La cybersécurité en entreprise : quelle est son importance ?

Face aux menaces informatiques en tout genre, les entreprises doivent réagir en mettant en place des outils juridiques et techniques de protection : c’est la cybersécurité. Et cette pratique est capitale parce que tout simplement, elle évite de laisser grandes ouvertes les portes du réseau informatique aux cybercriminels. Quelle est véritablement l’importance de la cybersécurité en entreprise ? Quelles sont les menaces encourues par les entreprises ? Comment mettre en place un bon système de cybersécurité ? Et que faire en cas d’attaque cybercriminelle ?

La cybercriminalité et les infractions qui y sont liées

On parle de cybercriminalité pour désigner toute action criminelle réalisée sur un réseau en ligne, à partir d’un ordinateur.

Il existe deux types d’infractions pouvant être considérées comme de la cybercriminalité, selon que l’informatique soit l’objet ou le moyen du délit :

• dans le cas où l’informatique est l’objet du délit, on est en présence de « pirates » ou de « hackers ». Ceux-ci se servent alors de programmes malveillants pour passer outre un système de sécurité informatique et voler des informations confidentielles ;
• dans l’autre cas, celui où l’informatique est le moyen de l’infraction, les cybercriminels se servent d’internet pour poser des actes répréhensibles. Il peut s’agir par exemple de harcèlement ou de délits racistes. La pédopornographie, tout comme les atteintes à la propriété intellectuelle sont aussi répertoriées dans cette catégorie.

Les dangers auxquels sont confrontées les entreprises qui ne se protègent pas de la cybercriminalité sont nombreux. Parmi ceux-ci, retenons :

• les détournements de fonds : pour ce faire, un employé ou une personne extérieure à l’organisation débite malhonnêtement les comptes de celle-ci ;
• les virus informatiques : leur introduction du fait d’un système de sécurité inexistant ou défaillant peut entrainer la destruction complète ou partielle des fichiers de l’entreprise. Ainsi, des mois ou des années de travail seraient jetés à la poubelle. Parmi les fichiers les plus exposés aux virus, nous avons les fichiers Word, les documents Excel et plus généralement les feuilles de calcul, de même que les fichiers exécutables à extension EXE ou COM ;
• le piratage de données sensibles telles que les secrets de fabrication ou encore les droits de propriété industrielle ;
• la soustraction de documents d’importance pour les livrer contre de l’argent, à la concurrence ;
• les attaques par déni de service distribuées : le site web de l’entreprise est inondé d’informations inutiles, par un réseau d’ordinateurs. Ce qui conduit à un crash et rend le système non fonctionnel ;
• le hameçonnage ou le dévoiement : une personne ou entité essaye de recueillir des données confidentielles en apparaissant frauduleusement comme digne de confiance. Le hameçonnage s’opère par e-mail. Quant au dévoiement, il se fait au moyen de sites ou serveurs fictifs.

L’importance de la sensibilisation à la cybersécurité au travail

En cas de cyberattaque, de cybermalveillance ou encore de négligence, les conséquences peuvent s’avérer plus ou moins désastreuses ; d’où l’importance de sensibiliser dirigeants comme employés à la cybercriminalité au travail :

• nombreuses sont les entreprises qui, devant faire face à des ransomwares, n’arrivent plus à accéder à leurs fichiers et données ;
• d’après les experts de la sécurité informatique, le nombre de « fraudes au président », expression en vogue pour désigner les extorsions de fonds, est en hausse ;
• une fuite de données sensibles est vite arrivée par négligence d’un employé. Par exemple, celui-ci disposant d’un ordinateur non chiffré peut le perdre un jour ou l’autre dans un espace public.

Voilà autant de cas susceptibles de forcer une entreprise à arrêter son activité ou même à devoir s’acquitter d’une amende auprès des Autorités de protection des données (APD). À noter à ce sujet que depuis la mise en application du Règlement général sur la protection des données (RGPD), ces amendes sont beaucoup plus fréquentes.

Afin de ne pas se trouver handicapée et pénalisée, l’entreprise doit donc mettre en place des mesures pour sécuriser son système informatique. Il revient par ailleurs aux dirigeants de concevoir et de lancer des campagnes de sensibilisation et d’éducation avec pour public cible les salariés. Pas plus tard qu’en 2015, une étude réalisée par les chercheurs de l’Université de l’Alabama à Birmingham sortait les conclusions suivantes :

• pratiquement quatre infractions sur dix sont d’origine interne ;
• la négligence des salariés est pointée par 75 % des entreprises comme étant la menace principale de fuite d’informations.

Selon cette même étude, trois employés sur quatre sauvegardent des fichiers professionnels dans des comptes personnels ouverts sur le Cloud. Et il y a fort à parier que tous les chiffres avancés plus haut augmentent avec l’adoption du Cloud par de plus en plus d’entreprises. À cette adoption croissante du Cloud, il faut ajouter le fait que nous sommes dans une ère qui fait la part belle aux objets connectés. Pour vous faire une idée des menaces encourues par les organisations, en se fiant à ces canaux et procédés, voici deux exemples récents :

• en décembre 2016, les systèmes de bâtiments automatisés ont vu leurs contrôles de chauffage désactiver en Finlande, suite à une attaque DDos de grande ampleur ;
• et encore plus près de nous, en janvier 2017, le plus grand complexe hospitalier britannique a été impacté par un ramsomware.

Aucune entreprise n’est donc à l’abri de la cybercriminalité, à moins de s’en protéger. Et très clairement, il est aisé de s’infiltrer illégalement dans un système de données informatique non ou insuffisamment protégé. Pour le prouver, deux chercheurs américains en sécurité ont pénétré dans le dispositif de gestion des bâtiments d’une grande entreprise technologique australienne. Plus que jamais, la sécurité et la cybersécurité vont de pair et toutes les organisations doivent donc en être conscientes.

La nécessité d’accorder autant d’importance à la cybersécurité qu’à la sécurité et au bien-être au travail

Les années de luttes et de revendications syndicales combinées aux progrès scientifiques ont permis l’instauration de meilleures règles d’hygiène et de sécurité. Grâce à ces dernières, les employés ont vu notamment leur stress ainsi que les accidents de travail baisser drastiquement. En clair, leur bien-être s’est amélioré, et partant de là, leur performance aussi.

Sur la même lignée, et afin de garantir la pérennité de l’entreprise, il faut que ses dirigeants accordent autant d’importance à la cybersécurité. Plus le système de défense de l’entreprise est fort, plus la marque gagnera en réputation et plus elle assurera la protection des données. À noter que par données, on entend ici les données sensibles de la société relatives par exemple à ses ressources humaines ou à ses secrets de fabrication. Mais dans les données, se trouvent également les fiches personnelles clients.

Autrement dit, la cybersécurité en entreprise permet de protéger les données de l’entreprise de même que celle de ses clients.

Elle est donc essentielle pour la protection de la vie privée et du patrimoine numérique.

Les mesures de protection contre la cybercriminalité

La cybersécurité passe par la mise en place de dispositifs afin de prémunir les ordinateurs de l’entreprise contre la cybercriminalité. La première mesure qui s’impose est de doter chaque ordinateur d’un antivirus efficace : c’est en effet le seul moyen de s’assurer que l’ordinateur ne sera pas infecté par des virus, lorsque son utilisateur se connecte sur internet. Par ailleurs, il faudra veiller à la mise à jour régulière du logiciel antivirus afin de rester protégé contre les nouvelles menaces.

De même, des mesures de prévention adaptées selon les menaces sont mises à disposition par les fournisseurs de dispositifs de protection. En plus de la protection antivirus, les entreprises peuvent souscrire à une sécurisation de leurs matériels industriels sensibles. Cela se fera par exemple par transfert à l’extérieur de l’organisation, de son réseau préservé. Toute entreprise peut également opter pour une protection renforcée et spécifique des données personnelles de sa clientèle.

Afin de ne pas s’exposer au piratage ou la destruction de ses fichiers les plus capitaux, l’entreprise doit en faire des copies et les rendre inaccessibles par internet. De toute façon, les mesures de protection doivent être mises en place en tenant compte de l’importance des données. Et l’entreprise devra veiller à sécuriser aussi bien ses objets connectés que ses programmes informatiques.

Enfin, les clients doivent aussi être informés des menaces à travers des affiches, des messages personnalisés ainsi que des explications. Par ce biais, ils sauront mettre en place de leur côté, les mesures qui s’imposent comme la sécurisation de leurs mots de passe par exemple. Pour se protéger efficacement contre la cybercriminalité, les organisations s’en remettent aux services d’un expert en sécurité informatique. Expert Line est l’une de ces sociétés spécialistes de la cybersécurité.

Expert-Line, le spécialiste de la sécurité informatique

Expert Line est un groupe d’experts dans les services informatiques et les nouvelles technologies. Les solutions proposées couvrent plusieurs champs.

Déjà, toute entreprise peut lui confier la gestion et l’administration de son infrastructure informatique. Il reviendra alors à Expert Line d’administrer le système, de le superviser et d’assurer les processus d’intégration, de déploiement et de migration. Expert Line peut également piloter les projets, fournir des conseils, auditer et mettre en place des systèmes de virtualisation ainsi que de sauvegarde.

Par ailleurs, Expert Line est spécialiste de l’infogérance : il garantit donc aux entreprises l’externalisation sécurisée de tout ou partie de la gestion et de l’exploitation de leur service informatique. Les services proposés sont :

• la gestion, l’exploitation et l’administration du service informatique ;
• la maintenance préventive et corrective ;
• l’assistance aux administrateurs et aux utilisateurs ;
• l’audit et le conseil ;
• la supervision et le contrôle ;
• le Help-Desk.

Expert Line est également investi dans le développement d’outils innovants tels que des programmes de gestion ainsi que des solutions de paiements en ligne. Toute la chaîne du développement est couverte : de la conception au déploiement en passant par la réalisation MOE/MOA, la recette, l’intégration et la tierce maintenance. La sécurisation des supports informatiques est un autre domaine de compétence d’Expert Line. Le groupe met à la disposition des entreprises et autres organisations, des solutions à la fois simples, complètes et surtout adéquates pour :

• gérer et réguler la sécurité ;
• protéger les infrastructures et les programmes informatiques ;
• gérer et sécuriser les identités ;
• gérer automatiquement les événements et incidents de sécurité.

Expert Line fournit et installe des pare-feux, antivirus, anti-spam et anti-intrusion. Expert Line élabore aussi des plans de continuité d’activité, des plans de sauvegarde. Il fait par ailleurs de l’audit sécurité, de l’analyse de vulnérabilité et est expert dans la virtualisation de serveur, le nomadisme et la mobilité.

Les experts certifiés d’Expert Line forment par ailleurs à l’informatique et aux nouvelles technologies. Plusieurs types de formations sont proposés. Et, dans le même temps, les formations peuvent se faire individuellement, en groupes restreints ou en groupes élargis. Enfin, Expert Line intervient dans le domaine du recrutement. Ses experts sont en mesure de dénicher pour toute entreprise, les meilleurs profils de candidats correspondant véritablement à ses besoins.

Les étapes à respecter pour assurer une cybersécurité de bonne facture en entreprise

Afin de mettre en place une cybersécurité de qualité dans votre entreprise, vous devez :

• sensibiliser les employés à l’importance de sécurité informatique : en effet, vous pourrez voir de nombreuses menaces s’éloigner si vos subordonnés et vous-même êtes en mesure de traiter les informations de façon sécurisée. Chacun doit donc être formé et savoir les bonnes pratiques à mettre en œuvre ;
• veiller à mettre à jour tous vos logiciels : ce faisant, vous protégerez l’entreprise contre les nouvelles menaces en ligne ;
• déterminer précisément les données essentielles de l’entreprise et les protéger ;
• veiller à ce que les appareils mobiles soient sécurisés. Un mot de passe ne sera par exemple pas de trop pour protéger votre ordinateur portable, votre smartphone, votre tablette ou encore votre clé USB ;
• choisir des mots de passe sûrs et les changer régulièrement. Vos employés doivent aussi être conscients que ces mots de passe ne doivent pas leur servir à des fins autres que professionnelles. Dans le cas particulier du télétravail, en plus d’un mot de passe, mettez en place un accès sur présentation de carte d’identité ;
• interdire à vos employés d’installer sur vos ordinateurs n’importe quel logiciel. Les droits d’accès aux ordinateurs ne doivent être donnés qu’à quelques spécialistes dans la gestion IT ;
• naviguer prudemment sur internet. Ainsi, ne transmettez pas de données bancaires par message électronique. Faites vos paiements sur des sites sécurisés. Et tenez-vous informé de la réputation des sites que vous consultez ;
• faire une sauvegarde régulière de vos données surtout vitales et les mettre en lieu sûr ;
• installer de bons logiciels antivirus, anti-intrusion et anti-spam et les maintenir à jour afin de vous protéger des programmes malveillants ; et,
• mettre en place un plan à suivre en cas d’attaque cybercriminelle. Vos employés doivent en être bien sûr tous informés. Et agissez diligemment lorsqu’un incident se produit.

La réaction à avoir par toute entreprise victime d’une attaque cybercriminelle

Le risque zéro n’existe pas, comme on dit. Donc, en dépit de toutes les précautions et protections prises, l’entreprise pourrait toujours subir une attaque cybercriminelle. Lorsque cela survient, la réaction immédiate doit être de porter plainte auprès des autorités judiciaires. Au sujet du dépôt de plainte, elle peut se faire de deux façons :

• en se rendant directement dans un commissariat de police ; ou,
• en adressant au procureur de la République, un courrier recommandé avec accusé de réception.

Dans le cas où, c’est le procureur qui est saisi, il instruira alors la police pour qu’elle lance une enquête. Et alors les auteurs de la fraude informatique une fois identifiés seront mis aux arrêts. L’entreprise pourra par la suite se constituer partie civile, lorsque l’affaire sera présentée devant le tribunal correctionnel.

Face à la cybercriminalité et aux menaces diverses et variées auxquelles doivent faire face les entreprises, la cybersécurité s’avère d’une importance majeure. Elle demande à ce que des mesures appropriées soient mises en place afin de se protéger et de garantir la survie de l’organisation. Les entreprises en sont de plus en plus conscientes, mais toutes n’ont malheureusement pas encore pris les bonnes décisions. Si vous faites partie de celles qui trainent les pieds, agissez dès maintenant. Autrement, vous courez droit devant de graves ennuis.