En cas de cyberattaque, une entreprise bien préparée réagit immédiatement, en mettant son équipe TI sur le dossier ou en faisant appel à des experts comme un accompagnateur spécialisé en cyberatteintes. Bien qu’il soit essentiel d’avoir un plan d’intervention pour atténuer les risques comme les pertes d’exploitation, les amendes réglementaires ou les frais juridiques, l’envers de la « pièce » de la cybersécurité est tout aussi important : il s’agit de la prévention.
Les changements relatifs à nos vies professionnelles et à notre utilisation des technologies ont entraîné l’émergence de nouveaux cyberrisques. Par exemple, une récente étude a révélé que 82 % des gestionnaires de TI estiment que les risques d’attaques d’hameçonnage auxquels est exposée leur entreprise sont plus importants lorsque les employés sont en télétravail. 1 De plus, comme de nombreux employés utilisent leurs appareils personnels dans le cadre de leur travail, les professionnels en TI s’inquiètent des risques de sécurité comme le téléchargement d’applications non sécuritaires, les infections par des logiciels malveillants et les mises à jour de logiciels.2
Dans ce paysage changeant, il est essentiel que les entreprises de toute envergure adoptent une approche proactive en matière de cyberprotection. En se dotant des bonnes mesures de sécurité, on peut contribuer à prévenir toute une gamme de cyberpertes – des atteintes aux données aux pertes financières découlant de manœuvres d’ingénierie sociale, de rançongiciels et d’autres attaques, en passant par le vol de propriété intellectuelle.
Voici un survol de certaines mesures clés qui peuvent contribuer à la protection de votre entreprise contre les cyberpertes :
Simulations et programmes de formation des employés :L’erreur humaine – c’est-à-dire une action ou une omission involontaire ouvrant la porte à un cyberincident – est derrière pratiquement toutes les atteintes aux données et à la sécurité qui réussissent.3 C’est pourquoi la formation et l’éducation des employés sont si importantes : elles peuvent vous aider à éviter les cyberincidents et à renforcer la culture de cybersécurité à l’échelle de votre entreprise. 4
Le Centre canadien pour la cybersécurité recommande aux organisations d’envisager des sujets de formation et d’éducation comme les suivants : la création de phrases de chiffrement uniques et de mots de passe complexes pour tous les comptes, l’utilisation sécuritaire d’Internet et des réseaux sociaux en milieu de travail; l’utilisation de logiciels et d’applications mobiles sécuritaires et le repérage des courriels malveillants. 5
Vous pouvez ensuite mettre ces formations à l’épreuve en simulant des attaques, ce qui vous permettra de voir comment vos employés réagiraient à différents types d’attaques dans des situations réelles. Par exemple, on peut faire un test d’hameçonnage en envoyant un faux courriel malveillant ou un faux site Web aux employés pour voir s’ils vont ouvrir les pièces jointes ou cliquer sur les liens ou s’ils auront plutôt le réflexe de signaler le courriel douteux.6
Analyses de vulnérabilité et tests d’intrusion :Du côté des TI, il est possible de mettre les mécanismes de défense de votre organisation à l’épreuve en procédant à des analyses de vulnérabilité et à des tests d’intrusion. Les scanneurs de vulnérabilité sont des outils automatisés qui permettent aux organisations de vérifier si leurs réseaux, systèmes et applications présentent des faiblesses en matière de sécurité qui pourraient les exposer à des attaques. 7
Parmi les vulnérabilités couramment repérées, signalons, entre autres, les mécanismes de copies de sauvegarde et de récupération inadéquats, une faible gestion de l’authentification et une surveillance insuffisante du réseau. 8
Les tests d’intrusion, ou de pénétration, que l’on désigne aussi sous le nom de piratage éthique, vont au-delà de la simple analyse de vulnérabilité. À l’aide d’une combinaison d’outils automatisés et de techniques manuelles, un test d’intrusion repère les vulnérabilités, pour ensuite tenter de les exploiter. 9
Pour illustrer la différence entre les analyses de vulnérabilité et les tests d’intrusion, une entreprise de cybersécurité se sert de l’analogie suivante : une analyse de vulnérabilité, c’est comme se rendre devant une porte, vérifier si elle est déverrouillée et s’arrêter là. Le test d’intrusion ne fait pas que vérifier si la porte est déverrouillée. Il l’ouvre et il entre.10
Consultants en cybersécurité : Les accompagnateurs en cyberatteintes aident les organisations à gérer les conséquences d’une cyberattaque, alors que les consultants en cybersécurité seront souvent embauchés pour ériger les bons mécanismes de défense. Ces experts proposent toute une gamme de services, notamment la vérification de systèmes de TI, la surveillance de systèmes, la construction de pare-feu et le soutien aux organisations en ce qui a trait avec le respect de la réglementation gouvernementale.
Cyber security consultants are typically involved with every employee contact point for company data, including devices, applications, data storage and internal networks. Knowing how staff interact digitally allows these experts to identify potential weaknesses and plan for how to protect against them.11
Au fil de l’évolution des risques, une approche proactive en matière de cyberprotection est essentielle. Au moment de planifier notre stratégie de défense, il est important d’envisager une couverture d’assurance expressément conçue pour gérer les risques uniques et émergents auxquels votre entreprise fait face.
Sources
1,2 Tessian, “How hybrid-remote working with affect cybersecurity,” septembre 2020
3 Hacker News, “Why human error is #1 cyber security threat to businesses in 2021,” 4 février 2021
4,5 Centre canadien pour la cybersécurité, Fournir de la formation pour sensibiliser les employés,” 16 février 2021
6 Dashlane, How to run an effective phishing test at work, 7 mars 2020
7, 9 Rhino Security Labs, “Do I need a vulnerability scan or penetration test?”
8 Logsign, “What are the types of cyber security vulnerabilities?”
10 Control Scan, “Penetration tests vs. vulnerability scans: What’s the difference?”
11 EC-MSP, “What can a cyber security company do for your business?”
