skip to Main Content
Cybersécurité

La question n’est plus de savoir si l’on va être agressé, mais quand! Aujourd’hui, les cyberattaques sont courantes. Il n’a donc jamais été aussi important de prendre des mesures de protection. La numérisation globale apporte de nombreux avantages. Toutefois, elle accuse également des faiblesses qui offrent une prise parfaite à la cybercriminalité. La sécurité des données devrait être la priorité absolue pour la protection de l’entreprise, de ses collaborateurs et de ses clients.

Cybersécurité – un incontournable pour toutes les entreprises

Pour traiter ce thème en profondeur, il faut d’abord répondre à la question suivante : au fait, qu’est-ce que la cybersécurité? Ce terme est né de l’«Information security» et se rapporte concrètement à la protection d’informations informatiques – donc des données. De nos jours, où tous les objets et personnes sont interconnectés, les mesures de sécurité revêtent une importance capitale.

Sous quelle forme la cybercriminalité se présente-t-elle?

Un danger vient, par exemple, du darknet (aussi appelé Deep Web). Dans ce réseau Peer-to-Peer-Overlay, les ordinateurs sont connectés manuellement et directement entre eux. Les participants ne peuvent rejoindre le réseau que sur invitation ou acceptation. L’exclusivité qu’offre un tel réseau en fait un lieu de rencontre idéal pour les cybercriminels, qui agissent à partir de ce réseau.

Les dangers peuvent se glisser sous bien des formes. E-mails frauduleux, collecte de données en libre accès, piratage classique, espionnage d’ordinateur ou appels téléphoniques malhonnêtes : la cybercriminalité a de nombreux visages.

Presque chaque activité, communication ou interaction dans le cyberespace devrait être considé-rée d’un œil critique. Nous présentons brièvement ci-dessous les plus grands dangers :

  • Les virus sont des programmes informatiques qui se propagent d’eux-mêmes et présen-tent un risque énorme. Ils peuvent avoir une influence sur le matériel, le système d’exploitation ou d’autres logiciels.
  • Les e-mails spam sont des e-mails indésirables et sont souvent utilisés à des fins crimi-nelles comme, par exemple, la propagation de virus. Ils représentent également un risque important.
  • Les e-mails de phishing (ou hameçonnage) sont envoyés par des expéditeurs sous une fausse identité dans le but d’accéder à des données confidentielles. Ils comptent parmi les e-mails dangereux qu’il faut immédiatement supprimer.
  • Les chevaux de Troie font partie des maliciels et causent souvent des dommages en ar-rière-plan à l’insu de l’utilisateur ou collectent secrètement des données.
  • Les DDOS (Distributed Denial of Service attacks) misent sur la quantité. Ce processus consiste à envoyer de nombreuses attaques à un service IT, par exemple sous forme de nombreuses demandes simultanées destinées à bloquer un service ou un site web.
  • Le Social Engineering est une combine téléphonique qui utilise les données personnelles comme un numéro de téléphone pour accéder à des données confidentielles et les utiliser à des fins d’enrichissement personnel. Si l’on vous propose lors d’un appel téléphonique un service informatique exigeant vos données d’accès, il peut s’agir de ce type d’appels frauduleux.
  • Le hacking (ou piratage) est l’accès non autorisé à un ordinateur ou un réseau entier dans le but de s’approprier des informations ou des données. Les données peuvent ensuite être utilisées à des fins de chantage, par exemple.
    Comme on l’a vu récemment : le maliciel «WannaCry» a permis de verrouiller les données d’ordinateurs aussi bien privés que publics dans le monde entier et d’exiger une rançon. En Suisse aussi, environ 200 infections ont été enregistrées, dont certaines ont causé d’importants dommages.[1] Une cybersécurité complète et régulièrement mise à jour permet de prévenir ce type d’attaques. Cet exemple illustre seulement l’un des nombreux types de criminalité sur internet. Le vol de données personnelles ou d’entreprises pour extorsion ou vente ainsi que le vol d’identité représentent d’autres exemples de la cybercriminalité.
La cybercriminalité en Suisse

La cyberfraude était la forme de cybercriminalité la plus répandue en Suisse en 2016. Hameçonnage, programmes malveillants (anglais : malware), pornographie interdite et botnet comptent parmi les formes de criminalité sur Internet les plus dénoncées en Suisse.[2]

La plupart des cybercriminels n’ont qu’un seul but : s’enrichir. Il existe cependant aussi des at-taques plus graves mettant en danger notre vie en société ou même notre survie comme, par exemple, les attaques d’hôpitaux, d’institutions gouvernementales ou militaires.

En règle générale, on constate que les cybercriminels sont très actifs. Ils ne cessent de se développer et d’essayer de contourner les programmes de sécurité. C’est pourquoi votre cybersécurité doit constamment être actualisée et mise à jour.

Quels points faibles peuvent se présenter et comment peut-on y remédier?
Les points faibles les plus fréquents sont :

  • des collaborateurs insuffisamment formés. Des formations ciblées peuvent remédier à ce point faible.
  • ce qu’on appelle les «automation errors», comme par exemple les configurations défectueuses ou des vérifications insuffisantes des systèmes conduisant à de potentielles failles de sécurité. Ces failles peuvent être comblées par des méthodes de test professionnelles.
  • des technologies qui ne prennent pas en charge les exigences de sécurité. Avant la conception et l’implémentation, il s’agit de se concentrer sur CE QUI DOIT ÊTRE PROTÉGÉ précisément, DANS QUELLE MESURE et AVEC QUELLES TECHNOLOGIES. Chaque entreprise doit trouver une réponse personnalisée à ces questions. Il n’existe pas de solutions universelles. Par ailleurs, chacun doit garder à l’esprit que la cybersécurité y est soumise à une certaine évolution. Elle doit constamment s’adapter à l’évolution des technologies pour pouvoir fonctionner correctement. Conserver longtemps la configuration initiale peut ainsi vite devenir problématique.
  • manque de connaissance du cadre juridique. Ce défaut peut toutefois être facilement comblé par des recherches régulières.
  • a pensée selon laquelle «Nous sommes trop petits et insignifiants pour devenir victimes des cybercriminels». Cet état d’esprit est très répandu, notamment dans les PME.[3] Il est facile d’y remédier en appliquant la devise «Mieux vaut prévenir que guérir». Appliquer cette ligne directrice et le principe du double contrôle permet également de prévenir les tentatives de fraudes classiques.

Force est de constater que les cyberattaques ne cessent d’augmenter. Selon une étude de KPMG, 88 % des personnes interrogées ont affirmé avoir été victimes d’une cyberattaque au cours de la dernière année.[4] Cela correspond à une augmentation de 34 % par rapport à l’année précédente. Une tendance effrayante qui force à agir et à s’équiper en termes de cybersécurité.

Quels défis en termes de cybersécurité pouvons-nous attendre de la numérisation crois-sante?

Grâce à la mondialisation et aux différentes possibilités que nous offre internet, la numérisation se répand à une vitesse effrénée. Ainsi, tous les objets et toutes les personnes peuvent en quelque sorte être interconnectés, créant ainsi un IdO (internet des objets). La transformation numérique entraîne également un profond changement de structure dans les entreprises. Lieux de travail, méthodes, compétences des collaborateurs et technologies doivent s’adapter au monde numérique. De ce fait, celui qui n’a pas installé une cybersécurité complète devient une proie facile.

Les entreprises doivent se poser les questions suivantes :

  • Le choix de la technologie est-il pertinent?
  • Cette technologie est-elle exploitée et gérée correctement?
  • Cette technologie est-elle assez sûre pour le client final?
  • Les collaborateurs savent-ils utiliser la technologie de manière adéquate?
Les technologies accompagnant la numérisation sont, par exemple :

Il permet l’exploitation de la puissance de calcul ou de stockage de serveurs informatiques distants par l’intermédiaire d’un réseau.

Dans le contexte de la numérisation, le big data se présente également comme un défi. La transformation numérique engendre des quantités de données complexes très importantes, souvent insuffisamment structurées et très volatiles, qui ne peuvent plus être traitées manuellement. Le terme «big data» s’emploie aussi bien pour ces grandes quantités de données que pour les technologies capables de les traiter. La tâche principale consiste alors à bien protéger et bien gérer ces données malgré leur volume énorme.

Habitudes de travail mobiles (BYOD)

Un autre aspect important est le besoin grandissant de mobilité, qui doit impérativement être pris en compte dans le cadre de la cybersecurité. Aujourd’hui, on travaille avec les terminaux mobiles les plus variés, qui nécessitent également – ou ont déjà – un accès aux systèmes de l’infrastructure IT. La prise de mesures de sécurité régulant l’accès aux systèmes et le rendant transparent s’impose d’elle-même.

La Suisse et son approche des cyberrisques

Avec la progression de la numérisation, la Suisse aussi se retrouve face à de nouveaux défis. L’utilisation de technologies à des fins criminelles ne peut pas être ignorée : elle doit au contraire être combattue activement sur le plan politique par une stratégie adéquate.

Le Conseil fédéral, l’ayant également reconnu, a adopté en 2012 une Stratégie nationale pour la protection de la Suisse contre les cyberrisques (SNPC) pour les années 2012 à 2017.[5]

Avec cette stratégie, les dangers doivent être reconnus à temps et les cyber-risques, tels que l’espionnage, le sabotage et d’autres activités criminelles, réduits. Une fois que cette stratégie arrive à échéance, une deuxième suit immédiatement, celle-ci se basant sur l’appréciation du travail effectué jusqu’à présent. Grâce à la collaboration entre l’économie et les autorités publiques, mais également en agissant de manière responsable, les infrastructures critiques doivent être réduites. Les entreprises ont toutes autant le devoir de minimiser les cyber-risques, d’éviter la propagation de malware et de reconnaître des dangers potentiels de manière pro-active.

Comment puis-je me protéger et protéger mon entreprise?
  • Par une attitude générale sceptique vis-à-vis de l’origine d’un message et de ses canaux de communications sur internet. Il s’agit là d’un premier pas vers la prévention. Souvent, c’est par curiosité ou par inattention qu’on ouvre des e-mails dangereux ou qu’on divulgue sans réfléchir des données à une adresse douteuse.
  • En mettant en évidence les risques potentiels. L’information et la formation des collaborateurs favorisent la vigilance et permettent de réduire fortement les erreurs d’application.[6]
  • Avec une plateforme de sécurité consolidée. Aujourd’hui, de nombreuses infrastructures de sécurité sont très complexes, ce qui engendre dans les entreprises une incertitude concernant les risques de sécurité.[7] Les aspects technologiques doivent être vérifiés et actualisés en permanence. La mise à jour régulière des logiciels devrait être une évidence. Une in-frastructure de sécurité IT adaptée, à vérifier en continu et à actualiser si nécessaire, représente la base pour les entreprises.
  • Avec un système adéquat de gestion des identités et des accès. Il est important de protéger l’accès à des locaux et à des terminaux spécifiques par une authentification, par exemple un mot de passe, un certificat ou des empreintes digitales. La gestion de différents systèmes d’accès incombe à un système conforme de gestion des identités et des accès.
Les entreprises devraient se poser les questions suivantes à ce sujet :
  • Quelles sont les directives de sécurité IT et existe-t-il un risk management?
  • La direction et les collaborateurs sont-ils conscients du niveau de menace actuel?
  • Quelles données doivent être protégées?
  • Quelles sont les applications les plus critiques (ERP, messagerie, CAO, FAO, etc.) qui re-quièrent une protection?
  • Comment se présente la segmentation de réseau?
  • Une solution de sécurité sur le cloud ou un partenaire Managed Security Service seraient-ils utiles à l’entreprise?

Il est alors recommandé de choisir des technologies susceptibles de détecter les risques à temps et d’empêcher les pirates et les maliciels, par exemple, ne serait-ce que d’approcher les systèmes. Les environnements mobiles, cloud ou réseau devraient être sécurisés et gérés de façon harmonisée. L’innovation ne se fait pas derrière des portes closes : seuls ceux qui utilisent le bon concept de sécurité pour leur infrastructure IT et la technologie correspondante, pourront saisir les opportunités futures de croissance avec des idées et inventions innovantes. Cette technologie existe déjà : chez BNC, nous vous en informerons avec plaisir et contribuerons à vous offrir une infrastructure de sécurité IT optimale.

Références

1 Source : Tagesanzeiger mai 2017
2 Source: Statistik-Portal statista.com
3 Source : www.organisator.ch (galledia verlag ag)
4 Source : KPMG report «Clarity on Cyber Security May 2017
5 Source: Département fédéral des affaires étrangères (DFAE), cyber sécurité www.eda.admin.ch
6 Source: Département fédéral des affaires étrangères (DFAE), cyber sécurité www.eda.admin.ch
7 Source: Département fédéral des affaires étrangères (DFAE), cyber sécurité www.eda.admin.ch

Related Content
Out of the Box Service : Concept de zones de réseau
Out of the Box Service : Concept de zones de réseau
Out of the Box Service : Concept de zones de réseau

Le concept de zones de réseau de BNC vous offre une optimisation du réseau, simplification et sécurité accrue de l‘ensemble de l‘infrastructure du réseau.

En savoir plus
Out of the Box Service : analyse de vulnérabilité
Out of the Box Service : analyse de vulnérabilité
Out of the Box Service : analyse de vulnérabilité

L’analyse de vulnérabilité de BNC vous offre un pack de prestations qui révèle les vulnérabilités existantes ou potentielles, comme des programmes obsolètes, au sein de votre réseau.

En savoir plus
Out of the Box Service : Security check-up
Out of the Box Service : Security check-up
Out of the Box Service : Security check-up

Le security check-up BNC de Check Point analyse en détails les activités, les points faibles et les mouvements de données de votre infrastructure IT.

En savoir plus
Partenaires technologiques
Check Point

Check Point
4 Stars Partner

Back To Top
×Close search
Rechercher