Essentielle à toute entreprise, la stratégie de cybersécurité permet de se protéger et de savoir comment réagir en cas de cyberattaque. Malheureusement, de nombreuses entreprises suivent encore des stratégies de cybersécurité obsolètes. Elles ne sont alors que partiellement protégées et ne sont pas en mesure de réagir rapidement. Voici quelques signes révélateurs qui suggèrent qu’il est temps de mettre à jour vos plans en matière de cybersécurité.

Votre stratégie n’est pas conforme à la législation en vigueur

Le domaine de la cybersécurité est en constante évolution. Elle s’explique en partie par le fait que les cybercriminels renouvellent régulièrement leurs méthodes d’attaque, repoussant les limites du possible et commettant des attaques de plus en plus vastes et dévastatrices.

Ces changements sont également dus au fait que les nombreuses activités commerciales et responsabilités individuelles dépendent de plus en plus d’Internet. Par ailleurs, les cybercriminels savent qu’ils peuvent orchestrer des attaques spécifiques susceptibles de paralyser les activités d’une entreprise pendant des semaines.

Face à tous ces défis, les pays européens travaillent ensemble sur une nouvelle législation en matière de cybersécurité. La directive NIS 2, actuellement en vigueur, met à jour les règles introduites pour la première fois dans l’Union européenne (UE) en 2016.

La directive NIS 2 prévoit notamment la création d’un groupe chargé de faciliter la diffusion des informations à travers tous les États membres, de promouvoir une culture de la sécurité dans les secteurs essentiels sur le plan social et économique et de veiller à ce que tous les États membres soient suffisamment équipés pour faire face aux cyberattaques.

La directive impose également à certains secteurs, notamment à ceux de l’énergie, des infrastructures numériques et de la santé, de mettre en œuvre des mesures spécifiques de gestion des risques et de respecter les obligations de déclaration pour alerter les parties concernées en cas de cyberattaque. Que votre entreprise opère ou non dans un secteur critique devant respecter des mesures strictes de cybersécurité, le moment est venu de vous familiariser avec NIS 2.

Parallèlement, il est essentiel d’étudier les modalités de la législation en matière de cybersécurité en vigueur dans d’autres pays, comme les États-Unis. Si votre entreprise a des clients dans des pays étrangers, vous pourrez être amené à répondre à des exigences spécifiques liées à des réglementations nationales ou d’État, notamment en ce qui concerne les pratiques de traitement des données.

En suivant une stratégie de cybersécurité non conforme aux exigences de la législation en vigueur, vous exposez votre entreprise à des amendes et à une atteinte à sa réputation. Il est donc préférable de prendre les mesures nécessaires dès maintenant, avant que ne surviennent des incidents menaçant votre entreprise.

Votre stratégie ne protège pas votre entreprise contre les menaces les plus récentes

Comme mentionné brièvement ci-dessus, les cybercriminels orchestrent régulièrement de nouvelles attaques, d’autant plus que les experts en sécurité informatique protègent de mieux en mieux les infrastructures Internet. Par exemple, lors d’une attaque de « malvertising », une pratique relativement récente, les cybercriminels intègrent des logiciels malveillants dans les publicités sur Internet. Les personnes qui reçoivent ces publicités risquent d’installer accidentellement des logiciels malveillants en tombant par hasard sur le contenu publicitaire. Dans d’autres cas, il faut cliquer sur l’annonce pour installer le virus.

Il est également crucial, dans l’élaboration des stratégies de cybersécurité, de comprendre que certaines technologies facilitant l’utilisation d’Internet peuvent également accentuer les cybermenaces. Prenons l’exemple de Gartner, qui prévoit que 70 % des entreprises disposeront de capacités administratives fondées sur le cloud d’ici à la fin de l’année 2022. Le cloud computing a considérablement progressé, mais son usage intensif en fait une cible pour davantage de cybercriminels.

Le « Global Threat Report 2023 » de CrowdStrike fait état d’une augmentation de 95 % des cas d’exploitation du cloud et indique que le nombre de cyberattaques liées au cloud a triplé d’une année à l’autre. Votre entreprise utilise aujourd’hui très certainement des technologies cloud, mais votre stratégie de cybersécurité en permet-elle l’usage en toute sécurité ? Si ce n’est pas le cas, il est temps de la mettre à jour. Sinon, votre cloud sera une cible facile pour les pirates informatiques, augmentant ainsi le risque qu’ils accèdent aux données sensibles de l’entreprise.

Si votre stratégie de cybersécurité repose en grande partie sur des mots de passe traditionnels, il est temps de l’actualiser. Nombreux sont ceux qui ne respectent pas les règles de sécurité de mot de passe, compromettant ainsi leurs informations d’identification. C’est sans doute pour cette raison que les données de Forrester pour 2022 indiquent que plus de 66 % des entreprises européennes ont commencé à développer un processus zero trust. Ce modèle supprime le principe de confiance implicite et assure la validité continue des droits d’accès d’une personne au fur et à mesure qu’elle navigue au sein de l’infrastructure de l’entreprise.

Les changements dont il est question dans cette section montrent l’importance de considérer toute stratégie de sécurité comme un document « vivant ». C’est la meilleure approche à adopter pour que son contenu reste pertinent.

Votre stratégie ne tient pas compte des risques liés à la répartition des effectifs

Les statistiques de l’UE révèlent que de plus en plus de professionnels souhaitent pouvoir travailler à distance, au moins une partie du temps. Ces résultats rejoignent ceux d’études qui indiquent que de nombreux employés apprécient le travail à distance et sont plus enclins à rester dans les entreprises qui le permettent.

Ces modes de travail n’étaient que très peu répandus avant la pandémie de covid-19. Mais lors la crise sanitaire, le travail à distance s’est avéré une option viable pour de nombreuses personnes, et certains se sont alors demandé pourquoi il était nécessaire de retourner au bureau. De nombreux professionnels peuvent en effet mener à bien leurs activités depuis leur domicile. Si certains ne disposent pas d’un environnement approprié pour travailler à domicile ou si cette possibilité ne leur convient tout simplement pas, d’autres s’en sortent très bien. Toutefois, plus les lieux de travail sont nombreux, plus l’on s’expose aux risques de cyberattaques.

Une étude réalisée en 2022 auprès de professionnels de l’informatique révèle que huit personnes interrogées sur dix estiment qu’il existe des preuves concluantes démontrant que le travail à distance introduit de nouveaux risques en matière de cybersécurité. Par ailleurs, trois personnes sur quatre déclarent que leurs employés utilisent des appareils personnels pour accéder aux informations critiques de l’entreprise.

Ces résultats renforcent la nécessité de mettre à jour votre stratégie de cybersécurité si elle ne fait pas cas des risques liés au travail à distance et n’inclut pas de mesures visant à réduire ces menaces. Par exemple, il serait bon d’envisager une politique obligeant tous les employés à demander à l’équipe informatique de vérifier la fiabilité de leur configuration de travail à distance avant qu’ils ne commencent à se connecter depuis chez eux.

Parallèlement, il est conseillé à l’entreprise de transmettre régulièrement des rappels de sécurité aux collaborateurs qui travaillent à distance. Certains sont plus susceptibles d’oublier les bonnes pratiques en matière de cybersécurité lorsqu’ils télétravaillent. En envoyant régulièrement des rappels auxquels ils peuvent se référer rapidement, le risque de commettre des erreurs exposant leur employeur à la menace de cyberattaques est réduit.

Renouvelez souvent votre stratégie de cybersécurité

Cette synthèse met en évidence le fait que votre stratégie de cybersécurité peut devenir obsolète plus rapidement que vous ne l’auriez pensé. Son contenu n’est pas pour autant inutile, mais le meilleur moyen de la rendre plus efficace est de prévoir des contrôles fréquents. Votre équipe informatique peut supprimer les éléments qui ne sont plus valables et mettre à jour le reste de la documentation pour refléter les tendances, les défis et les pratiques internes actuels.

Il est également conseillé de revoir cette stratégie quand l’entreprise subit un changement majeur, comme la création d’un nouveau département, une fusion ou une acquisition, ou l’embauche de plusieurs nouveaux collaborateurs. Ces événements peuvent être source de pressions pour l’entreprise et justifier une modification de la politique de cybersécurité.

L’essentiel est de ne jamais considérer votre stratégie de cybersécurité comme un outil fixe auquel vous n’apporterez que des modifications mineures par la suite. En la tenant à jour, vous protégez votre entreprise dans un contexte où de nombreuses sociétés sont confrontées à des défis de plus en plus complexes en matière de cybersécurité.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.