Les entreprises sont particulièrement exposées à ces nouveaux risques. Les nombreuses cyberattaques enregistrées quotidiennement dans le monde entier en témoignent. Nous pouvons citer à ce titre le ransomware «Wannacry» qui, en 2017, a paralysé le système de santé britannique et de nombreuses grosses entreprises européennes, dont le constructeur automobile français Renault. Ces cyberattaques représentent un coût considérable. En 2017, 978 millions de personnes ont été victimes d’un comportement cybercriminel dans le monde. Le préjudice total s’élèverait à 146,3 milliards d'euros1. Dans un pareil contexte et compte tenu du RGPD qui entrera en vigueur le 25 mai prochain, le renforcement de la sécurité informatique des entreprises est primordial.
Première étape vers ce renforcement de la sécurité informatique: une bonne connaissance de l’entreprise et des risques informatiques liés à son activité et à celles de ses clients
Cela paraît évident, malheureusement ce principe est encore trop souvent négligé. Pour mesurer l’ampleur des risques auxquels l’entreprise est exposée, il faut un audit approfondi de son système informatique et de ses procédés de traitement des données. La bonne nouvelle, c’est que ce travail est aussi un prérequis à la mise en conformité par rapport au RGPD. Ainsi, il faut avant tout identifier et cartographier les flux de données circulant au sein de l’organisation. Cette première analyse permet d’identifier les failles et mettre en place un plan d’action pour les combler et, par la même occasion, se conformer à la réglementation RGPD.
Deuxième étape: une bonne anticipation des risques liés à la transformation digitale
Connaître son organisation et ses failles internes est d’une importance capitale, mais il est au moins aussi important, sinon plus, de connaître les risques liés à l’adoption de nouvelles technologies avant leur implémentation. Cette phase d’analyse permettra de prendre en compte les paramètres de sécurité en amont et les intégrer dans la méthodologie dès la conception du projet.
Les certifications sont une garantie pour les clients que leur prestataire de service applique des procédures conformes aux standards de sécurité les plus élevés de sa profession à l’échelle nationale et/ou internationale.
Edith Magyarics, CEO (Victor Buck Services)
Si les services cloud et le développement de la mobilité, notamment à travers l’internet des objets, séduisent par la flexibilité qu’ils offrent, ces mêmes services font émerger de nouvelles formes de menaces pour la sécurité. Il est donc important de les étudier afin d’anticiper les risques et s’en prémunir. Dans le cas de l’adoption d’un service cloud externalisé, par exemple, il ne faut pas hésiter à auditer son prestataire ou même en exiger une certification. Chez Victor Buck Services, nous avons très tôt compris l’importance d’offrir des garanties de sécurité à nos clients, aussi nous avons mobilisé des moyens importants et des équipes dédiées pour obtenir et conserver nos certifications (PSF, ISO27001, PSDC-DC). Ces dernières sont une garantie pour les clients que leur prestataire de service applique des procédures conformes aux standards de sécurité les plus élevés de sa profession à l’échelle nationale et/ou internationale.
Troisième étape: mobiliser les moyens humains et matériels nécessaires
Les cyberattaques reposent souvent sur des facteurs humains, il est, pour cette raison, crucial d’associer l’ensemble du personnel à la politique de sécurité de l’entreprise. Pour ce faire, il est important de communiquer avec les collaborateurs et les former aux pratiques de base en matière de sécurité informatique. Il faut aussi mettre en place un protocole rigoureux d’identification et de validation afin d’éviter les attaques de type «fraude au président»2 et investir dans des infrastructures informatiques à la hauteur des besoins en sécurité de l’organisation. Dans le cas de Victor Buck Services, nous avons opté pour des data centers Tier IV pour stocker les données de nos clients, soit la norme de sécurité la plus élevée existant actuellement. Mais au-delà de la technologie, il faut aussi investir dans du change management et ne pas hésiter à profiter de l’expertise d’acteurs externes pour compléter les éventuelles compétences manquantes.
En somme, en matière de transformation digitale, «rien ne sert de courir, il faut partir à point». Pour bien s’entourer dans sa transformation digitale, il faut avant tout une bonne connaissance des besoins et des risques qu’elle induit en matière de sécurité. Une fois cette «introspection» faite, l’entreprise sera en mesure de sélectionner les technologies et prestataires qui lui permettront de mener son projet de transformation digitale dans les meilleures conditions.
1. Pavel Golovkin/AP/Sipa
2. Attaque consistant à convaincre un collaborateur de réaliser un virement en se faisant passer pour l’un des dirigeants de l’entreprise.