La numérisation des activités des entreprises a entraîné une hausse des cyberattaques. Quant au travail à distance lié à la Covid-19, il a ouvert la porte à de nouvelles menaces. Le retour au bureau qui s’amorce est le bon moment de faire le point sur ces questions de sécurité informatique, et des compétences en cybersécurité qu’elles requièrent.
Responsable de l’activité cybersécurité chez Magellan Consulting, Arnaud Deschavanne a été bien occupé pendant la crise sanitaire : « Au moment du confinement, beaucoup d’entreprises qui n’avaient pas la culture du télétravail, donc pas de solution adaptée, ont ouvert des accès à des systèmes d’information déjà pas forcément très sécurisés », analyse-t-il. Une information qui n’a pas échappé à certains…
Quelle que soit la situation, ce spécialiste observe que la cybercriminalité s’est généralisée jusqu’à frapper, partout, les grandes, mais aussi les petites entreprises. « C’est comme un cambrioleur qui va crocheter toutes les serrures d’une rue au hasard. À un moment, il y en a toujours une, moins protégée, qui cède », illustre-t-il.
Surveiller les activités et privilèges informatiques
Le constat est posé pour les responsables informatiques. Mais nul besoin de paniquer. Arnaud Deschavanne commence par avancer « 42 mesures simples de prévention (mises à jour, sauvegardes, etc.) » très bien expliquées dans un guide gratuit* de l’Agence nationale de la sécurité des systèmes d’information (Anssi), que tout responsable informatique peut consulter. Pour approfondir ses connaissances et se former en continu, il recommande aussi l’excellent Mooc** de l’Anssi, lui aussi gratuit et régulièrement mis à jour.
Néanmoins, la première compétence à développer tient dans la veille régulière des activités informatiques de l’entreprise et des différents privilèges d’accès accordés. « C’est impossible de sécuriser un système informatique si on ne connaît pas son périmètre. Il faut d’abord savoir de quoi on est responsable, et cela passe d’abord par une revue technique », explique le spécialiste en cybersécurité. Qui cite ainsi de vieilles applications que l’on n’a pas osé supprimer (mais sans les mettre à jour), ou encore, dans un monde ultra connecté, des périphériques, pare-feu ou autres systèmes de vidéosurveillance en réseau qui sont autant de portes d’entrée dans le système.
Enfin, concernant les utilisateurs, il est essentiel de vérifier régulièrement que les accès accordés sont toujours nécessaires. « Typiquement, il y a des comptes administrateurs créés pour des intervenants extérieurs qui restent ouverts, ou des salariés partis dont on tarde à supprimer le compte, et les mots de passe avec. »
Désigner un responsable informatique interne ou externe
Mais selon cet expert, dans une PME ou une TPE dont le cœur de métier n’est pas le numérique, le problème est souvent de savoir à qui incombent certaines compétences. « Il n’est pas rare qu’un responsable informatique soit le directeur administratif et financier (DAF), ou qu’il soit vu comme un simple exécutant, responsable du matériel, et sans une vraie prérogative sur la vision du risque. Dès lors, c’est souvent la direction qui doit apprendre à anticiper le risque », poursuit-il. Pour cela, elle peut commander un audit.
« En une demi-journée, on peut faire des tests d’intrusion et pointer les vulnérabilités », détaille Arnaud Deschavanne. L’exercice permet souvent à l’entreprise de chiffrer le préjudice financier possible. « Elle peut ensuite renforcer son équipe autour du responsable informatique ou, comme souvent dans les PME et TPE, se faire assister par un cabinet externe qui peut intervenir quelques heures ou une journée par mois. »
* « Guide d’hygiène informatique », Anssi, www.ssi.gouv.fr/guide/guide-dhygiene-informatique
** Mooc de l’Anssi, www.secnumacademie.gouv.fr