Faire du cyber-risque une culture d'entreprise 2/2

Réduire les risques

Bien entendu, le risque zéro est un objectif inattei-gnable. Compte tenu des faiblesses apparues lors de la phase de diagnostic, les premières actions mises en place poursuivront donc une ambition plus modeste : réduire la probabilité que survienne un sinistre. Des solutions techniques pourront ici être déployées ou renforcées. Une attention par-ticulière sera portée sur le caractère évolutif des types d’attaques et, par voie de conséquence, sur celui des outils choisis. Mais là encore, il faudra prendre garde à ne pas oublier les aspects humains, l’erreur ou le manque de formation des collabora-teurs comptant parmi les principaux défauts de la cuirasse de l’entreprise. « La sensibilisation de tous les collaborateurs de l’entreprise est plus que nécessaire, insiste Jean-Marc Allouët. Mais atten-tion, nous savons tous que l’état de vigilance est un état instable. Penser qu’une seule opération de sensibilisation et de formation permettra à chacun de se sentir responsable et d’adopter les bonnes pratiques à long terme est une erreur. Il faut mettre en place des actions qui contribuent à maintenir un niveau d’éveil élevé ! ».

 

Limiter les impacts 

Même rendu moins probable, le risque de subir un sinistre reste présent. Il convient donc d’envisa-ger cette éventualité, autrement dit de mesurer ses conséquences potentielles dans le but de les contenir. Pour chaque type de risque identifié, une contre-mesure sera prise. Par exemple, afin de ne pas subir la loi d’un preneur d’otage parvenu à infiltrer le réseau de l’entreprise, outre l’établis-sement d’un plan d’actions précis destiné à blo-quer la progression du rançongiciel (gestion des machines infectées, alerte des entreprises parte-naires…), on prendra soin de réaliser des opéra-tions de sauvegarde régulières sur des supports non connectés au réseau. Sur le comportement à adopter en cas d’attaque, là encore, il faudra veil-ler à former et à impliquer l’ensemble du person-nel de l’entreprise. « Si vous expliquez à vos colla-borateurs que débrancher leur machine du réseau est la première chose à faire lorsqu’apparaît sur l’écran de leur ordinateur un message de crypto-lockage, vous allez considérablement réduire les conséquences techniques mais aussi financières de l’attaque », résume Jean-Marc Allouët.

Afin de limiter l’impact d’un sinistre, il est également possible de faire du report de risque, autre-ment dit de s’assurer. Sachant, bien évidemment, que l’assureur se basera sur la robustesse du sys-tème et du process organisationnel pour définir le montant des primes. « Les évaluations réalisées et opérations lancées pour renforcer la cybersécurité de l’entreprise se traduiront par une modération des primes, assure Jean-Marc Allouët. C’est un premier retour sur investissement facilement quantifiable par les dirigeants ».

 

Réaliser un suivi

Le quotidien prend tellement de place qu’il est difficile pour les dirigeants, spécialement de PME et d’ETI, de suivre cette problématique. Or, réaliser une veille est absolument indispensable pour s’adapter aux nouveaux risques. Des risques qui peuvent venir d’un type d’attaque innovant, d’un changement de périmètre de l’entreprise né, par exemple, d’une opération de croissance externe, ou encore d’un changement de straté-gie ou d’activité de la société ayant pour consé-quences d’augmenter sa visibilité et ainsi son exposition aux attaques. « Le suivi est donc une mission importante qui doit être accomplie par une personne qui en a été officiellement chargée et qui dispose du temps, des compétences et des moyens nécessaires pour atteindre ses objectifs. En outre, elle doit avoir une vision transversale de ce dossier, ce qui signifie une bonne connaissance de l’entreprise, de sa culture et de son fonctionne-ment. Si cette personne n’existe pas dans l’entre-prise, il est possible d’externaliser sa mission », ajoute Jean-Marc Allouët.

Lire la première partie de l'article "Faire du cyber-risque" d'une culture d'entreprise 1/2