Business et cybersécurité : amis ou ennemis ?

La cybersécurité est souvent perçue comme une contrainte ou un frein au business.

Selon une étude menée e 2016 par l’Economic Intelligence Unit, une majorité de dirigeants estime que la cybersécurité leur prend trop de temps. En outre :

  • 46% pensent qu’elle réduit la productivité des employés
  • 45% estiment qu’elle fait obstacle au lancement de nouveaux produits
  • 32% estiment qu’elle empêche l’innovation

Mettre en place des mesures de protection, faire une analyse des risques, former les employés… Tout cela coûte de l’argent. C’est pourquoi les dirigeants voient trop souvent la cybersécurité comme un frein à leur rentabilité et à la productivité de leurs employés. Même si le coût de la « non sécurité » est, à terme, nettement plus élevé que celui de la sécurité, cela ne résout pas le problème de la rentabilité immédiate… Sauf si on utilise la cybersécurité comme un levier pour atteindre d’autres objectifs.

Voici 5 éléments clés qui pourraient réconcilier business et sécurité :

  1. La sécurité renforce la confiance: cela peut paraître banal mais effectivement, vos clients et vos partenaires vous feront davantage confiance s’ils se rendent compte que vous avez mis en place des mesures de sécurité. Surtout si ces mesures visent à protéger les données qu’ils vous confient et leur permettent de recevoir un meilleur service. La question du traitement des données personnelles devient une préoccupation majeure de la part des citoyens connectés. « Security by design » et « Privacy by design » vont devenir des obligations pour les entreprises, qui pourront les utiliser comme arguments marketing.
  1. La sécurité renforce la productivité: le temps passé à récupérer des données perdues, des mots de passe, à désinfecter un PC se compte facilement en dizaines d’heures par an et par employé. L’utilisation de quelques outils relativement simples permet de réduire très sensiblement les pertes de temps liées à certains problèmes de sécurité. Pour faire rimer sécurité et productivité, quelques principes sont à mettre en place :
  1. L’authentification centralisée (Single Sign On) et la récupération d’attributs
  2. L’authentification multifactorielle
  3. La sécurité contextuelle

Le 1er principe consiste à permettre aux utilisateurs de s’authentifier une seule fois pour accéder à tous les services dont ils ont besoin (mails, dossiers partagés, services cloud…). Cela leur évitera de devoir retenir (et d’oublier régulièrement) des dizaines de mots de passe.

Le 2ème principe consiste à renforcer la sécurité en demandant un 2ème facteur d’authentification (token ou cl) pour accéder à certains services ou bien lors d’une connexion dans un nouvel environnement.

Le 3ème principe est une extension du 2ème: il s’agit d’analyser les usages des services soumis à une authentification pour en dégager des scénarios de sécurité. Ainsi, les demandes d’authentification et autres mesures de sécurité pourront être adaptées aux situations et aux risques qu’elles contiennent. On pourra notamment utiliser les indicateurs suivants :

  • Navigateur utilisé : il s’agit de détecter si le mode d’utilisation du navigateur échappe au comportement normal des utilisateurs ;
  • Géolocalisation : détecte si une activité d’accès provient d’un emplacement anormal ;
  • Horaires : détecte les activités d’accès qui se situent en dehors des horaires d’utilisation normaux ;
  • Liste noire : identifie une liste de réseaux ou d’adresses réseau “interdits” ;
  • Historique d’authentification échouée ;
  • Liste blanche: définit une liste de réseaux ou d’adresses réseau “approuvés”.

Il existe des solutions sur le marché qui permettent de gérer un grand nombre d’applications locales et distantes et de droit d’accès différenciés avec un seul tableau de bord. Il est possible de descendre à un niveau de détail très fin, afin de coller au mieux aux besoins de chacun. Ces solutions ont évidemment un prix et pour des petites structures, un gestionnaire de mots de passe sera mieux indiqué et plus simple à mettre en place. Il permettra déjà de partager des mots de passe sans avoir à les communiquer, et de renforcer la sensibilisation du personnel à adopter des mots de passe de qualité.

  1. La sécurité de l’information n’est pas seulement un problème de techniciens, c’est d’abord une question humaine et organisationnelle. La mise en place d’un cadre de communication et de collaboration efficace entre les équipes limitera les vulnérabilités de l’entreprise, notamment face aux tentatives d’arnaques utilisant les méthodes du « social engineering » (qui consiste à soutirer des informations sensibles en utilisant des méthodes de manipulation). Ce fléau n’est pas nouveau et frappe le Luxembourg depuis plusieurs années, comme en témoignent les articles de presse et les avertissements de la Police Grand-Ducale.

Pour éviter de tomber dans le piège des manipulateurs, il faut former le personnel à reconnaître les imposteurs ou les requêtes illégitimes de personnes mal intentionnées. Certains prestataires proposent des tests de résistance (Social engineering protection assessment).

  1. La réalisation d’une analyse des risques permet bien souvent d’économiser de l’argent en faisant un inventaire des actifs à protéger et en rationalisant le matériel et les logiciels. CASES propose une méthode (MONARC) permettant de réduire fortement les coûts et la durée de l’analyse des risques.
  1. La sécurité permet d’éviter les litiges et les procès : la législation oblige les entreprises à protéger les données de leurs clients. Une nouvelle réglementation européenne (GDPR) entrera renforcera encore ces obligations et des sanctions sont prévues en cas de manquement. Mieux vaut s’y préparer… en participant par exemple au GDPR countdown event.
Share with care: