1. Cyberattaques : une réalité qu’on ne peut plus ignorer
1.1 C’est quoi une attaque cyber ?
1.2 Les conséquences des attaques informatiques

2. Quelles sont les cyberattaques et comment s’en prémunir ?
2.1 Le Phishing
2.1.1 Qu’est-ce qu’une attaque phishing ?
2.1.2 Comment se protéger contre le phishing ?
2.2 Les ransomwares
2.2.1 Qu’est-ce qu’une attaque par ransomware ?
2.2.2 Mesures de prévention contre les ransomwares
2.3 Les autres malwares
2.3.1 Quels sont les types d’attaques malwares ?
2.3.2 Solutions pour prévenir les infections par malware
2.4 Les attaques DDos
2.4.1 Qu’est-ce qu’une attaque par déni de service distribué (DDoS) ?
2.4.2 Techniques de protection contre les attaques DDoS
2.5 L’ingénierie sociale
2.5.1 Les tactiques de l'ingénierie sociale
2.5.2 Mécanismes de défense contre les attaques d'ingénierie sociale
2.6 Les attaques de l'homme du milieu (MITM)
2.6.1 Qu’est-ce qu’une attaque de l'homme du milieu ?
2.6.2 Mesures pour se protéger contre les attaques MITM
2.7 Les attaques par force brute
2.7.1 Qu’est-ce qu’une attaque par force brute ?
2.7.2 Pratiques pour renforcer la protection contre les attaques par force brute

3 - Comment éviter les cyberattaques : les bonnes pratiques de la cybersécurité
3.1 Sensibilisation et formation des employés à la cybersécurité
3.2 Gestion des mots de passe
3.3 Mises à jour et patchs de sécurité
3.4 Utilisation d'un pare-feu
3.5 Sauvegarde régulière des données
3.6 Chiffrement des données sensibles
3.7 Surveillance et détection des incidents de sécurité

4 - Établir un plan de réponse aux incidents de cybersécurité
4.1 Le PRA : se rétablir après une cyberattaque
4.2 Assurer une sauvegarde sécurisée des données
4.3 Identifier les acteurs clés internes et externes
4.4 Gestion et communication de crise
4.5 Évaluation et amélioration continue du plan de réponse

5 – Accompagnement, évaluation et veille : les clés d’une stratégie
de cybersécurité réussie

5.1 Faites vous accompagner par des experts en sécurité informatique
5.2 Évaluation régulière de la posture de cybersécurité de l'entreprise
5.3 Suivi des évolutions technologiques et des nouvelles cybermenaces



1. Cyberattaques : une réalité qu’on ne peut plus ignorer


1.1 C’est quoi une attaque cyber ?



Une cyberattaque est une action malveillante ciblant des systèmes informatiques, réseaux ou données, dans le but de voler des informations sensiblesou perturber les opérations. Les cyberattaques peuvent être menées par des individus malveillants, des groupes organisés ou même des États-nations cherchant à espionner ou saboter des opérations. Elles ciblent souvent les vulnérabilités des systèmes, des logiciels ou des utilisateurs pour réussir leur exploitation.


De plus en plus fréquemment, les pirates informatiques fonctionnent selon la règle des “2-2-2”.

Ils passent deux mois à infiltreret étudier le système d’information, deux heures pour déclencher leur attaque, paralysant une bonne partie du SI, et l'entreprise victime met deux ans pour s’en remettre.


Les motivations derrière les cyberattaques peuvent varier, allant de l'obtention de données confidentielles à des fins criminelles ou de l'extorsion de fonds en échange de la libération de données bloquées par un ransomware.


La lutte contre les cyberattaques est un défi constant en raison de l'évolution des tactiques utilisées par les cybercriminels. La mise en place d’une politique de cybersécurité est donc essentielle pour prévenir les attaques, détecter les incidents de sécurité, réagir rapidement pour y remédier et restaurer les systèmesen cas de violation de la sécurité.









cyber






Le marché mondial de la cybersécurité, qui regroupe l'ensemble des entreprises proposant des équipements, des logiciels et des services dédiés à la protection et à la sécurité des systèmes d'information contre les attaques informatiques, est estimé à plus de 200 milliards de dollars en 2022. En France, le marché de la cybersécurité est proche des 5 milliards d'euros en 2022, selon le cabinet d’études Xerfi(1).


Pour faire face à ces nouvelles menaces de plus en plus fréquentes, la collaboration entre les entreprises, les gouvernements et les experts en sécurité est donc essentielle pour faire face à cette menace croissante.



1.2 Les conséquences des attaques informatiques



Selon Alessandro Profumo, l’ancien patron du groupe italien Leonardo, spécialisé dans l’aéronautique et la défense, la cybercriminalité aurait coûté plus de 6 000 milliards de dollars au niveau mondial en 2021(2).

Un chiffre six fois plus élevé que les 1 000 milliards de dollars avancés un an plus tôt par une étude publiée par McAfee et le Centre d'études stratégiques et internationales (CSIS)(3).


Quels que soient les montants réels, ils sont astronomiques et se concrétisent, pour les entreprises touchées, par des coûts cachés qui se répartissent en quatre grandes catégories :

  • Le temps d'arrêt du système d'information,
  • L'efficacité réduite des équipes,
  • La réaction aux incidents,
  • L'atteinte à la marque et à la réputation.


2. Quelles sont les cyberattaques et comment s’en prémunir ?


2.1 Le Phishing


2.1.1 Qu’est-ce qu’une attaque phishing ?

Le phishing, ou hameçonnage en français, est une technique de cyberattaque consistant à tromper les utilisateurspar le biais de courriers électroniques, de messages instantanés, de SMS ou de faux sites web, dans le but de leur soutirer des informations confidentielles.









cyberattaque






Au sein des entreprises, les campagnes d’hameçonnage ont pour objectif de soutirer aux collaborateurs des informations d'identification (noms d'utilisateur, mots de passe…) afin d’accéder à certaines applications internes, compromettre les systèmes de l'entreprise et voler des données sensibles.


Dans certains cas, l’hameçonnage cible délibérément une collaboratrice ou un collaborateur précis (spear phishing) qui occupe un poste clé dans l’organisation. Le SMS ou l’e-mail de phishing est alors fortement personnalisé afin d'obtenir des informations stratégiques ou accéder à des systèmes critiques.


En avril 2022, des pirates ont utilisé l’image de l’Assurance Maladie et le très haut niveau de confiance que les Français lui accordent pour organiser une campagne de phishing de grande ampleur.

Le SMS frauduleux invitait les destinataires à mettre à jour leur carte Vitale soi-disant arrivée à expiration. Sur le faux site web créé pour l’occasion, les cybercriminels demandaient aux victimes de renseigner leur adresse postale (pour envoi de la nouvelle carte Vitale) ainsi que leurs coordonnées bancaires, pour payer l’affranchissement.



2.1.2 Comment se protéger contre le phishing ?

Afin de se protéger des campagnes de phishing, la formation des utilisateursfait partie des principales mesures à mettre en place. Il est notamment nécessaire de sensibiliser les collaborateurs aux points suivants :

  • Limiter la diffusion de son adresse e-mail professionnelle(ne pas la communiquer sur des espaces de discussion publics et ne pas s’en servir pour remplir des formulaires, sauf s’ils sont purement professionnels),
  • Ne pas cliquer sur un lien sans s’être préalablement assuré de son origineet ne pas ouvrir les pièces jointes d’un e-mail non sollicité ou douteux,
  • Préférer la connexion directe à un site(en tapant son URL ou via une application) plutôt que par l’intermédiaire d’un lien figurant dans un courrier électronique.

Bien entendu, le déploiement d’une solution de sécurité anti-phishing pour les e-mailss’impose également. Elle détectera les messages suspects et les mettra en quarantaine avant même qu’ils n’atteignent leurs destinataires.

Lire aussi: Comment lutter contre les attaques de phishing en entreprise ?



2.2 Les ransomwares


2.2.1 Qu’est-ce qu’une attaque par ransomware ?

Un ransomware est un programme malveillant dont la caractéristique est de chiffrer les données d'un système d’information et de demander une rançon en échange de la clé de déchiffrement.









ransomware






Les ransomwares et les campagnes de phishing sont très souvent liés, les rançongiciels se propageant fréquemment via le téléchargement d’un programme infecté suite à l’ouverture d’une pièce jointe malveillante ou au clic sur un lien corrompu dans un courrier électronique. Un support physique, comme une clé USB, peut également servir de vecteur à ce type d’attaque. Enfin, certains pirates exploitent directement des failles logicielles (systèmes d’exploitation, navigateurs, solutions du marché…) pour introduire leur malware (code malveillant) au sein du SI de l’entreprise cible.

En août 2022, l'hôpital de Corbeil-Essonnes a été victime d'une cyberattaque par rançongiciel.

Le réseau informatique du Centre hospitalier Sud Francilien a été entièrement bloqué par un code malveillant, les pirates demandant une rançon de 10 millions de dollars pour le débloquer.

Tous les logiciels métiers de l’hôpital, les systèmes de stockage (notamment d’imagerie médicale) et le système d’information ayant trait aux admissions de la patientèle ont été paralysés. En raison de la gravité de la situation, le Centre hospitalier a dû déclencher le plan blanc pour assurer la continuité des prises en charge et la sécurité des patients et du personnel.



2.2.2 Mesures de prévention contre les ransomwares

Les règles de prudence (pièces jointes et liens douteux) valables pour le phishing s’appliquent également aux ransomwares, ces derniers se propageant souvent via des e-mails frauduleux.

Pour prévenir les ransomwares, les recommandations suivantes s’appliquent :

  • Utiliser des analyseurs de viruset des filtres de contenu sur ses serveurs de messagerie permet de réduire le risque que des e-mails corrompus n'atteignent les collaborateurs,
  • Installer une solution de sécurité Internetfacilite le blocage des fichiers infectés lorsque vous téléchargez ou diffusez du contenu, offrant ainsi une protection en temps réel,
  • Effectuer des sauvegardes régulièresde ses données s’impose comme l’une des principales mesures permettant de se remettre rapidement d’un rançongiciel.

Lire aussi: Pourquoi mettre en place un firewall ?





2.3 Les autres malwares


2.3.1 Quels sont les types d’attaques malwares ?

Dans la grande famille des malwares, il existe d’autres logiciels malveillants que les ransomwares. Un nombre très important de programmes informatiques permet en effet de voler des informations sensibles, causer des dommages, perturber le fonctionnement d'un système ou obtenir un accès non autorisé à des ressources IT.

C’est le cas des virus, des vers, des chevaux de Troie, des spywares et des adwaresqui, depuis plusieurs décennies, continuent de faire des ravages au sein des systèmes d’information des entreprises, quels que soient leur secteur d’activité ou leur taille.

Le cheval de Troie « Godfather » (le « parrain » en Français) touche depuis mi-2021 les téléphones Android. Il se propage via de fausses applications accessibles depuis Google Play, le magasin d’applications de Google.

Une fois téléchargées, les applications frauduleuses renvoient vers de faux sites qui récupèrent les données confidentielles des utilisateurs. Le logiciel malveillant est également capable de prendre des captures d’écran et de détourner les appels entrants, ce qui lui permet de contourner les mécanismes d’authentification multifacteur (MFA).



2.3.2 Solutions pour prévenir les infections par malware

Les recommandations relatives à la lutte contre les malwares sont génériques, elles peuvent s’appliquer à de nombreux autres cas de figure. Dans tous les cas, il est important de :

  • Mettre régulièrement à jour les solutions logiciellesutilisées ainsi que les OS des ordinateurs ou smartphones de l’entreprise,
  • Utiliser une solution de sécurité du marché, comme un EDR (Endpoint Detection and Response), afin de neutraliser toute tentative d'attaque potentielle.

Bon à savoir: Les EDR ne basent plus seulement leur vigilance sur la détection de signatures malveillantes, comme le faisaient auparavant les antivirus, mais sur la détection de comportements anormaux. Ils sont donc une pièce maîtresse pour se prémunir des malwares.

  • Réaliser des sauvegardes régulières et sécurisées

Lire aussi: Comment lutter contre les attaques de phishing en entreprise ?

2.4 Les attaques DDos


2.4.1 Qu’est-ce qu’une attaque par déni de service distribué (DDoS) ?

Une attaque par déni de service distribué (DDoS) a pour objectif de rendre indisponible une ressource ou un service informatique (accès réseau, serveur web, mail, etc..) en les inondant d’un grand nombre de connexions ou de requêtes mal formulées (celles-ci ne pouvant être comprises font littéralement planter le service ciblé). Ces requêtes proviennent de centaines ou de milliers de systèmes informatiques que les pirates ont préalablement corrompus pour les détourner de leur fonction première. C'est le cas notamment des botnets ou « réseaux zombies ».

Ces attaques sont très difficiles à détecter et à contrer car elles sont constituées d'une multitude de vecteurs simultanés et se dissimulent parfaitement bien dans le trafic légitime (elles sont basées sur des protocoles communs). Elles ne visent plus uniquement à paralyser un serveur mais à bloquer le service internet qui donne notamment accès aux applications dans le cloud ou encore à des applications locales pour les entreprises multi-sites.







DDoS






En saturant l’accès réseau ou les ressources des serveurs visés, les cybercriminels parviennent à empêcher les demandes légitimes d’être honorées. Le site internet de l’entreprise, ou certains de ses services, sont alors fortement dégradés, voire totalement paralysés, inaccessibles (parfois plusieurs heures voire jours), ce qui peut générer des pertes de chiffre d’affaires et nuire à la réputation de la marque. Dans certains cas, les pirates demandent même une rançon en échange de l’arrêt de leur attaque.

Par exemple, en juin 2024, 14 sites internet du gouvernement ont été paralysés, tous victimes d’une attaque par déni de service distribué. L’opération a été revendiquée par le groupe de pirates pro-russes NoName057(16), en lien avec le conflit en Ukraine. Le groupe s’est également attribué, sur la messagerie Telegram, la paternité de plusieurs autres attaques, dont celles du CNES et du Sénat quelques mois plus tôt.



2.4.2 Techniques de protection contre les attaques DDoS

Pour préserver leur service internet disponible même sous attaque DDoS, les entreprises peuvent mettre en place une protection dédiée. Cette opération consiste à ajouter une brique de sécurité entre le réseau de l'entreprise et internet pour permettre de décontaminer les flux entrants dans votre réseau d'entreprise avant que l’attaque ne parvienne à ses fins. Cela permet également de protéger les équipements de sécurité actifs tels que les pare-feux pour garantir leur efficacité à chaque instant et jouer leur rôle même lorsqu’une attaque DDoS est associée à une autre Cyberattaque (attaque multi-vecteurs). Une telle solution peut être mutualisée par l’opérateur qui est idéalement situé.


Lorsque qu’une entreprise dispose d’une application hébergée dans son réseau le fait de disposer d’une architecture composée de plusieurs serveurs offrant le même service au client, dans le but de répartir les points d’accès à ces offres, permet également de limiter les dégâts et de ne subir qu’un ralentissement, et non un arrêt total du service, mais n’empêchera le fait que l’application reste inaccessible si l’accès réseau est saturé.






 



2.5 L’ingénierie sociale

2.5.1 Les tactiques de l'ingénierie sociale

L’ingénierie sociale est une famille de techniques utilisant la ruse et la manipulation pour inciter certains collaborateurs à réaliser des actions comme des virements d’argent ou des partages d’informations confidentielles. L’ingénierie sociale se fonde sur des mécanismes aussi “simples” que le sentiment d’urgence, la volonté d’aider, la peur, etc.

Les techniques de l'ingénierie sociale se sophistiquent chaque jour un peu plus. Les cybercriminels peuvent notamment se servir d’appels téléphoniques ou de messages vocaux pour tromper leurs victimes. Parfois même, ils falsifient l’identifiant de l’appelant pour duper plus facilement leurs interlocuteurs.

La technique d'ingénierie sociale la plus avancée est très certainement celle de la fraude au président. Ce type d’arnaque, qui peut déboucher sur des gains substantiels pour les pirates, nécessite cependant une longue préparation. Elle consiste - en se faisant passer pour un dirigeant de l’entreprise ou de sa maison mère - à convaincre un collaborateur d'effectuer en urgence un virement important à un tiers. Les raisons généralement invoquées sont la nécessité de régler une dette, de verser une provision de contrat ou de rachat d’une société. Quand cela se produit, les pirates prétextent que le dirigeant, en déplacement, est difficilement joignable autrement que par courrier électronique.


2.5.2 Mécanismes de défense contre les attaques d'ingénierie sociale

En matière d'ingénierie sociale, la formation est presque l’unique réponse qu’une organisation peut apporter à ce type de cybermenace. C'est en sensibilisant à ce genre de risque les collaborateurs du département finance (mais aussi ceux des autres business units) qu’une entreprise pourra éviter le pire.

Il est par ailleurs recommandé de ne pas communiquer trop de détails sur l’organigrammed’une société et de ne pas renseigner les adresses e-mail des dirigeants sur son site web, afin de limiter les informations auxquelles les cybercriminels ont accès.

Bien entendu, un plan d’action visant à optimiser les processus internes concernant la validation des virements importants ne pourra que renforcer la sécurité financière d’une entreprise. Des étapes de vérification préalables à tout transfert d'argent doivent absolument exister.



2.6 Les attaques de l'homme du milieu (MITM)

2.6.1 Qu’est-ce qu’une attaque de l'homme du milieu ?

Une attaque de l'homme du milieu, également connue sous le nom de MITM (Man-in-the-Middle) en anglais, est une attaque informatique pendant laquelle un pirate intercepte une communication entre deux parties légitimes, soit en écoutant leurs échanges, soit en se faisant passer pour l’une d’entre elles.

L'attaquant peut ainsi intercepter, altérer ou manipuler les messages échangés entre les deux parties sans que celles-ci ne s'en aperçoivent. Cela peut se traduire par des détournements de courriers électroniques ou de sessions, des usurpations d'adresses IP ou de DNS.

2.6.2 Mesures pour se protéger contre les attaques MITM

Une des premières mesures à prendre pour se protéger des attaques MITM (Man-in-the-Middle) est de sécuriser sa navigation sur Internet. Il faut pour cela chiffrer le trafic entre le réseau et son équipement. Il est également important de vérifier que les sites Internet visités sont sécurisés (URL commençant par “https” et cadenas visible).

Le recours à un pare-feuest un gage supplémentaire de sécurité, notamment lorsqu’un réseau wifi public est utilisé. Il est également conseillé de configurer un réseau privé virtuel (VPN)afin de protéger son trafic.

L’authentification à deux facteurssur les comptes de messagerie est elle aussi recommandée, tout comme l’utilisation d’outils d'analyse du trafic sur le réseau.









MITM






2.7 Les attaques par force brute

2.7.1 Qu’est-ce qu’une attaque par force brute ?

Une attaque par force brute (en anglais, “brute force attack”) consiste à tester, l'une après l'autre, toutes les combinaisons possibles d'un mot de passe, d’un nom d'utilisateur ou d'une clé de chiffrement, jusqu'à ce que la solution soit trouvée. L’objectif est d’obtenir un accès non autorisé à un système. Des vols, fuites ou altérations de données peuvent s’en suivre.

Les attaques par force brute font partie des attaques les plus basiques qui soient, mais elles partent du principe que certains mots de passe sont suffisamment faibles pour être devinés - à l’aide d’outils spécialisés - en quelques heures, voire en quelques jours. Une fois qu’un mot de passe a été “craqué”, les pirates tentent de s'en servir sur d’autres applications, certains collaborateurs utilisant le même mot de passe de manière répétée.

2.7.2 Pratiques pour renforcer la protection contre les attaques par force brute

Pour se prémunir des attaques par force brute, il est tout d’abord nécessaire d’imposer une politique de mots de passe efficace. Les mots de passe longs (15 à 20 caractères) sont les plus complexes à deviner (sauf si ce sont des suites logiques de caractères). Il est par ailleurs indispensable de modifier les noms d’utilisateurs et les mots de passe existant par défaut lors de l’installation d’une application web et ou d’un framework.

Bon à savoir :implémenter un système consistant à imposer un délai toujours plus long entre deux tentatives de connexion est également un bon moyen de retarder les projets des cybercriminels. Les outils automatisés s’en trouveront fortement ralentis.

L’emploi d’une authentification multi-facteurs (MFA) rendra le travail des pirates encore plus complexe. Même s’ils parviennent à trouver le bon mot de passe, ils ne pourront deviner le code - dont la durée est limitée - généré par le système MFA.

Lire aussi :Protection des données ou cyber-résilience ?









MFA








3 Comment éviter les cyberattaques : les bonnes pratiques de la cybersécurité

3.1 Sensibilisation et formation des employés à la cybersécurité

Le facteur humain est central en matière de cybersécurité. Des actions régulières de sensibilisation et de formation sont donc nécessaires afin de maintenir un haut niveau de compréhension et de vigilance parmi les collaborateurs. L’objectif est de faire d'eux les premiers remparts face aux cybermenaces.

Il est indispensable de pratiquer régulièrement des exercices grandeur nature impliquant les salariés, mais aussi la direction générale, afin que chacun ait en tête les conséquences qu’une cyberattaque pourrait avoir sur le système d'information de l’entreprise et sur son organisation concrète (comment joindre les collaborateurs, prévenir les clients, faire tourner la production, assurer les paies…).


3.2 Gestion des mots de passe

Les mots de passe sont la porte d’entrée de très nombreux systèmes. Il est recommandé d’en créer un par application afin d’éviter, en cas de divulgation, qu’un même mot de passe puisse être utilisé par un pirate pour accéder à plusieurs comptes.

Les mots de passe doivent être suffisamment longs (15 à 20 caractères) et complexes pour éviter d’être “craqués”. Il est par ailleurs recommandé de changer ses mots de passe régulièrement(tous les trois à six mois environ) et, bien entendu, dès qu’il y a le moindre doute.

Bon à savoir :l’utilisation d’un gestionnaire de mots de passe ou d’un trousseau d’accès chiffré permettant de les stocker en toute sécurité peut apporter une aide précieuse.

L’authentification multi-facteur apporte un niveau de sécurité supplémentaire. Elle consiste à ajouter au mot de passe un ou plusieurs autres facteurs d’authentification, comme la réception d’un SMS ou l’utilisation d’une carte à puce ou d’un jeton USB. Elle est donc à privilégier à chaque fois que cela est possible.


3.3 Mises à jour et patchs de sécurité

Installer, dès que cela est demandé, les mises à jour et les patchs de sécurité proposés par les éditeurs de solutions est une démarche indispensable. Elle permet de se prémunir contre les failles logicielles et leur exploitation par les cybercriminels.

Il est nécessaire pour cela dans un premier temps de maintenir un inventaire précis des éléments logiciels et matériels connectés à un réseau afin d'identifier les mises à jour manquantes. Il faut ensuite télécharger les correctifs dès qu’ils sont disponibles, les déployer sur les appareils qui en ont besoin et s’assurer qu’ils sont correctement installés. L’utilisation d’une solution de gestion des correctifs permet d'automatiser le processus et de gagner du temps.


3.4 Utilisation d'un pare-feu

La navigation sur Internet présente de nombreux risques, comme le fait de consulter des sites hébergeant du code malveillant. C'est la raison pour laquelle il est recommandé de mettre en place une passerelle sécurisée d’accès à Internet comprenant au minimum un pare-feupour filtrer les connexions et un serveur proxy, le rôle de ce dernier étant de garantir l’authentification des utilisateurs et la journalisation des requêtes.

L'installation d’un pare-feu est par ailleurs nécessaire au niveau des postes de travail (pare-feu local). Cela permet d'éviter qu’un pirate ayant pris le contrôle d’un poste de travail ne puisse étendre son intrusion à d’autres postes et accéder aux documents des utilisateurs.


3.5 Sauvegarde régulière des données

Effectuer des sauvegardes régulières de ses données s’impose comme l’une des principales mesures permettant de se remettre rapidement d’une cyberattaque. La restauration des données à partir de ces back-up réduit en effet considérablement le temps nécessaire à la reprise d’activité de l’entreprise.










Cyber






Attention, les sauvegardes doivent être intactes. Il est nécessaire de s’assurer qu'elles n'ont pas été, elles aussi, endommagées. Pour garantir cela, il est indispensable de restreindre l'accès aux serveurs de sauvegarde sur site et limiter leur capacité de communication sortante.


3.6 Chiffrement des données sensibles

Il ne sert à rien de chiffrer toutes les données de l’entreprise. Il est préférable de ne cibler que les informations les plus sensibles, comme les données personnelles ou celles revêtant un caractère stratégique (R&D, commercial, marketing, finance…).

Il faut ensuite distinguer celles qui sont situées en local ou sur des serveurs de celles qui sont échangées à l'intérieur et à l’extérieur de l’entreprise. Pour les données en local ou sur des serveurs, il est nécessaire de faire la différence entre les données enregistrées sur des supports persistants (données au repos) et celles qui peuvent être interceptées alors qu'elles circulent sur le réseau (données en transit).

Quant à la protection des échanges, il est recommandé d’utiliser le chiffrement de bout en bout(“end-to-end encryption”, en anglais). Cela signifie que seuls l’expéditeur et le destinataire peuvent lire les messages échangés. Enfin, il faut veiller à bien protéger ses clés de chiffrement. Un stockage distant accessible via une connexion sécurisée sera idéal.


3.7 Surveillance et détection des incidents de sécurité

De plus en plus d'entreprises disposent d’un centre opérationnel de sécurité (Security Operating Center / SOC en anglais). Cela leur permet d’assurer la supervision de la sécurité de leur système d'information.

La création d’un SOC permet d'améliorer la détection des incidents de sécurité grâce à une surveillance en continu et à une analyse de l'activité des données. Cela permet en outre de protéger les données sensibles et de se conformer à la réglementation.

Bon à savoir :l’infrastructure type d’un SOC est composée d’un pare-feu, d’un système de détection et de prévention des intrusions (IDS / IPS), de sondes et d’un système de gestion de l'information et des événements de sécurité (SIEM).



4. Établir un plan de réponse aux incidents de cybersécurité


4.1 Le PRA : se rétablir après une cyberattaque


Données chiffrées par un ransomware, vol de données, intrusion… Quand le pire survient, les entreprises ayant anticipé ce genre de situations en créant un PRA (Plan de Reprise d’Activité) s’en sortent mieux, et surtout plus rapidement, que les autres.

Un plan de reprise d’activité est un document décrivant les mesures à prendre en cas d’interruption partielle ou totale du SI de l’entreprise. Son objectif est de minimiser le temps d’arrêt du système d’informationet de s’assurer que les données critiques sont récupérées rapidementafin de faciliter la reprise de l’activité.









PRA







En novembre 2020, le fournisseur de services cloud Amazon Web Services subit une panne technique de grande ampleur pendant plusieurs heures dans la région « US East 1 ». Cette panne a affecté des milliers de services et de sites comme Disney+, Flickr et Netflix. Immédiatement, AWS déclenche son PRA, redirige le trafic vers d'autres régions géographiques pour minimiser l'impact sur ses clients et commence à rechercher l’origine de la panne. AWS fournit ensuite des mises à jour régulières sur l'état des dysfonctionnements et les mesures prises pour résoudre le problème. Sa communication est la plus transparente possible. Une fois les services rétablis, AWS procède à une évaluation approfondie de l'incident pour comprendre les causes du problème, identifier les améliorations possibles et renforcer son PRA en conséquence.

Dans le cadre d’un PRA, deux indicateurs clés sont à définir et à suivre de près :

Le RTO (Recovery Time Objective)ou DMIA (Durée Maximale d’Interruption Admissible). Il détermine le temps de rétablissement optimal du système d’information. “Au bout de combien de temps l’activité de l’entreprise devra avoir repris ?”

Le RPO (Recovery Point Objective)ou PDMA (Perte de Données Maximale Admissible). Il fixe le taux maximal de données perdues « acceptable ». Ce dernier est généralement conditionné par la date et heure du dernier point de sauvegarde.


4.2 Assurer une sauvegarde sécurisée des données


Nous l'avons vu précédemment, la sauvegarde des données est un élément clé dans la reprise d'activité. Grâce au cloud, le recours au PRA s'est fortement démocratisé ces dernières années. Sa mise en œuvre s’en trouve désormais facilitée et ses coûts largement diminués. Toute organisation, quelle que soit sa taille, peut aujourd’hui s’offrir ce type de dispositif.

Avec une solution dite “DRaaS” (Disaster Recovery-as-a-Service), une entreprise s’inscrit dans une démarche de réplication continue de ses données et de ses systèmes. Elle est ainsi en mesure de sauvegarder ses données dans le cloudpuis, en cas de sinistre, d’utiliser les derniers back-ups disponibles pour restaurer son système d'information.

Chez Bouygues Telecom Entreprises Oncloud, nous proposons une solution de sauvegarde externalisée incluant un chiffrage de bout en bout, une déduplication des données et une optimisation de bande passante. L’intégration avec les services Microsoft 365 et les outils de sauvegarde Veeam sur site contribue à renforcer la protection des données les plus critiques.


4.3 Identifier les acteurs clés internes et externes


Dans tout plan de reprise d'activité, les personnes, services ou prestataires habilités à intervenir sont clairement identifiés. Des tâches et des rôles précis sont ainsi attribués à des personnes données ou à des groupes de personnes, qui auront la responsabilité d’intervenir le moment venu.

C’est notamment le cas du DSI, du RSSIet de leurs équipes, qui seront chargés d’identifier la cause des problèmes et d’y remédier. Il leur faudra pouvoir contacter en urgence les personnes clés qui devront pouvoir se connecter à distance à certains outils de pilotage et d’analyse.

Le directeur communicationdevra, de son côté, informer les collaborateurs de l’état de la situation et, vis-à-vis de l’externe, diffuser une information claire et transparentesur l’avancement des recherches visant à trouver l’origine de la panne et des mesures prises pour y remédier.

La direction clientssera, elle, occupée à contacter les clients afin de les rassurer et leur donner des délais précis quant au rétablissement des services. Le dirigeant de l’entreprise pourra quant à lui contacter les partenaires et fournisseurs de l’entreprise afin de les tenir informés. Il jouera dans tous les cas un rôle clé de coordination. Sans une description claire du “qui fait quoi ?”, il est en effet complexe de s’organiser pour agir efficacement lors d’un sinistre.


4.4 Gestion et communication de crise


Comme dans toute crise, il est nécessaire de prévoir dans le cadre du PRAla manière dont la direction générale communiquera avec les principales parties prenantes de l’entreprise, que ce soit en interne ou en externe.

Les collaborateurs, mais aussi les clients, les fournisseurs, les partenaires, les actionnaires et, le cas échéant, les médias, devront être régulièrement tenus informés de la situation et de l’avancement de la reprise d'activité. C’est un véritable dispositif de communication de crise que l'entreprise devra avoir prévu bien en amont.


4.5 Évaluation et amélioration continue du plan de réponse


Comme tout document décrivant une série de procédures à suivre en cas d'urgence, le PRA doit être éprouvé régulièrement, en conditions réelles. Des tests de vulnérabilité peuvent ainsi être menés afin de tester la solidité du SI. Plus globalement, valider la fiabilité du PRA permet à chaque département concerné (DSI, direction générale…) de parfaire sa connaissance des dispositifs mis en œuvre.

L’environnement des entreprises étant en perpétuelle évolution, il est par ailleurs nécessaire d’adapter le PRA à son contexte. Effectuer un audit régulierdes enjeux de l’entreprise et des évolutions que connaît le SI permet de mettre à jour les procédures.









Cyber






5. Accompagnement, évaluation et veille : les clés d’une stratégie de cybersécurité réussie


Vous l’avez compris, face à la professionnalisation croissante des cybercriminels et à la sophistication accrue de leurs attaques, la cybersécurité n’est aujourd’hui plus une option. C’est en effet tout le patrimoine immatériel et matériel de l’entreprise qu’il faut protéger: ses données (surtout les plus sensibles), sa propriété intellectuelle, et bien entendu sa capacité à assurer la continuité de ses activités.


5.1 Faites-vous accompagner par des experts en sécurité informatique


Complexité croissante des cyberattaques, sophistication accrue des technologies cybercriminelles, nécessaire conformité réglementaire… Les entreprises sont confrontées à des contraintes de plus en plus fortes et ne peuvent plus aujourd’hui tout gérer toutes seules. Configurer, maintenir et faire évoluer des outils de cybersécurité requiert en effet des compétences rares et chères qu’il est difficile de recruter et de fidéliser.

Le recours à des prestataires spécialisés s’impose donc la plupart du temps. Ces entreprises expertes de leur domaine, utilisant des outils et des méthodes conformes, peuvent vous accompagner, vous conseiller, vous former et déployer les solutions les mieux adaptées à vos besoins.


5.2 Évaluation régulière de la posture de cybersécurité de l'entreprise


Le rôle des prestataires en cybersécurité est également de réaliser des audits auprès de leurs clients, afin de les aider à évaluer la pertinence de leur stratégieen matière de cybersécurité et d’améliorer certains points clés en cas de nécessité.

L’accompagnement par des professionnels de la cybersécurité est un gage de sérénité et d’efficacité sur le long terme. Il permet de bénéficier de conseils et de solutions adaptées à ses besoins, afin de faire face à une cybermenace en constante évolution.


5.3 Suivi des évolutions technologiques et des nouvelles cybermenaces


Les prestataires en cybersécurité maintiennent une veille technologique activepour se tenir informés des dernières avancées en matière de sécurité informatique. Ils investissent par ailleurs dans la formation continue de leurs équipes, ce qui leur permet de rester à la pointe des dernières avancées technologiques et de comprendre les techniques utilisées par les cybercriminels.

Enfin, ils entretiennent des partenariats avec des organismes de sécurité renommés, tels que des laboratoires de recherche en sécurité, des organisations gouvernementales, des universités et des associations professionnelles. Cette collaboration leur permet d'accéder à des informations et des ressources supplémentaires sur les nouvelles cybermenaces, les vulnérabilités émergentes et les meilleures pratiques en matière de cybersécurité.

Lire aussi :Face aux risques de cybermenace, vous n’êtes pas seuls !



close

Vous souhaitez demander un devis

close
Les données recueillies à partir de ce formulaire seront utilisées afin de vous adresser des devis, des informations sur les produits et services du Groupe Bouygues Telecom, de vous inviter à des événements ou de vous adresser des questionnaires de satisfaction. Elles seront traitées par Bouygues Telecom et sa filiale Keyyo et leurs sous-traitants en charge de l’hébergement des données et/ou de la distribution des offres. Vous disposez de droits sur vos données (notamment, droits d'accès, rectification, suppression, opposition aux traitements de données vous concernant), que vous pouvez exercer en écrivant à dpo@bouyguestelecom.fr.. En savoir plus sur la gestion de vos données et vos droits
Plus d'informations sur le traitement de vos données

Votre demande a bien été prise en compte !

Nos conseillers reviendront vers vous
dans les plus brefs délais.

close

close
Les données recueillies à partir de ce formulaire seront utilisées afin de vous adresser des devis, des informations sur les produits et services du Groupe Bouygues Telecom, de vous inviter à des événements ou de vous adresser des questionnaires de satisfaction. Elles seront traitées par Bouygues Telecom et sa filiale Keyyo et leurs sous-traitants en charge de l’hébergement des données et/ou de la distribution des offres. Vous disposez de droits sur vos données (notamment, droits d'accès, rectification, suppression, opposition aux traitements de données vous concernant), que vous pouvez exercer en écrivant à dpo@bouyguestelecom.fr.. En savoir plus sur la gestion de vos données et vos droits
Plus d'informations sur le traitement de vos données