs actuels (18 %). De plus, 20 % prévoient d’augmenter significativement leurs investissements en mettant à jour leurs solutions actuelles, et 16 % d’en acheter de nouvelles. Ceci peut être problématique si cela signifie continuer à dépenser pour résoudre les problèmes, puisque la plupart des analystes s’accordent pour déclarer que cela ne fonctionnera pas. En effet, c’est une transformation complète de la sécurité qui est requise, pas des solutions ponctuelles plus tactiques .
Accent sur les produits, mais produits trop nombreux[modifier]
La première réaction des entreprises françaises face aux problèmes de cybersécurité consiste à racheter des solutions, c’est à dire continuer à dépenser pour tenter de se sortir du problème. Ces données indiquent vraisemblablement que le marché français couvre le risque en matière de transformation de la sécurité.
Plus d’une moitié des entreprises françaises, soit 52 %, déclare avoir acquis de nouveaux outils ou de nouvelles solutions de sécurité au cours de l’année passée pour répondre à des problèmes potentiels de sécurité. 48 % ont opté pour des formations supplémentaires pour mettre à jour les compétences de leurs équipes de sécurité. 34 % ont mis en place des politiques et procédures nouvelles ou supplémentaires. Ces chiffres sont cohérents avec ceux de la transformation du modèle de sécurité.
Les dirigeants et les spécialistes s’accordent sur le fait qu’il faut sensibiliser les collaborateurs sur les mesures prises pour régler les problèmes de sécurité . Environ un tiers des dirigeants européens (32 %) affirment avoir 26 produits de sécurité, voire plus, installés dans leurs entreprises.
Le Cloud, ou les limites de la cybersécurité[modifier]
Le Cloud modifie la manière dont les entreprises françaises envisagent la cybersécurité. Une majorité d’entre-elles, soit 80 %, déclarent avoir, dans une certaine mesure, changé leur stratégie de sécurité au moment du transfert de leurs applications et systèmes vers le Cloud. Plus de la moitié de celles-ci, soit 46 %, admettent qu’une partie importante de leurs efforts en matière de sécurité a en fait été intégrée au Cloud . Il faut également noter que ce résultat est conforme aux réponses en provenance du reste de l’Europe.
Alors que la plupart des entreprises françaises semble commencer à faire confiance au Cloud pour gérer les problèmes de cybersécurité, des inquiétudes persistent quant à la cession des fonctions vitales à un tiers. Plus des deux cinquièmes des dirigeants et spécialistes français s’inquiètent du passage au Cloud, car ils estiment qu’ils n’auront plus le contrôle total de leur infrastructure. 34 % d’entre eux sont également préoccupés par l’absence de modèle opérationnel cohérent pour les politiques couvrant le passage du modèle on premise au Cloud, et un nombre identique de participants s’inquiète du manque de visibilité sur ce qui se passe dans le Cloud (36 %). On observe ici la perception d’un manque de contrôle sur les charges de travail dans le Cloud public.
RECOMMANDATIONS CYBERSECURITE[modifier]
en65.fr est une "entreprise" du point de vue du réseau et de ses dangers. Ce papier de VMware résume des recommandations générales prioritaires.
Développer une stratégie de sécurité proactive qui vise à réduire la surface d’attaque de l’entreprise au lieu de tenter de verrouiller plusieurs points.[modifier]
- L’idée est de réduire les possibilités d’infiltration du réseau par des hackers ou des robots. Néanmoins, en développant leur utilisation des réseaux, notamment avec l’IoT, de nombreuses entreprises augmentent ainsi leur surface d’attaque. Cette décision nécessite une approche holistique de la sécurité, englobant l’ensemble des applications de l’entreprise.
Insister sur la simplification et la consolidation des ressources de sécurité de l’entreprise.[modifier]
- Cette enquête révèle que les organisations font appel à une myriade de fournisseurs qui interviennent dans un grand nombre de domaines. Cela se traduit par une vision fragmentée et incohérente de la sécurité. L’intégration des mesures de sécurité dans une stratégie unifiée aura non seulement pour effet de réduire les doubles emplois, mais garantira également une protection adéquate des actifs de l’entreprise.
Veiller à davantage sensibiliser tous les membres de l’entreprise à la sécurité.[modifier]
- Les principales menaces découlent du manque de sensibilisation ou de formation des collaborateurs ou des utilisateurs finaux afin de lutter contre les menaces permanentes qui pèsent sur la cybersécurité. Investir dans la formation peut s’avérer un moyen économique d’empêcher la corruption des systèmes de l’entreprise par des codes malveillants. Tout comme la police compte sur l’implication et la vigilance des citoyens pour prévenir et combattre la criminalité dans leurs communautés, les entreprises ont besoin de l’entière participation de leurs collaborateurs.
Encourager et inciter à une plus grande collaboration avec les équipes chargées de la sécurité.[modifier]
- À l’heure actuelle, seul un dirigeant ou spécialiste sur quatre constate un niveau élevé de collaboration.
- L’entreprise doit déployer tous les efforts possibles, car les données, les systèmes et les applications concernent l’ensemble de ses secteurs.
Collaborer avec les fournisseurs de Cloud sur la sécurité et maintenir une diligence raisonnable.[modifier]
- De nombreuses entreprises confient leur sécurité aux fournisseurs de Cloud. Cependant, la sécurité ne peut, ni ne doit être externalisée. Plutôt que de se fier aux promesses de sécurité des fournisseurs de Cloud, les responsables de l’entreprise doivent collaborer étroitement avec ses fournisseurs, afin de comprendre comment la sécurité est gérée et par qui elle est déployée.
- Les entreprises en France ne sont pas les seules à être exposées aux menaces de cybersécurité : le monde entier est confronté à des attaques d’États-nations, de hackers, de collaborateurs mécontents et d’autres acteurs malveillants. Une stratégie hybride intégrant les dernières technologies, techniques et formations est nécessaire pour atténuer ces menaces et préserver la voie de la transformation digitale.
- _____
- ↑ « Réforme de la cybersécurité en Europe », Conseil européen – Conseil de l’Union européenne, octobre 2018.https://www.consilium.europa.eu/en/policies/cyber-security/