5 conseils pour renforcer la sécurité des systèmes d’information

325
Partager :

Neuf brèches de sécurité sur dix sont le résultat de l’ingénierie sociale ou de l’hameçonnage c’est-à-dire de manœuvres trompeuses visant à usurper l’identité ou à voler les données de connexion des utilisateurs des systèmes d’information. De même, la plupart des actes de fraude (65%) commis sur les entreprises ne proviennent pas d’actes prémédités ou d’une faiblesse du système mais bien d’une opportunité de fraude exploitée.

Sur l’ensemble de la chaîne de protection des systèmes d’information (notion beaucoup plus vaste que celle de »cybersécurité » et qui inclut les systèmes numériques et analogiques), l’élément humain reste le maillon faible.

A lire aussi : Cybersécurité et intelligence artificielle

En effet, elle constitue l’essentiel des 4 millions d’euros dépensés chaque année par les entreprises pour tenter de bloquer les brèches dans leur système de sécurité.

La cybersécurité, partie intégrante de l’entreprise moderne

Aujourd’hui, le numérique fait partie intégrante de notre vie. Cependant, on oublie trop souvent que l’objet principal de la sécurité n’est pas le système lui-même mais les données qu’il contient, qu’elles soient de nature personnelle, médicale, commerciale ou contractuelle…

A voir aussi : Méfiez-vous de l'escroquerie du dispositif de sécurité "Ammyyy"

Le monde numérique étant devenu une extension du monde réel, la même vigilance doit être exercée. Tout comme nous fermons la porte derrière nous lorsque nous quittons la maison ou installons une porte de sécurité pour protéger notre maison, notre espace en ligne devrait également être protégé. Ainsi, les entreprises qui  » oublient de fermer la porte  » s’exposent au vol, de leurs stratégies, de leurs informations métier et même de leurs processus.

Mais il existe un levier qui permettra de réduire le risque d’attaque : la sensibilisation des utilisateurs. En effet, sans une procédure de formation et de sensibilisation des professionnels et des entreprises en général, toute mesure technique sera inutile car l’utilisateur continuera à cliquer sur les liens sans les vérifier.

Le risque zéro n’existe pas

Parmi les quelques solutions techniques actuellement appliquées aux systèmes informatiques existent les pare-feu, les mesures contre les logiciels de rançonnage, les logiciels antivirus, les mises à jour du système d’exploitation ou le renforcement des mots de passe.

Ces solutions ainsi qu’une politique de défense active (recherche dans les réseaux pour détecter les attaques potentielles, techniques préventives et correctives, intelligence artificielle) doivent être minutieusement mises en exercice.

Cependant, il ne s’agit pas tant d’utiliser une seule technologie mais plutôt d’appliquer plusieurs « couches de sécurité » afin d’éviter que des systèmes non protégés (une voiture sans conducteur, par exemple) ne soient attaqués.

Le cyberespace et la protection des données

Le cyberespace semble être un nouvel espace politique où les citoyens interagissent les uns avec les autres. En tant que tel, il est soumis à la législation en vigueur et le règlement prend une dimension internationale de plus en plus importante.

En Espagne, la loi sur la protection des données (« LOPD »), l’équivalent de la loi « informatique et libertés » en France, protège les données personnelles quel que soit leur format, du simple enregistrement vocal aux notes écrites dans un ordinateur portable.

La directive européenne sur la protection des données, qui est entrée en vigueur en mai 2018, se veut plus restrictive, obligeant à prendre en compte la sécurité des données dès la mise en place du système d’information. Enfin, la norme ISO 27001 vise à certifier les systèmes d’information les plus sécurisés comme quoi la sécurité n’est pas incompatible avec notre vie privée. Au contraire, c’est le seul moyen de garantir sa confidentialité.

Bon nombre d’applications pour smartphones sont gratuites. Quelle en est la conséquence ? L’utilisateur devient un produit dont les données peuvent être exploitées.

Quelques leçons apprises des erreurs de données de sécurité

Au fil du temps, les professionnels et les particuliers ont pris en main la protection des données. Auparavant, les entreprises victimes d’une attaque due à une atteinte à la sécurité préféraient passer l’incident sous silence par crainte de ternir leur image.

Aujourd’hui, ils s’efforcent de réduire l’impact des problèmes et d’en tirer des leçons, comme ce fut le cas avec le phénomène WannaCry.

Les entreprises ont reconnu les faits et bien que l’épisode ait été largement raconté, ses effets ont été minimisés par rapport à d’autres attaques survenues jusqu’à présent.

Si cet accident nous rappelle de ne pas oublier nos mises à jour du système d’exploitation (Microsoft a publié un patch en mars). Il souligne avant tout l’importance de l’utilisateur dans la stratégie globale de sécurité. Ce qui nous confirme une autre leçon à tirer : « la sécurité est l’affaire de tous ».

La sécurité des données, un domaine en plein développement

Des attaques se produisent tous les jours, partout dans le monde. Même si nos systèmes sont en grande partie bien protégés, avec le temps et les moyens, aucune infrastructure n’est infaillible.

A l’heure actuelle, les mesures de sécurité sont au niveau du code afin d’identifier les failles. De même, les logiciels de type pare-feu et antivirus s’améliorent et deviennent de plus en plus robustes. Malgré tout cela, il reste encore du chemin à parcourir avant que les utilisateurs soient pleinement conscients des problèmes liés à la sécurité des données.

Partager :