{"id":20086,"date":"2023-02-08T13:26:32","date_gmt":"2023-02-08T11:26:32","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20086"},"modified":"2023-02-23T10:16:08","modified_gmt":"2023-02-23T08:16:08","slug":"5-cybersecurity-lessons-ceo","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/5-cybersecurity-lessons-ceo\/20086\/","title":{"rendered":"Cinq conseils de cybers\u00e9curit\u00e9 pour votre DG"},"content":{"rendered":"

La s\u00e9curit\u00e9 informatique est pour le moins stressante entre la recherche permanente de potentiels incidents, ou encore les heures de travail chroniquement longues, sans oublier les batailles sans fin avec les autres d\u00e9partements qui consid\u00e8rent que la cybers\u00e9curit\u00e9 est un inconv\u00e9nient superflu. Dans le meilleur des cas, ils essaient de ne pas y penser mais, dans le pire des cas, ils font tout leur possible pour \u00e9viter tout ce qui a trait \u00e0 la cybers\u00e9curit\u00e9. Logiquement, 62 % des cadres dirigeants<\/a> interrog\u00e9s par Kaspersky ont reconnu que les malentendus entre les entreprises et les services de s\u00e9curit\u00e9 informatique ont donn\u00e9 lieu \u00e0 de graves incidents informatiques. Pour modifier leur comportement envers la s\u00e9curit\u00e9 des informations au sein d\u2019une entreprise, il est crucial d\u2019avoir un soutien au plus haut niveau, autrement dit d\u2019avoir le soutien du conseil d\u2019administration. Dans une telle situation, que pouvez-vous dire \u00e0 votre PDG ou pr\u00e9sident quand celui-ci est toujours occup\u00e9 et rarement d\u2019humeur \u00e0 parler de la s\u00e9curit\u00e9 de l\u2019information\u00a0? Voici cinq conseils simples et faciles \u00e0 assimiler que vous pouvez r\u00e9p\u00e9ter lors de chaque r\u00e9union jusqu\u2019\u00e0 ce que la direction re\u00e7oive le message.<\/p>\n

Formez votre \u00e9quipe en cybers\u00e9curit\u00e9, et commencez par les cadres dirigeants<\/h2>\n

Il faut faire confiance \u00e0 son professeur lorsqu\u2019on suit une formation, et ce peut \u00eatre difficile s\u2019il s\u2019av\u00e8re que l\u2019\u00e9l\u00e8ve est le PDG. Il vous sera plus facile de gagner en cr\u00e9dibilit\u00e9 et d\u2019\u00e9tablir une relation interpersonnelle si vous abordez d\u2019abord la cybers\u00e9curit\u00e9 personnelle de la direction et sans suivre une strat\u00e9gie sp\u00e9cifique. Leur s\u00e9curit\u00e9 affecte directement celle de l\u2019entreprise, puisque les donn\u00e9es personnelles et les mots de passe du PDG sont souvent pris pour cibles par les cybercriminels.<\/p>\n

Prenons, par exemple, le scandale qui a \u00e9clat\u00e9 fin 2022 aux \u00c9tats-Unis lorsque des cybercriminels ont eu acc\u00e8s au r\u00e9seau social VIP Infragard<\/a>, notamment utilis\u00e9 par le FBI pour communiquer secr\u00e8tement les menaces informatiques les plus graves aux PDG des grandes entreprises. Les pirates ont vol\u00e9 une base de donn\u00e9es qui contenait les adresses e-mail et les num\u00e9ros de t\u00e9l\u00e9phone de plus de 80 000 membres et l\u2019ont vendue pour 50 000 dollars. Gr\u00e2ce \u00e0 ces coordonn\u00e9es, les personnes qui avaient pay\u00e9 pouvaient gagner la confiance du PDG ou s\u2019en servir pour lancer des attaques BEC<\/a>.<\/p>\n

Compte tenu de ce qui pr\u00e9c\u00e8de, le conseil d\u2019administration doit utiliser une authentification \u00e0 deux facteurs<\/a> avec un dispositif USB ou NFC sur tous les dispositifs, choisir des mots de passe longs et uniques pour tous les comptes professionnels, prot\u00e9ger tous les dispositifs personnels et professionnels en installant les logiciels appropri\u00e9s et s\u00e9parer la vie num\u00e9rique personnelle et professionnelle. Dans l\u2019ensemble, ce sont les conseils que n\u2019importe quel utilisateur doit suivre, mais dans ce cas il faut aussi conna\u00eetre le co\u00fbt qu\u2019aurait une \u00e9ventuelle erreur. De m\u00eame, il est important de v\u00e9rifier plusieurs fois les e-mails douteux et les pi\u00e8ces jointes. Certains responsables auront peut-\u00eatre besoin de l\u2019aide d\u2019un expert en s\u00e9curit\u00e9 de l\u2019information pour traiter les liens ou les fichiers particuli\u00e8rement suspects.<\/p>\n

Une fois que l\u2019\u00e9quipe de direction ma\u00eetrise les r\u00e8gles de base en s\u00e9curit\u00e9, vous pouvez doucement la guider vers une d\u00e9cision strat\u00e9gique\u00a0: formez r\u00e9guli\u00e8rement tous les employ\u00e9s de l\u2019entreprise en s\u00e9curit\u00e9 de l\u2019information. Les employ\u00e9s doivent avoir des connaissances diff\u00e9rentes suivant leur poste. Tout le monde, y compris les employ\u00e9s de premi\u00e8re ligne, doit assimiler les r\u00e8gles d\u2019hygi\u00e8ne num\u00e9rique susmentionn\u00e9es et suivre les conseils donn\u00e9s lorsqu\u2019il s\u2019agit de g\u00e9rer une situation suspecte ou inhabituelle. Les responsables, notamment ceux qui travaillent dans l\u2019informatique, pourront mieux comprendre comment la s\u00e9curit\u00e9 s\u2019int\u00e8gre dans le d\u00e9veloppement de produits et dans le cycle de vie de leur utilisation, quelles politiques de s\u00e9curit\u00e9 ils doivent adopter dans leurs services et comment tout cela peut affecter les performances de l\u2019entreprise. \u00c0 l\u2019inverse, les employ\u00e9s de la s\u00e9curit\u00e9 de l\u2019information devront \u00e9tudier les processus op\u00e9rationnels adopt\u00e9s par l\u2019entreprise afin de mieux comprendre comment ils peuvent facilement mettre en place les mesures de s\u00e9curit\u00e9 n\u00e9cessaires.<\/p>\n

Incluez la cybers\u00e9curit\u00e9 dans la strat\u00e9gie et les processus de votre entreprise<\/h2>\n

L\u2019\u00e9conomie se num\u00e9rise, le paysage des cybermenaces se complexifie et la r\u00e8glementation s\u2019intensifie. D\u2019ailleurs, la gestion de risques informatiques devient une t\u00e2che \u00e0 part enti\u00e8re pour le conseil d\u2019administration. Plusieurs aspects technologiques, humains, financiers, juridiques et organisationnels en d\u00e9coulent, et les responsables de ces domaines doivent s\u2019impliquer afin de s\u2019adapter \u00e0 la strat\u00e9gie et aux processus de l\u2019entreprise.<\/p>\n

Comment r\u00e9duire les risques lorsqu\u2019un fournisseur ou un sous-traitant est pirat\u00e9 et que votre entreprise pourrait devenir une cible secondaire\u00a0? Quelles lois dans votre secteur s\u2019appliquent quant au stockage et au transfert de donn\u00e9es sensibles telles que les informations personnelles des clients\u00a0? Quel serait l\u2019impact d\u2019une attaque de ransomware qui bloque et efface tous les ordinateurs sur vos op\u00e9rations\u00a0? Combien de temps il vous faudrait pour r\u00e9cup\u00e9rer les sauvegardes\u00a0? Pourrez-vous \u00e9valuer financi\u00e8rement les pr\u00e9judices port\u00e9s en termes de r\u00e9putation \u00e0 votre entreprise lorsque vos associ\u00e9s et le grand public apprendront que vous avez \u00e9t\u00e9 victime d\u2019une attaque\u00a0? Quelles mesures de s\u00e9curit\u00e9 suppl\u00e9mentaires pouvez-vous adopter pour prot\u00e9ger les employ\u00e9s qui sont en t\u00e9l\u00e9travail\u00a0? Ce sont certaines des questions que les services en s\u00e9curit\u00e9 de l\u2019information et les experts d\u2019autres d\u00e9partements doivent poser, tout en ayant des mesures organisationnelles et techniques.<\/p>\n

Il convient de rappeler \u00e0 la direction que \u00a0\u00bb\u00a0l\u2019achat de tel ou tel syst\u00e8me de protection\u00a0\u00a0\u00bb ne vas pas miraculeusement r\u00e9soudre tous ces probl\u00e8mes puisque, selon plusieurs de nos estimations, entre 46 %<\/a> et 77 %<\/a> de tous les incidents sont li\u00e9s au facteur humain\u00a0: le non-respect des lois, des personnes malveillantes en interne ou encore le manque de transparence informatique de la part des sous-traitants.<\/p>\n

Malgr\u00e9 \u00e7a, les probl\u00e8mes en s\u00e9curit\u00e9 de l\u2019information vont toujours tourner autour du budget.<\/p>\n

Investissez de mani\u00e8re appropri\u00e9e<\/h2>\n

L\u2019argent manque lorsqu\u2019il s\u2019agit de la s\u00e9curit\u00e9 de l\u2019information alors que le nombre de probl\u00e8mes \u00e0 r\u00e9soudre dans ce domaine semble infini. Il est important d\u2019\u00e9tablir des priorit\u00e9s selon les exigences du secteur et selon les menaces les plus pertinentes pour votre entreprise et qui pourraient causer le plus de d\u00e9g\u00e2ts. Cela est virtuellement possible dans tous les domaines, de la correction d\u2019une vuln\u00e9rabilit\u00e9 \u00e0 la formation du personnel. Aucun service ne peut \u00eatre d\u00e9laiss\u00e9 et chacun aura ses propres priorit\u00e9s et son ordre de pr\u00e9s\u00e9ance. \u00c0 partir du budget allou\u00e9, vous devez \u00e9liminer les risques cl\u00e9s puis passer \u00e0 ceux qui sont moins probables. Il vous sera presque impossible de classer vous-m\u00eame les probabilit\u00e9s de risques et vous aurez besoin d\u2019analyser les rapports relatifs au paysage des menaces<\/a> de votre secteur et les vecteurs d\u2019attaque habituels.<\/p>\n

\u00c9videmment, les choses deviennent vraiment int\u00e9ressantes lorsque le budget doit \u00eatre augment\u00e9. L\u2019approche la plus mature du budget repose sur les risques et le co\u00fbt respectif de son actualisation et de sa minimisation, mais c\u2019est aussi celle qui demande le plus de travail. Les exemples r\u00e9els, dans l\u2019id\u00e9al \u00e0 partir de l\u2019exp\u00e9rience de la concurrence, jouent un r\u00f4le de soutien important dans les conseils d\u2019administration. Cela \u00e9tant dit, ils ne sont pas faciles \u00e0 trouver. C\u2019est pourquoi il est habituel d\u2019avoir recours \u00e0 divers outils qui indiquent le budget moyen que les entreprises du m\u00eame secteur et du m\u00eame pays ont<\/a>.<\/p>\n

Envisagez tous les types de risques<\/h2>\n

Les conversations sur la s\u00e9curit\u00e9 de l\u2019information se concentrent g\u00e9n\u00e9ralement sur les cybercriminels et sur les solutions de s\u00e9curit\u00e9 qui permettent de lutter contre eux. Pourtant, de nombreuses entreprises rencontrent d\u2019autres risques qui appartiennent aussi \u00e0 la s\u00e9curit\u00e9 de l\u2019op\u00e9ration lors de leurs op\u00e9rations quotidiennes.<\/p>\n

Il est \u00e9vident qu\u2019un des risques les plus importants ces derni\u00e8res ann\u00e9es est le non-respect des lois relatives au stockage et \u00e0 l\u2019utilisation des donn\u00e9es personnelles\u00a0: RGPD, CCPA, etc. Les pratiques actuelles des forces de l\u2019ordre montrent qu\u2019il n\u2019est pas envisageable de les ignorer\u00a0: t\u00f4t ou tard les r\u00e9gulateurs infligeront des amendes et dans de nombreux cas, surtout en Europe, nous parlons de sommes cons\u00e9quentes. Une perspective encore plus inqui\u00e9tante pour les entreprises serait celle d\u2019amendes qui d\u00e9pendent du chiffre d\u2019affaires en cas de fuite ou de mauvaise gestion des donn\u00e9es personnelles. Dans ce cas, il serait n\u00e9cessaire d\u2019effectuer un audit complet des syst\u00e8mes d\u2019information et des processus afin de corriger une par une toutes les infractions.<\/p>\n

Plusieurs secteurs ont \u00e9tabli d\u2019autres crit\u00e8res encore plus stricts, comme c\u2019est notamment le cas des finances, des t\u00e9l\u00e9communications, de la m\u00e9decine ou encore d\u2019op\u00e9rateurs d\u2019infrastructures critiques. Cette t\u00e2che doit \u00eatre r\u00e9guli\u00e8rement supervis\u00e9e par les responsables de ces domaines afin d\u2019am\u00e9liorer le respect des lois.<\/p>\n

R\u00e9agissez correctement<\/h2>\n

Malheureusement, malgr\u00e9 tous les efforts, les incidents sont pratiquement in\u00e9vitables en cybers\u00e9curit\u00e9. Si une attaque est suffisamment importante pour attirer l\u2019attention de la direction, cela signifie s\u00fbrement que les op\u00e9rations ont \u00e9t\u00e9 perturb\u00e9es ou que les donn\u00e9es divulgu\u00e9es sont pr\u00e9cieuses. Les unit\u00e9s op\u00e9rationnelles et les experts en s\u00e9curit\u00e9 de l\u2019information doivent \u00eatre pr\u00eats \u00e0 r\u00e9agir et, dans l\u2019id\u00e9al, ils devraient savoir quoi faire gr\u00e2ce aux exercices. La moindre des choses est que le conseil d\u2019administration connaisse et suive les proc\u00e9dures de r\u00e9ponse afin de ne pas r\u00e9duire les chances de r\u00e9ussite. Le PDG doit suivre trois \u00e9tapes cruciales\u00a0:<\/p>\n

    \n
  1. Communiquez imm\u00e9diatement l\u2019incident aux parties impliqu\u00e9es. Selon le contexte, ce sont les services financiers et juridiques, les assurances, les r\u00e9gulateurs du secteur, les r\u00e9gulateurs de la protection des donn\u00e9es, les forces de l\u2019ordre et les clients concern\u00e9s. Dans de nombreux cas, une loi \u00e9tablit le temps qui peut s\u2019\u00e9couler entre l\u2019incident et l\u2019envoi de la notification mais, si ce n\u2019est pas le cas, ce laps de temps doit \u00eatre indiqu\u00e9 dans le r\u00e8glement int\u00e9rieur. Logiquement, la notification doit \u00eatre rapide mais instructive. Ainsi, avant d\u2019envoyer la notification, il faut obtenir des renseignements sur la nature de l\u2019incident, faire une premi\u00e8re \u00e9valuation de l\u2019ampleur de l\u2019attaque et indiquer quelles sont les premi\u00e8res mesures \u00e0 adopter.<\/li>\n
  2. Enqu\u00eatez sur l\u2019incident. Il faut prendre plusieurs mesures pour \u00e9valuer correctement l\u2019ampleur et les cons\u00e9quences de l\u2019attaque. En plus des mesures purement techniques, il est important de demander aux employ\u00e9s, par exemple. Au cours de l\u2019enqu\u00eate, il est crucial de ne pas d\u00e9truire les preuves num\u00e9riques de l\u2019attaque ou tout autre objet. Dans de nombreux cas, il convient de faire appel \u00e0 des experts externes<\/a> pour enqu\u00eater sur l\u2019incident et le r\u00e9soudre.<\/li>\n
  3. \u00c9laborez un planning de communication. Les entreprises commettent souvent la m\u00eame erreur\u00a0: essayer de cacher l\u2019incident ou le minimiser. La v\u00e9ritable ampleur du probl\u00e8me appara\u00eet t\u00f4t ou tard, et finalement prolonge ou amplifie les d\u00e9g\u00e2ts, qu\u2019ils soient \u00e9conomiques ou li\u00e9s \u00e0 la r\u00e9putation. Ainsi, les communications externes et internes doivent \u00eatre r\u00e9guli\u00e8res et syst\u00e9matiques<\/a> afin de fournir des informations coh\u00e9rentes et pratiques aux clients et aux employ\u00e9s. Ils doivent savoir exactement quelles sont les prochaines actions et \u00e0 quoi s\u2019attendre \u00e0 l\u2019avenir. Il serait int\u00e9ressant de centraliser les communications, c\u2019est-\u00e0-dire d\u2019avoir un porte-parole interne et externe, et d\u2019interdire \u00e0 toute autre personne d\u2019assumer ce r\u00f4le.<\/li>\n<\/ol>\n

    Communiquer les incidents de s\u00e9curit\u00e9 de l\u2019information au conseil d\u2019administration peut prendre beaucoup de temps et n\u2019est pas toujours gratifiant. C\u2019est pourquoi il est peu probable que ces cinq messages soient transmis et pris \u00e0 c\u0153ur en une ou deux r\u00e9unions. Les interactions entre les entreprises et les \u00e9quipes de s\u00e9curit\u00e9 de l\u2019information sont un processus continu qui exigent que les deux parties fassent un effort afin qu\u2019elles puissent mieux se comprendre. Ce n\u2019est qu\u2019avec une approche syst\u00e9matique et progressive, r\u00e9guli\u00e8rement men\u00e9e et qui implique presque tous les dirigeants, que l\u2019entreprise peut prendre le dessus sur la concurrence lorsqu\u2019il s\u2019agit de naviguer dans le cyberespace actuel.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Les mesures en s\u00e9curit\u00e9 informatique sont beaucoup plus efficaces lorsque les cadres dirigeants les soutiennent. Comment y arriver ? <\/p>\n","protected":false},"author":2722,"featured_media":20087,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[1983,3031,90,4029,124,353,914],"class_list":{"0":"post-20086","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-business","10":"tag-formation","11":"tag-hameconnage","12":"tag-incidents","13":"tag-piratage","14":"tag-ransomware","15":"tag-risques"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/5-cybersecurity-lessons-ceo\/20086\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/5-cybersecurity-lessons-ceo\/25132\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/20627\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/27759\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/5-cybersecurity-lessons-ceo\/25465\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/25847\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/5-cybersecurity-lessons-ceo\/28364\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/5-cybersecurity-lessons-ceo\/34613\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/47030\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/5-cybersecurity-lessons-ceo\/20717\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/5-cybersecurity-lessons-ceo\/29720\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/5-cybersecurity-lessons-ceo\/33197\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/5-cybersecurity-lessons-ceo\/25825\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/5-cybersecurity-lessons-ceo\/31504\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/5-cybersecurity-lessons-ceo\/31218\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/business\/","name":"business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20086","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20086"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20086\/revisions"}],"predecessor-version":[{"id":20188,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20086\/revisions\/20188"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20087"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}