Sécurisation des données PME : les essentiels

Une réalité alarmante

Les PME sont souvent réticentes à implémenter des dispositifs de cybersécurité car elles s’estiment trop petites pour intéresser un hacker. Elles pensent n’avoir rien de sensible en leur sein et sous-estiment la valeur de leurs données. Or les hackers investissent selon le gain estimé : s’ils peuvent avoir un petit gain facilement, ils s’attaqueront à de petites proies. On ne parle jamais des petits vols alors qu’ils sont quotidiens. Les chiffres le confirment :

• Une PME suisse est la cible d’une cyberattaque en moyenne 355 fois par semaine
• 100% des PME font l’objet de tentatives de phishing
• ¼ des cyberattaques coûte plus de CHF 10’000.-
• 60% des PME victimes de piratage informatique font faillite dans les 6 mois

La question n’est donc pas « si » mais « quand » vous allez être attaqué. Malgré cela, très peu d’entreprises font des démarches pour identifier leurs cyber-risques et se protéger convenablement. Seulement 15% d’entre elles forment leurs collaborateurs aux bonnes pratiques de cybersécurité.

La pandémie n’a fait qu’aggraver la situation avec une démultiplication des cyberattaques (jusqu’à trois fois supérieur à l’avant-crise, selon le Centre national pour la cybersécurité – NCSC) qui mettent de nombreuses entreprises en péril.

Face à cette réalité alarmante, alp ict, l’OPI, Innovaud, platinn et Alliance se sont associés pour offrir un programme intercantonal de soutien aux entreprises sur le thème de la sécurisation des données. L’objectif est double :

• offrir une meilleure compréhension de la sécurisation des données et de ses enjeux sur le long terme pour les entreprises
• développer des solutions concrètes, pragmatiques et adaptées aux problématiques des entreprises, guidé par le savoir-faire et les compétences d’experts, avec une mise en application imaginée et implémentée en intelligence collective au sein des entreprises

Afin de répondre au premier objectif, deux événements « Industry Connect » ont été organisés par alp ict le 9 septembre chez BrainServe et le 29 octobre chez HPE Genève. Des partages d’expérience et d’expertise avec un total de 15 intervenants qui ont offert une vue 360° des différents aspects de la sécurisation des données (industriel, technologique, académique, gouvernemental et juridique) afin de trouver des solutions adaptées aux moyens organisationnels, financiers et humains des PME.

Les replay vidéos sont disponibles sur notre chaine Vimeo.

Nous vous partageons les points qui sont ressortis ci-dessous.

Se protéger est complexe. Par où commencer ?

La plupart des PME se sentent concernées par les cyber-risques, mais ne savent pas par où commencer. Quelle attitude adopter ? Quelles précautions prendre ? Comment s’assurer que les mesures élémentaires soient déjà en oeuvre ? Le 1er Industry Connect a permis d’identifier les bonnes questions à se poser.

1) Analyser les menaces

Tout d’abord, quels sont les risques ? Il faut identifier les dangers, trouver les vulnérabilités. Ils peuvent être aussi bien externes (hacker, panne d’internet) qu’internes (défaillance matérielle, inondation, incendie, collaborateur maladroit ou indélicat). Cette évaluation des risques doit être mise à jour régulièrement.

2) Evaluer les coûts en cas d’attaque

Ensuite, quelle est la valeur des biens et données qui seraient en danger ? Pour chiffrer la valeur de vos données, Cyber-Safe recommande de les catégoriser selon 3 critères appelés C.I.A. : Confidentialité, Intégrité, Accessibilité. La confidentialité : combien perdrez-vous si ces données sont divulguées au grand public ? L’intégrité : quel serait l’impact financier si ces données sont modifiées ? L’accessibilité : quel coût cela représente-t-il si ces données ne sont plus disponibles, temporairement ou définitivement ?

Profitez-en pour faire le tri et vous débarrasser des données qui ne sont pas nécessaires. Limiter le nombre de données fait aussi partie de la stratégie de sécurisation.

Une fois ce travail accompli, l’entreprise peut prioriser les données à protéger selon une matrice d’impact et mettre en place un plan de route. Il doit comprendre les éléments clés suivants :

3) Choisir les outils technologiques adaptés

La gamme des prix dans la sécurisation des données est extrêmement variable. Choisissez votre fournisseur en fonction de sa localisation, sa législation et les services qui vous conviennent. L’important est d’adapter votre protection à vos risques comme expliqué plus haut, afin de décourager les pirates à s’y attaquer. Rendez votre environnement le plus compliqué à atteindre.

Attention : même si vous avez vos données dans le Cloud, vous restez responsable de leur sécurité.

Assurez-vous aussi de bien connaitre vos outils et d’activer toutes les fonctionnalités de sécurité. Les ignorer est une erreur courante des entreprises selon Kudelski.

Parfois on se demande si c’est valable d’investir dans tous ces outils, notamment lorsque le sujet n’est pas quotidien. Mais on oublie les X tentatives d’attaques qui n’ont pas abouti justement grâce au système de sécurité. Pour qu’une sécurité soit bonne il faut qu’elle ne soit pas visible.

4) Mettre en place des mesures organisationnelles

Les outils sont indispensables, mais pas suffisants. Il est nécessaire d’organiser leur gestion. Cela passe à travers la formation des collaborateurs, l’autonomisation et la structuration (qui doit avoir accès à quoi).

5) Connaitre le contexte juridique

La LPD suisse (loi sur la protection des données) a été récemment révisée et il est désormais obligatoire d’annoncer toute attaque. Selon Philipp Fischer, partenaire fondateur du cabinet d’avocats Oberson Abels « Le risque principal n’est pas la sanction encourue mais nous avons un Préposé fédéral à la protection des données qui pourra noter votre entreprise et le risque réputationnel lié à cela est sans doute bien plus important ».

6) Prendre des mesures préventives

Tester, contrôler et mettre à jour les protections, vérifier les sauvegardes, réaliser des exercices de simulation de crise (plan d’urgence), s’informer des bonnes pratiques, s’adapter aux évolutions des menaces, former et sensibiliser continuellement les utilisateurs.

Retrouvez l’article de Bilan qui était présent à l’Industry Connect et nous livre son compte-rendu : Cybersécurité, les PME pas à l’abri.

L’humain, maillon faible de la cybersécurité

Ainsi, la sécurisation des données n’est pas que technique et elle englobe l’ensemble de l’organisation de l’entreprises : infrastructure, processus, gouvernance de données, compréhension des règles de sécurité.

Le 2e Industry Connect a confirmé l’importance du facteur humain au centre de ce sujet. Vous pouvez avoir mis en place les meilleurs outils et un système de protection irréprochable, si vos collaborateurs ne sont pas bien formés, ils seront la porte ouverte à de nombreuses failles. Preuve en est : 90% des cyberattaques sont dues à un mauvais clic. Peu de personnes réalisent que les cyberattaques sont quotidiennes et ne se sentent pas concernées.

L’une des premières précautions réside donc dans une formation adéquate aux enjeux et aux bonnes pratiques pour protéger les données de votre entreprise. Une formation efficace réduit drastiquement la probabilité d’une fuite de données : elle évite à 95% des utilisateurs de se faire hameçonner.

En effet, une fuite de données ne vient pas forcément d’une attaque, mais d’un processus, d’une mauvaise configuration ou d’une simple négligence. Une carte interactive répertorie les plus grandes fuites de données et piratages dans le monde au travers des années, à voir ici : https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/. On peut remarquer les quantités effrayantes de données qui ont été volées, parfois qui concernent des données très personnelles, et les raisons de l’incident qui sont majoritairement humaines.

Jérôme Chanton, CEO de la PME Kugler Bimetal, en a fait les frais en 2018. Malgré sa culture de la confidentialité avec une longue expérience bancaire, il s’est fait piégé par un site frauduleux de transfert bancaire et a perdu 100’000 euros en 1h15. Il a fait confiance à ce qu’il pensait être le Helpdesk UBS car ils connaissaient l’ensemble de ses informations. Il a ensuite été bien étonné de découvrir que l’attaque venait de la mafia israélienne. Comme il le dit lui-même « Cela n’arrive pas seulement aux banques mais aussi aux PME de 60 employés. Investir dans la sécurité IT ne suffit pas ». Suite à cette difficile expérience, il a accéléré les formations de cybersécurité avec des rappels réguliers à ses équipes et des exemples de nouvelles attaques. Il a remarqué que répéter est crucial, il privilégie donc les formations courtes mais fréquentes.

Les équipes doivent être formées, non seulement pour diminuer les risques, mais aussi pour savoir détecter les failles quand elles ont lieu. Yann Allandit, Senior Solution Architect chez HPE, nous a rappelé que la durée moyenne de présence des cyber criminels avant détection est de 78 jours, ce qui est très long. La stratégie des pirates est de se faire oublier, obtenir un maximum de droits, et se déployer dans plusieurs serveurs, au plus profond des systèmes en se cachant dans les firmwares par exemple. Les cyberattaques deviennent plus sophistiquées et le temps de résolution s’est multiplié par 4 en 10 ans. Il est donc essentiel d’avoir une stratégie de détection et d’action en cas d’attaque dans les systèmes informatiques.

Bonnes pratiques de la cybersécurité en infographies

Pour vous aider à sensibiliser vos collaborateurs sur la sécurisation des données de votre entreprise, alp ict a créé des infographies pédagogiques illustrant les bonnes pratiques et fondamentaux de la cybersécurité, développées avec des experts suisses.

Cliquez pour les télécharger :

• Les 4 fondamentaux de la cyberprotection, en collaboration avec ZENData : mettre à jour ses logiciels, réfléchir à ses mots de passe, choisir ses outils de protection, rester vigilant.
• Evaluer la valeur de vos données pour mieux les protéger, en collaboration avec Cyber-Safe : identifier les différents types de données, estimer leur valeur, chiffrer les risques, sauvegarder ses données, former ses collaborateurs, définir une stratégie proactive.
• La sécurisation des données dans le cloud, en collaboration avec Siodb : choisir son fournisseur, encrypter toutes ses données, favoriser la simplicité technologique.

Développer et implémenter des solutions en intelligence collective

Afin de répondre au 2e objectif de notre programme et vous aider à mettre en place des solutions concrètes adaptées à vos besoins, nous proposons un Groupe de Travail Collaboratif destiné aux PME. Au travers d’ateliers, les entreprises seront accompagnées en intelligence collective par des apporteurs de solution, des experts industriels et académiques.

Les ateliers débuteront en 2021. Le nombre de participants étant limité, merci de nous faire connaitre votre intérêt dès maintenant en écrivant à : delphine.seitiee@platinn.ch