Dès que des pirates informatiques s’emparent de données sensibles pour la protection de la vie privée dans votre entreprise, les conséquences vous incombent, y compris sur le plan juridique. Pourtant, la cybersécurité au sein des entreprises n’est pas aussi évidente qu’une bonne serrure sur la porte d’entrée. Pourtant, ce sujet mérite tout autant d’attention.
Qui nous attrape, pourquoi devrions-nous intéresser les pirates informatiques ? L’idée qu’il y a toujours de plus gros poissons qui nagent ailleurs est souvent à l’origine de la paresse des petites entreprises. Mais ne vous y trompez pas : même le plus petit fichier contenant des données personnelles vaut la peine d’être pénétré par les pirates. Et les entreprises qui déroulent le tapis rouge aux acteurs malveillants en plaçant la cybersécurité au bas de la liste des priorités courent autant de risques que les gros poissons qui s’emparent d’une mine d’or de données.
Une bonne politique de sécurité passe par la sensibilisation
Edward van Egmond est Senior Manager IT Audit chez Noordbeek et aide les entreprises à détecter les vulnérabilités en matière de sécurité en ligne. Il réalise notamment des audits PCI et 3DS sur les transactions de paiement en ligne et est « auditeur informatique agréé » pour les missions d’assurance. Dans la pratique, il constate régulièrement les effets d’une bonne politique de cybersécurité, mais aussi les conséquences d’une absence plus ou moins importante de cette politique. « Il m’arrive souvent de constater que quelqu’un s’est procuré un nouveau modem et a conservé le nom d’utilisateur et le mot de passe sur ‘admin-admin' », explique M. van Egmond. « Une bonne politique de cybersécurité est une question de sensibilisation, tant au niveau de l’entreprise qu’au niveau individuel.
La sensibilisation à la sécurité est le point de départ de la prévention
La prévention commence donc par la sensibilisation, poursuit M. Van Egmond. « Par exemple, il est extrêmement important d’organiser régulièrement des formations de sensibilisation pour les employés. Il ne s’agit pas de la routine habituelle de la porte ouverte une fois par an, mais d’un matériel innovant répété régulièrement de manière stimulante. Par exemple, convenez que la cybersécurité sera abordée une fois toutes les quatre semaines lors d’une réunion de travail. Vous pouvez alterner les personnes qui font une brève présentation sur un sous-thème au cours de cette réunion, afin qu’elles puissent aborder leur propre sujet de prédilection. En gardant le sujet d’actualité, vous vous assurez qu’il ne passe pas à l’arrière-plan. Les risques se situent vraiment dans un petit coin : la plupart des gens utilisent la même adresse électronique et le même mot de passe sur de nombreux sites. Par conséquent, les conséquences deviennent rapidement importantes. S’ils saisissent leurs données sur des sites web non fiables, les pirates de ces sites peuvent « voler » le mot de passe à l’aide d’un simple script. Cela leur permet d’accéder à de nombreux autres sites web.
Une bonne politique d’information fait souvent défaut
Selon M. Van Egmond, une cybersécurité décente repose sur une bonne politique de l’information. La politique d’information est la vision qu’a une organisation d’une sécurité forte, afin de réduire les risques d’accès non autorisé, entre autres. Pourtant, dans la pratique, il constate encore souvent que c’est précisément ce qui fait défaut. « Je vois souvent des boutiques en ligne qui ont été piratées procéder ensuite à une analyse rapide de la sécurité de leur site web, comme PCI. Il s’avère alors qu’ils ont évalué et résolu les vulnérabilités trouvées comme ils l’entendaient, mais qu’ils ne les ont pas traduites en politique d’information. Ils pensent alors que tout va bien, mais découvrent plus tard que la sécurité n’est pas à la hauteur. Une politique d’information correcte est donc très importante. Si les employés ne savent pas quelles procédures ils doivent suivre, comment les sensibiliser ? »
Définir de bonnes politiques et agir en conséquence
La devise est donc la suivante : élaborer de bonnes politiques et agir en conséquence. Des formations de sensibilisation peuvent ensuite garantir que la politique est réellement appliquée et que les employés restent conscients de son importance. Mais en tant qu’entreprise, comment savoir si la politique est toujours adéquate et si les mesures prises sont toujours suffisantes ? « Les analyses préventives de la sécurité des sites web sont très utiles à cet égard », estime M. Van Egmond.
Les scanners préventifs permettent de garder un œil sur les choses.
« En analysant périodiquement votre site web, vos applications web et vos serveurs web à la recherche de faiblesses et de vulnérabilités en matière de sécurité, vous vous assurez qu’un œil supplémentaire est gardé sur les choses. Une fois que vous pensez avoir mis de l’ordre dans votre sécurité, c’est très bien : un scan vérifie chaque semaine si c’est toujours le cas. À chaque changement technique et/ou mise à jour, le contrôle hebdomadaire vérifie si tout est encore en ordre ou si des ajustements sont nécessaires.
Les scans préventifs ne sont ni plus ni moins qu’une action de maintenance de votre politique de cybersécurité. C’est votre responsabilité, pas celle du constructeur du site web. Pensez-y comme à un contrôle technique : c’est vous qui en êtes responsable, pas le fabricant de la voiture. Un scan est un petit effort qui a un grand effet.
Vous voulez découvrir le fonctionnement d’une analyse de sécurité et vérifier les aspects fondamentaux de la sécurité de votre site web ?