- Accueil
- Cybersécurité
- Cybersécurité en entreprise : le guide complet 2024
En 2024, la cybersécurité s’affirme plus que jamais comme un enjeu majeur pour les entreprises. Digitalisation, généralisation du télétravail, essor des objets connectés… Les nouveaux usages numériques se sont multipliés au même rythme que les risques cyber qui y sont associés. Alors, quelles mesures prendre pour protéger efficacement son organisation à l’heure où les cyberattaques sont aussi changeantes que sophistiquées ? Entre état des lieux de la menace cyber, bonnes pratiques à adopter, et outils de pointe pour se protéger, découvrez notre guide complet sur la cybersécurité en entreprise en 2024.
Pourquoi la cybersécurité est un enjeu majeur pour les entreprises ?
La cybersécurité peut se définir comme un ensemble de mesures et de techniques faisant office de remparts pour protéger l'intégrité, la confidentialité et la disponibilité des données informatiques.
En 2024, la cybersécurité en entreprise s’affirme plus que jamais comme un enjeu majeur. Avec la transformation numérique, la digitalisation massive et l’essor du télétravail (l’impact du télétravail sur les données des entreprises est significatif !), les entreprises sont confrontées à de nouvelles failles de sécurité, et un risque accru de cyberattaques. Ce phénomène est amplifié par la dématérialisation des systèmes vers le cloud, le Big Data, les objets connectés, mais aussi par l'automatisation croissante des tâches et la mobilité des données sur divers appareils.
Les conséquences des cyberattaques sont souvent dévastatrices pour les entreprises et peuvent inclure :
- Des pertes financières importantes, engendrées par des interruptions de services, des demandes de rançon ou des vols de données. À savoir : en France, une entreprise victime d’une cyberattaque entraînant une interruption de ses activités perdrait en moyenne 27 % de son chiffre d’affaires annuel.1
- Une réputation ternie de l'entreprise, résultant de la divulgation d'informations confidentielles ou de l'incapacité à protéger les données des clients.
- La perturbation des opérations commerciales, pouvant entraîner des retards de production, des pertes de clients et une baisse de la productivité en interne.
- Des possibilités de vol d'identité et de fraude financière, affectant à la fois l'entreprise, ses clients ou ses partenaires.
- Des frais de remédiation élevés, notamment pour la restauration des systèmes informatiques, la réparation des failles de sécurité et la mise en conformité avec les réglementations.
- Des conséquences juridiques, telles que des amendes ou des poursuites judiciaires en cas de violation de la législation sur la protection des données.
Vous l’aurez compris, la sécurité des données en entreprise est un enjeu à prendre très au sérieux.
Il est donc impératif pour les organisations, quelle que soit leur taille, de repenser leur approche de la cybersécurité et de mettre en place des mesures préventives efficaces pour contrer les menaces potentielles.
En l'absence de telles mesures, les entreprises s'exposent à des risques pouvant aller jusqu’à la fermeture en cas de cyberattaque majeure.
Des cybermenaces en évolution constante
Les cybermenaces évoluent de manière continue, obligeant les entreprises à rester constamment en alerte et à adapter leur stratégie de cybersécurité en conséquence.
Cette évolution s’explique par le fait que les progrès technologiques rapides offrent de nouvelles opportunités aux cybercriminels de faire évoluer la menace cyber, en développant des techniques d'attaque plus sophistiquées.
Récemment, les avancées en intelligence artificielle et en automatisation ont notamment permis aux hackers de créer des logiciels malveillants plus complexes et de les déployer à grande échelle avec une efficacité accrue. C’est pourquoi une stratégie de cybersécurité en entreprise requiert une vigilance constante et une adaptation continue aux évolutions technologiques et aux nouveaux usages, ainsi qu’une veille régulière sur les dernières menaces cybernétiques.
L’impact de la digitalisation sur la cybersécurité
Si la digitalisation massive a facilité les usages en entreprise, elle a également engendré de nouveaux défis dans le domaine de la cybersécurité.
En effet, la digitalisation des entreprises a entraîné une multiplication des points d'entrée potentiels pour les cyberattaques. Avec la prolifération des appareils connectés ou encore des applications, les entreprises sont confrontées à une expansion significative des surfaces d'attaque. Chaque point de connexion devient une cible potentielle pour les cybercriminels, nécessitant une protection robuste pour prévenir les intrusions et les violations de données.
Or, la transformation numérique a conduit à utiliser des infrastructures informatiques plus complexes, rendant la sécurisation des systèmes plus difficile. Les entreprises doivent en effet gérer des environnements technologiques de plus en plus diversifiés, comprenant des réseaux traditionnels, des plateformes cloud, des smartphones et des objets connectés, chacun présentant ses propres défis en termes de sécurité.
Enfin, depuis la digitalisation, les entreprises traitent et stockent de façon numérique une quantité croissante de données sensibles. Elles sont donc de plus en plus convoitées par les cyberattaquants, qui exploitent des techniques avancées pour contourner les défenses traditionnelles et compromettre les systèmes informatiques des organisations.
Lorsque le contexte géopolitique accroît le risque cyber
Dans un contexte géopolitique mondialement tendu, les conflits ne se limitent pas au sol mais s'étendent désormais au cyberespace. C’est ce qu’on appelle la guerre numérique (ou cyberguerre), et ce nouveau phénomène est directement lié à la digitalisation.
Des acteurs étatiques, des groupes criminels organisés ou même des organisations terroristes exploitent les failles de sécurité pour mener des attaques sophistiquées. Ces dernières peuvent cibler les entreprises, mais également les infrastructures vitales et les institutions gouvernementales. Ces cyberattaques peuvent être massives, visant à causer des dommages étendus, ou ciblées, pour paralyser des secteurs stratégiques comme la santé ou l'énergie. Face à cette menace, la souveraineté des données est essentielle.
La souveraineté des données englobe le contrôle exercé sur les données des individus, des entreprises ou des gouvernements. Cela implique le droit de déterminer qui peut accéder à ces informations, comment elles sont utilisées, stockées et traitées, ainsi que le pouvoir de les protéger contre toute atteinte à leur sécurité.
En outre, ce concept inclut le droit d'une nation à superviser les données collectées sur son territoire. Cela entraîne la mise en place d'obligations légales visant à préserver la vie privée et la sécurité des données personnelles des citoyens. Dans l'Union Européenne, la RGPD (Règlement Général sur la Protection des Données) joue un rôle central dans cette protection.
Cybersécurité et guerre économique
Dans un contexte géopolitique, la guerre économique se définit comme une rivalité entre nations pour obtenir un avantage financier, commercial ou stratégique. Elle peut impliquer diverses tactiques comme le sabotage financier, le vol de propriété intellectuelle, les sanctions commerciales ou la manipulation des marchés.
Numériquement, cette course à la suprématie économique s'accompagne d'une escalade de cyberattaques sophistiquées, opérées par des acteurs malveillants soutenus par les États en guerre. L'objectif principal de ces attaques est de renforcer la position économique d'un acteur tout en affaiblissant celle de ses concurrents, en utilisant souvent le vol de données des entreprises.
Quel est l’état de la menace cyber en France et dans le monde en 2024 ?
Au niveau mondial, et du point de vue des dirigeants d’entreprises de toutes tailles, la cybermenace est perçue comme très forte. Selon le PWC CEO Survey de 20242, le risque cyber constituerait d’ailleurs la 3ème menace la plus importante, après l’inflation et la volatilité macroéconomique (qui sont eux classés ex-aequo).
Du côté des PDG français, ce même rapport met en lumière des statistiques encore plus inquiétantes. Pour 40% d’entre eux, le risque cyber serait la première menace, devant l’inflation, la volatilité macroéconomique, et les conflits géopolitiques.
Ces chiffres sont corroborés par les nombreuses cyberattaques qui ont marqué le paysage médiatique français ces dernières années. Selon le rapport d'octobre 2023 de l'ENISA3, le célèbre groupe de cybercriminels russes Lockbit 3.0 aurait fait de la France sa deuxième cible mondiale, après les États-Unis. Ces nombreuses tentatives de cyberattaques font écho à la cyberguerre évoquée plus haut, en raison de l'engagement de la France envers la défense de l'Ukraine.
La cybersécurité dans les TPE (Très Petites Entreprises)
Les TPE (Très Petites Entreprises) et les startups négligent parfois les mesures de cybersécurité, car elles ont tendance à croire (à tort !) qu'elles ne représentent pas une cible attrayante pour les cybercriminels. Cependant, la réalité est tout autre : les cyberattaquants ont bien compris que chaque entreprise, quelle que soit sa taille, peut être lucrative, que ce soit par le biais de liquidités potentielles ou d’informations sensibles qu'elle détient. Les petites entreprises sont d’ailleurs souvent des cibles privilégiées en raison de leur niveau de protection parfois moindre, ce qui les rend plus vulnérables aux attaques. En effet, seul un tiers des PME disposerait d’une protection cyber correcte.4
La cybersécurité en startup, dans les TPE et même les microentreprises est donc un enjeu à prendre très au sérieux.
La cybersécurité dans les PME (Petites et Moyennes Entreprises)
De la même manière que les TPE et certaines startups, les PME (Petites et Moyennes Entreprises) sont des cibles privilégiées pour les cybercriminels. En raison de leur niveau de protection souvent insuffisant, ces entreprises deviennent des proies faciles, offrant aux hackers des opportunités de gains rapides avec peu d'efforts.
Preuve en est, près de 60 % des PME n'ont pas de référent dédié à la cybersécurité et seulement 25 % ont contracté une assurance spécifique pour se protéger des conséquences d’une cyberattaque réussie5.
Cela est d’autant plus inquiétant car en 2022 les TPE, PME et ETI représentaient à elles seules près de 40 % des attaques par ransomware traitées ou rapportées à l’Agence nationale de la sécurité des systèmes d’information (ANSSI)6. Or en cas d’attaque massive, ces entités n’ont bien souvent pas les moyens d’absorber les coûts et pertes générées, et sont parfois contraintes de passer la clef sous la porte. Lorsqu’on sait que, 60% des PME ayant subi une cyberattaque déposent le bilan7, investir dans la sécurité informatique lorsqu’on est une PME n’est plus une option !
La cybersécurité dans les Entreprises de Services du Numérique (ESN)
Les Entreprises de Services du Numérique (ESN), par leur nature même, sont devenues des cibles de choix pour les hackers. Non seulement ces organisations détiennent des données sensibles liées à leurs activités, mais elles disposent également d'un accès privilégié aux systèmes de leurs clients.
En ciblant ce type d’organisation, les hackers peuvent donc non seulement compromettre les données des ESN, mais également accéder aux informations des clients, ouvrant ainsi la voie à des attaques en cascade, connues sous le nom d'attaques par rebond.
En plus des pertes financières et de l'arrêt de la production, ces incidents peuvent entraîner une perte de confiance de la part des clients et des partenaires commerciaux, mettant en péril la réputation même de l'entreprise. L'ANSSI souligne d’ailleurs régulièrement dans son Panorama de la cybermenace, la recrudescence d’attaques par chaîne d'approvisionnement (ou supply chain attack) visant les ESN.
Par ailleurs, force est de constater que la cybermenace ne se limite pas aux « petites » ESN. Ces dernières années, des cyberattaques contre des acteurs renommés comme Okta, Umanis et Sopra Steria mettent en lumière la nécessité de mettre en place des bonnes pratiques robustes de cybersécurité dans les ESN.
La cybersécurité au sein des grands groupes et grandes entreprises
Les grands groupes et les hautes industries ont souvent des ressources et des capacités plus importantes pour investir dans des mesures de sécurité informatique avancées, en comparaison des TPE et PME :
- Budgets cyber plus importants qui leur permet d’investir dans des technologies de pointe
- Équipes de professionnels dédiés à la cybersécurité en interne
- Partenariats avec des fournisseurs de sécurité pour bénéficier de solutions de sécurité de pointe, de services, de conseils…
Néanmoins, les grands groupes et grandes entreprises sont tout aussi exposés aux risques de cyberattaques que n’importe quelle industrie. Leur taille et leur visibilité peuvent les rendre des cibles attrayantes pour les cybercriminels cherchant à voler des données sensibles, perturber leurs opérations ou même causer des dommages à leur réputation. De plus, la complexité de leurs infrastructures peut parfois créer des vulnérabilités supplémentaires si elles ne sont pas correctement gérées.
On retiendra notamment la cyberattaque d’ampleur ayant eu lieu en 2022 contre Uber, durant laquelle l’attaquant a usé de l’ingénierie sociale et de la MFA fatigue pour s’introduire dans le SI du leader des VTC. Plus récemment, c’est le géant Toyota qui a été victime d’un ransomware orchestré par le gang de hackers Medusa, suivi de la divulgation de données internes sur le Darknet…
Cybersécurité et secteur public
Les cyberattaques visant les administrations publiques sont de plus en plus médiatisées chaque année. Hôpitaux paralysés, mairies victimes de vols de données, institutions gouvernementales mises à l’arrêt… En France notamment, les cyberattaques contre le secteur public en 2023 ont été nombreuses. Rien qu’entre janvier 2022 et juin 2023, 187 incidents ont été recensés par l'ANSSI, soit une moyenne de 10 par mois8. Cette tendance croissante s'explique par plusieurs facteurs :
- Les données sensibles stockées par le service public en font une cible attrayante pour les cybercriminels, qui peuvent revendre ces informations sur le Darknet.
- Les systèmes d'information du service public jouent un rôle dans des secteurs vitaux tels que la santé, les services aux citoyens et les finances. Leur paralysie offre aux attaquants la possibilité d'exercer diverses pressions, notamment par le chantage ou la demande de rançon, particulièrement dans un contexte de cyberguerre.
- Tout comme les TPE et PME, les administrations publiques ont la réputation de souffrir d'un manque de ressources financières et humaines pour sécuriser efficacement leurs systèmes d'information. Ces lacunes les rendent plus susceptibles d'être ciblées par des cyberattaques.
Quels sont les risques cyber en entreprise ?
En entreprise, les risques cyber sont nombreux. Les organisations peuvent être soumises à différents types de cyberattaques, avec des points d’entrée et des vecteurs variés.
Les vecteurs de cyberattaques les plus courants en entreprise
Les vecteurs de cyberattaques (ou vecteurs de cybermenaces) représentent les différentes méthodes utilisées par les cyberattaquants pour accéder au réseau ou à l’infrastructure d’une organisation. Ces vecteurs peuvent exploiter des failles dans les logiciels, les vulnérabilités en matière de sécurité ou même les comportements des utilisateurs pour infiltrer un SI.
Qu’est-ce que l’ingénierie sociale ?
La fraude par ingénierie sociale est une technique de manipulation psychologique utilisée par les cybercriminels pour exploiter les faiblesses humaines et obtenir des informations sensibles ou compromettre la sécurité des systèmes informatiques. Cette technique repose sur la manipulation des émotions telles que la confiance, la peur, la curiosité ou encore l'appât du gain. Le but de la manœuvre est d’inciter les victimes à divulguer aux hackers des informations sensibles, télécharger des logiciels malveillants ou encore accéder à des sites web frauduleux, dans le but d’opérer ensuite une cyberattaque. Les escroqueries par ingénierie sociale misent donc sur le facteur humain pour compromettre la sécurité d’une organisation.
En pratique, les attaques d'ingénierie sociale peuvent prendre différentes formes, telles que des e-mails, des appels téléphoniques frauduleux, des messages sur les réseaux sociaux....etc. Parmi les différentes cyberattaques utilisant l’ingénierie sociale comme vecteur initial, on compte le phishing (hameçonnage), le baiting (technique de l’appât) ou encore le tailgating (talonnage).
En exploitant les failles humaines plutôt que les vulnérabilités techniques, l'ingénierie sociale contourne souvent les mesures de sécurité traditionnelles comme les pare-feux, les logiciels antivirus et autres dispositifs de cybersécurité. C’est pourquoi cette technique est particulièrement populaire chez les cyberattaquants, et demeure le vecteur d’attaque le plus utilisé pour compromettre les réseaux, selon le rapport State of Cybersecurity 2023 d’ISACA.9
Les failles logicielles, un vecteur d’attaque pluriel
Les failles logicielles représentent des vulnérabilités ou des défauts de paramétrage exploités par les hackers pour infiltrer les systèmes informatiques des entreprises. Ces défauts de sécurité sont des points d'entrée efficaces pour les cybercriminels, notamment lorsqu'ils compromettent des services utilisés par les employés comme les systèmes d'exploitation (Windows, OS), les outils métiers (CRM, ERP) ou les plateformes web (CMS, applications sur le Cloud).
Ces vulnérabilités peuvent également venir d’un défaut de mise à jour de la part des utilisateurs. Techniquement, on pourrait les comparer à des serrures défectueuses : une fois identifiées, les pirates n'ont plus qu'à les manipuler pour accéder aux données sensibles.
Le risque associé à ces failles logicielles augmente avec le nombre d'applications utilisées en entreprise, chaque vulnérabilité représentant une nouvelle opportunité pour les cybercriminels de s'infiltrer dans le système d'information de l'entreprise.
Les identifiants compromis, une porte d’entrée pour les cyberattaques
Les identifiants compromis représentent l'un des principaux vecteurs de cyberattaques, avec 49% violations de données impliquant le vol d’informations d'identification d'utilisateurs en 2023.10 Des milliards d'identifiants volés circulent d’ailleurs sur le darknet, résultant de bases de données non sécurisées et d'attaques ciblées.
Le site Web HaveIBeenPwnd, par exemple, recense plus de 500 millions de mots de passe exposés à la suite de violations de données11, offrant ainsi un aperçu de l'ampleur du problème. Les cybercriminels exploitent ce vecteur d'attaque car il leur permet non seulement d'accéder facilement à des informations sensibles une fois à l'intérieur de l'organisation, mais aussi de causer des dégâts considérables avant d'être détectés.
Une méthode courante utilisée par les cybercriminels pour subtiliser les mots de passe est le "credential stuffing", une forme d'attaque consistant à tester des combinaisons de noms d'utilisateur et de mots de passe jusqu'à ce que les bonnes informations d'identification soient trouvées. Cette méthode fait des ravages chez les entreprises n’ayant pas sensibilisé leurs collaborateurs à l’utilisation de mots de passe forts, et n’ayant pas démocratisé l’authentification multifacteur.
Les cyberattaques les plus courantes en entreprises
Les entreprises sont régulièrement la cible de cyberattaques variées. Voici un panorama des cyberattaques les plus courantes en entreprises.
Le phishing, principale menace en entreprise
Le phishing, également connu sous le nom d'hameçonnage, est un type de cyberattaques basé sur l’ingénierie sociale. Le phishing est utilisé par les cybercriminels pour tromper les utilisateurs et leur soutirer des informations confidentielles, comme des couples identifiants / mots de passe ou des informations bancaires. Les hackers créent des e-mails, des messages texte ou des sites web qui semblent légitimes et persuadent les utilisateurs de divulguer leurs informations personnelles en se faisant passer pour des institutions de confiance (banques, entreprises, organismes gouvernementaux...).
Le phishing peut également être utilisé pour inciter les victimes à télécharger des logiciels malveillants ou à cliquer sur des liens infectés, compromettant ainsi la sécurité de leur système informatique.
L’hameçonnage peut prendre plusieurs formes : on parle de smishing lorsque le vecteur d’attaque se fait par SMS, de vishing lorsqu’il s’agit d’un appel téléphonique, ou de spear phishing lorsque l’attaque est personnalisée, et vise une seule personne ou fonction en particulier.
Le phishing et le spear phishing sont considérés comme la principale menace en entreprise. Les attaques par phishing ont d’ailleurs atteint un niveau record en 2023, avec plus de 1,76 milliard d’URL de phishing envoyées à travers le monde12.
Les attaques par ransomwares
Un ransomware (ou rançongiciel) est une forme de logiciel malveillant qui infecte les systèmes informatiques en chiffrant les fichiers de l'utilisateur (cryptolocker) ou en bloquant l'accès à l'ensemble de l'ordinateur (locker). Une fois que le ransomware a infecté le système, il affiche généralement un message demandant le paiement d'une rançon pour restaurer l'accès aux données ou au système.
La contamination par un ransomware peut se produire de différentes manières :
- Par l'ouverture d'une pièce jointe malveillante ou en cliquant sur un lien piégé dans un e-mail de phishing.
- En visitant des sites web compromis qui exploitent des vulnérabilités pour infecter les visiteurs.
- À travers l'exploitation de vulnérabilités connues dans des logiciels installés sur la machine, qui n'ont pas été mis à jour avec les derniers correctifs de sécurité.
Fait inquiétant, la rançon moyenne mondiale demandée en 2023 après une attaque par ransomware réussie a atteint le montant 1,54 million de dollars, soit près du double du chiffre enregistré en 2022, qui s’élevait à 812 380 $13.
Les attaques man-in-the-middle (MITM), difficilement détectables
Parmi les menaces les plus redoutées en entreprise figurent les attaques de type man-in-the-middle (MITM), ou attaque par l’homme du milieu. Le MITM commence lorsqu’un cyberattaquant parvient à s'immiscer secrètement entre deux entités en communication, telles que deux utilisateurs ou un utilisateur et un serveur.
Cette position intermédiaire permet au hacker d'intercepter les données échangées, de les modifier à sa guise et même d'injecter de fausses informations sans que les parties légitimes en soient conscientes. Cette technique donne aux cybermalfaiteurs un contrôle total (et quasiment indétectable) sur les informations sensibles, comme les identifiants de connexion, les données bancaires ou les échanges de messagerie, ouvrant ainsi la voie à une série de conséquences désastreuses pour les entreprises.
Les attaques man-in-the-middle peuvent être rendues possibles lors de connexions à des réseaux WI-FI non sécurisés, lors d’attaques visant les routeurs et passerelles réseau qui redirigent le trafic vers des serveurs malveillants, ou par l’exploitation de failles dans les protocoles de communication.
L’arnaque au président, une cyberattaque très coûteuse
L’arnaque au président (ou fraude au président), est une forme de cyberattaque qui cible les entreprises en usurpant l'identité d'une haute autorité, comme le PDG, le directeur financier ou un autre dirigeant de l'entreprise.
Le schéma de l'arnaque au président implique généralement un fraudeur qui se fait passer pour un haut responsable de l'organisation par le biais d'e-mails ou d'appels téléphoniques falsifiés. L’attaquant utilise des techniques de manipulation psychologique (ingénierie sociale) pour inciter les employés à divulguer des informations confidentielles, à effectuer des transferts d'argent ou à prendre d'autres mesures préjudiciables pour l'entreprise.
Ces attaques reposent souvent sur la confiance et l'autorité perçue du supposé haut responsable, incitant ainsi les employés à agir rapidement et sans remettre en question les demandes frauduleuses.
Les conséquences d'une arnaque au président peuvent être dévastatrices pour une entreprise, allant de la perte financière à la compromission de données sensibles et jusqu’à la détérioration de la réputation de l'organisation. Récemment, la région de Saône-et-Loire en France a été touchée par cette escroquerie, subissant une perte financière d'environ 350 000 €. Les fraudeurs ont réussi à pirater la messagerie électronique du Service Départemental d'Incendie et de Secours (SDIS), en falsifiant la signature du président du conseil départemental. Ils ont ensuite mis en place un faux RIB et ont persuadé le conseil départemental de transférer une subvention destinée au SDIS sur ce compte frauduleux.14
Une augmentation des attaques par déni de service distribué (DDoS)
Une attaque par déni de service distribué (DDoS) vise à perturber le trafic normal d'un serveur, service ou réseau en submergeant la cible ou son infrastructure environnante avec un flot massif de trafic Internet.
Cette forme d'attaque utilise plusieurs appareils compromis au préalable, par des failles de sécurité ou de l’ingénierie sociale, par exemple. Appelés "bots", ils ont pour but de générer du trafic hostile envers le site web ou le serveur d’une entreprise. Tous ces appareils sont contrôlés à distance par un cyberattaquant. Ensemble, ces dispositifs forment un "botnet".
Lorsqu'une attaque DDoS est lancée, chaque bot du botnet envoie des requêtes simultanées à l'adresse IP de la cible, générant un volume de trafic excessif qui peut saturer le serveur ou le réseau visé. Cette surcharge entraîne souvent un déni de service du trafic légitime, rendant les services ou les ressources inaccessibles.
En 2023, les attaques par Déni de Service Distribué (DDoS) ont enregistré une augmentation significative dans le monde, y compris en France. Au cours du troisième trimestre, ces attaques ont en effet bondi de près de 65% par rapport aux années précédentes15.
Cybersécurité en entreprise : les risques internes
Les cyber risques en entreprise ne se limitent pas aux attaques extérieures. Les collaborateurs et les mauvaises pratiques au sein de l’organisation présentent eux aussi une menace cyber, interne à l’entreprise.
Les collaborateurs : maillon faible de la cybersécurité en entreprise
Cette phrase est bien connue et pourtant parfois sous-estimée : les collaborateurs représentent souvent le maillon le plus faible dans la chaîne de cybersécurité d'une entreprise. Leurs actions, ou les mauvaises pratiques cyber généralisées dans l’entreprise peuvent en effet involontairement compromettre la sécurité des données. On estime de ce fait à 46% le nombre de piratage et incidents de sécurité résultant d’une négligence ou d’un manque d’information16.
Parmi les pratiques les plus risquées, on trouve :
- L'utilisation de mots de passe faibles, ne respectant pas les critères recommandés par l’ANSSI.
- Le stockage de mots de passe non sécurisé. L'enregistrement de mots de passe dans les navigateurs web peut sembler pratique, mais expose les différents comptes à des piratages en cascade en cas d'intrusion. Pire encore, les mots de passe transmis sur un post-it sont encore monnaie courante dans le cas d’un onboarding, par exemple. Or dans un open space au travail, il peut y avoir beaucoup de circulation : des collègues bien sûr, mais aussi des visiteurs, des clients ou bien des prestataires. Nous avons vu plus haut que le vol de mot de passe était l’un des principaux vecteurs de cyberattaques : les stocker en clair n’est donc jamais une bonne idée.
- L’ouverture de mails compromis. Les collaborateurs peu formés à reconnaître un mail de phishing peuvent être amenés à ouvrir des courriels malveillants ou à cliquer sur des liens infectés, introduisant ainsi des logiciels compromis dans le réseau de l'entreprise.
- La connexion à des réseaux non sécurisés. En l’absence de VPN, ces pratiques risquées exposent les appareils et les données de l'entreprise à des risques de compromission.
- La négligence des mises à jour. Le fait de ne pas effectuer régulièrement les mises à jour de sécurité expose les systèmes informatiques à des vulnérabilités connues et exploitées par les cybercriminels.
- Le Shadow IT, également appelé informatique de l’ombre ou rogue IT, a pour conséquences de bafouer les politiques de cybersécurité et les réglementations de l’entreprise, ouvrant ainsi la porte à des compromissions potentielles.
Ce dernier point est devenu un véritable fléau pour les entreprises, qui peinent à lutter contre les pratiques de Shadow IT.
Shadow IT : definition
Le Shadow IT désigne l'utilisation de logiciels, d'applications ou de services informatiques utilisés par les collaborateurs, sans autorisation ni contrôle de l’entreprise. Cette pratique survient souvent lorsque les employés utilisent des solutions non approuvées par le département informatique de l'entreprise pour répondre à leurs besoins professionnels, souvent pour des raisons de commodité ou d'efficacité.
Cependant, le Shadow IT représente un risque majeur en matière de cybersécurité, car il peut entraîner la prolifération de logiciels non sécurisés et la divulgation de données sensibles. Le tout en échappant aux politiques de sécurité et conformité ainsi qu’aux mesures de protection mises en place par l'entreprise.
Pour plus d’informations et de bonnes pratiques sur le sujet, consultez notre article : Qu’est-ce que le shadow IT et quels en sont les risques ?
À lire aussi
Articles recommandés pour booster votre cybersécurité
Cybersécurité
PCA : 5 étapes pour le mettre en place + exemple !
Transferts sécurisés
Comment sécuriser le partage de fichiers en entreprise ?
Comment renforcer la cybersécurité en entreprise ?
Faces aux risques numériques auxquels les entreprises sont soumises, il existe un grand nombre de bonnes pratiques de cybersécurité indispensables pour préserver la sécurité des systèmes d’information.
5 outils indispensables pour renforcer la cybersécurité en entreprise
Découvrez 5 outils indispensables à toute entreprise souhaitant renforcer sa sécurité numérique.
1. L’EDR (Endpoint Detection Response) pour détecter les cybermenaces
Pour protéger efficacement un système d’information des attaques massives et changeantes, il est essentiel de sécuriser les end-points. L’utilisation d’un Endpoint Detection Response (EDR) est recommandée. Cette technologie peut être assimilée à une solution de cybersécurité qui décèle et répond aux activités malveillantes sur les terminaux. L’EDR se distingue par sa capacité à détecter des cybermenaces particulièrement avancées.
L’EDR se place directement sur les terminaux (ordinateur, téléphone portable, ou plus globalement tout objet connecté au SI). En pratique, l’EDR surveille les activités des terminaux sur lesquels il est posé et collecte des données sur l’ensemble des événements susceptibles de constituer une menace. Les données recueillies sont ensuite analysées afin d’identifier d’éventuelles compromissions.
Par exemple, si un collaborateur clique sur un mail de phishing, le risque de compromission sera réduit. Le danger sera détecté dès le premier clic sur le lien vérolé, et signalé à la DSI instantanément. L’Endpoint Detection Response pourra ensuite isoler l’utilisateur du réseau et éviter une potentielle compromission du SI en cascade.
Pour aller plus loin, l'EXDR (Extended Detection and Response) étend la portée de l'EDR en intégrant la détection et la réponse des menaces à travers plusieurs environnements informatiques, tels que le cloud, les réseaux locaux et distants, les appareils mobiles, etc. Contrairement à l'EDR qui se concentre uniquement sur les points d'accès, l'EXDR offre donc une visibilité et une protection étendue.
2. La MFA (Authentification multifacteur) pour protéger les comptes collaborateurs
La MFA (Multi-Factor Authentication), également connue sous le nom d'authentification multifacteur, est une méthode de sécurité qui ajoute une couche de sécurité supplémentaire à un système ou un compte, en demandant à l'utilisateur de fournir plusieurs formes d'identification avant d’y permettre l'accès. Typiquement, ces facteurs peuvent inclure :
-
Quelque chose que l’on sait : comme un mot de passe, une phrase secrète ou un code PIN.
-
Quelque chose que l’on possède : comme un smartphone, une carte à puce, un token…
-
Quelque chose l’on est : comme une empreinte digitale, une reconnaissance faciale ou un scan de l'iris.
Pour généraliser l'utilisation de la MFA et améliorer les procédures d'authentification en entreprise, diverses approches sont possibles : les OTP (codes à usage unique), l'envoi d'un second facteur par courrier électronique ou SMS, ou encore l'utilisation d'applications MFA autonomes telles que Google Authenticator ou Authy, qui génèrent des codes de manière indépendante.
Selon Microsoft, plus de 99,9% des attaques liées à l’identité seraient bloquées grâce à l’utilisation de l’authentification multifacteur.17
Il est vrai qu’en pratique, même si un pirate a réussi à dérober le mot de passe d’un collaborateur, il lui sera beaucoup plus difficile de compromettre un second facteur d'authentification tel qu'un code envoyé par SMS ou généré par une application sur le smartphone de l'utilisateur. La MFA offre donc une protection supplémentaire en rendant l'accès aux comptes beaucoup plus difficile pour les cyberattaquants.
3. Les outils IAM pour améliorer la gestion des identités et des accès
Les outils IAM (Identity and Access Management), ou outils de gestion des identités et des accès, sont des solutions logicielles qui permettent aux entreprises de gérer de manière centralisée les identités des utilisateurs et leurs droits d'accès aux systèmes, applications et autres services. Ces outils offrent un ensemble de fonctionnalités pour créer, gérer, modifier et supprimer les identités des utilisateurs, ainsi que pour contrôler et suivre l'accès aux ressources numériques.
Les outils IAM améliorent la cybersécurité en entreprise de plusieurs façons :
- Gestion centralisée des identités : les systèmes de gestion des identités (Identity Management Systems) sont des outils IAM permettant aux entreprises de centraliser la gestion des identités des collaborateurs. Cela simplifie et sécurise le processus de création, de mise à jour et de suppression des comptes d'utilisateur et réduit les risques liés à la présence de comptes inactifs, par exemple.
- Contrôle des accès : les systèmes de contrôle d'accès (Access Control Systems) offrent des fonctionnalités avancées de contrôle des accès, permettant aux administrateurs de définir et de gérer précisément les droits d'accès des utilisateurs en fonction de leurs rôles et responsabilités au sein de l'organisation. Cela garantit que seuls les utilisateurs autorisés ont accès aux ressources appropriées, réduisant ainsi les risques de compromission des données.
- Authentification renforcée : nous en parlions plus haut, les outils IAM peuvent intégrer des fonctionnalités d'authentification multifacteur (MFA), renforçant ainsi la sécurité des connexions en exigeant des utilisateurs qu'ils fournissent plusieurs éléments d'authentification pour accéder aux systèmes et aux données. Cela réduit les risques liés à la compromission des identifiants de connexion.
4. Le coffre-fort numérique pour stocker les données sensibles
Un coffre-fort numérique (CFN) est une solution sécurisée de stockage de documents et de données, offrant une protection avancée contre la perte, la corruption et l'accès non autorisé aux fichiers en ligne. Il assure la confidentialité et l'intégrité des données grâce à des méthodes d'authentification robustes.
Le fonctionnement d'un coffre-fort numérique repose sur l'utilisation d'un mot de passe principal connu uniquement de l'utilisateur, garantissant ainsi un accès sécurisé aux données stockées. Une fois authentifié, l'utilisateur peut ajouter de nouveaux documents, les modifier, les partager ou les supprimer selon ses besoins. De plus, un bon coffre-fort numérique professionnel met en place des mesures de sauvegarde efficaces pour assurer la disponibilité des données et minimiser les risques de perte en cas de défaillance matérielle ou d'incidents.
Les coffres-forts numériques sont également dotés d'un journal d'activités détaillé, permettant une traçabilité complète des actions effectuées sur les données. Ce journal enregistre les dates et heures d'accès, ainsi que les opérations réalisées telles que l'ajout, la modification ou la suppression de fichiers. Cette fonctionnalité offre une transparence et une sécurité accrues en permettant de suivre et d'analyser toutes les activités liées aux données stockées dans le coffre-fort numérique.
5. Le gestionnaire de mots de passe pour protéger les sésames
Un gestionnaire de mots de passe est un type d’outils IAM qui permet aux collaborateurs de gérer de manière sécurisée leurs différents mots de passe. Il offre la possibilité de générer des mots de passe forts respectant les critères de l’ANSSI, puis de les stocker de manière chiffrée dans une base de données sécurisée, souvent protégée par un mot de passe maître.
La centralisation des mots de passe dans un coffre-fort chiffré permet aux utilisateurs d'accéder facilement à leurs identifiants lorsqu'ils se connectent à des sites web ou des applications, sans avoir besoin de les mémoriser ou de les saisir manuellement à chaque fois. De plus, les gestionnaires de mots de passe facilitent la gestion des accès pour les administrateurs. Lorsqu'un membre de l'équipe quitte l'entreprise, il est simple de supprimer son compte et de changer les identifiants associés en quelques clics seulement.
Sensibiliser les équipes à la cybersécurité pour prévenir les cyberattaques en entreprise
Renforcer la cybersécurité d’une organisation ne se limite pas à investir dans des outils dédiés. Nous en avons déjà parlé dans cet article : l’humain est bien souvent le maillon faible de la cybersécurité. Éduquer et sensibiliser les équipes à la cybersécurité en entreprise est donc d'une importance capitale pour prévenir les cyberattaques.
Les collaborateurs sont la première ligne de défense contre les menaces en ligne, et leur niveau de sensibilisation peut faire toute la différence dans la sécurité globale de l'organisation. En les formant sur les bonnes pratiques en matière de cybersécurité, comme l'identification des e-mails de phishing, les employés peuvent être mieux préparés à reconnaître et à éviter les tentatives d’hameçonnage par exemple.
De plus, sensibiliser les collaborateurs à la cybersécurité est également un moyen tout trouvé pour les inciter à adopter des comportements plus sécurisés, notamment en ce qui concerne la création de mots de passe forts, le maintien des logiciels à jour...etc.
En investissant dans la formation des équipes, les entreprises peuvent donc renforcer leur posture de sécurité et réduire considérablement les violations de données dues au facteur humain.
Qu’est-ce que le protocole Zero Knowledge Proof ?
Le protocole Zero Knowledge Proof (ZKP) ou " preuve à divulgation nulle de connaissance ", est un protocole de sécurité qui permet à deux parties, un fournisseur de preuve et un vérificateur, d'établir une communication sécurisée. Dans ce processus, le fournisseur de preuve peut prouver qu'il détient une information particulière sans révéler cette information elle-même. En d'autres termes, le ZKP permet de démontrer la validité d'une information sans en divulguer le contenu, préservant ainsi la confidentialité des données sensibles.
Pour les entreprises, l'intérêt du Zero Knowledge Proof réside dans sa capacité à renforcer la sécurité des échanges et des transactions en ligne, en réduisant les risques d'interception ou de manipulation de données confidentielles. Cette approche vise en effet à minimiser la quantité d'informations sensibles partagées entre les parties, et les risques d'exposition et de compromission des données qui vont avec.
4 procédures de cybersécurité à déployer en entreprise
Outre les outils et bonnes pratiques, il existe plusieurs procédures de cybersécurité pour prévenir les intrusions, mais aussi minimiser les conséquences en cas de cyberattaque réussie.
1. L’audit de cybersécurité pour détecter les failles existantes
L’audit de cybersécurité constitue un examen complet de l’infrastructure informatique d’une organisation. Son objectif premier est de faire un état des lieux de l’existant, en identifiant toutes les failles de sécurité potentielles qui pourraient être exploitées par des cyberattaquants.
Techniquement, l’audit de cybersécurité englobe diverses activités telles que l'analyse des risques, l'examen des politiques de sécurité, la surveillance des systèmes informatiques et la vérification de la conformité aux réglementations en vigueur. (C’est particulièrement important à l’heure où il devient urgent de se conformer à NIS2).
L’audit de cybersécurité doit être répété régulièrement pour garantir que les mesures de sécurité sont à jour et aptes à contrer les nouvelles formes de menaces. C’est également un allié de taille pour détecter les risques internes, comme les comptes fantômes par exemple.
2. Le plan de remédiation
Le plan de remédiation18 constitue une feuille de route détaillée répertoriant les failles et les vulnérabilités d'un système informatique, qu'il s'agisse d'un réseau de machines ou d'un intranet propre à une entreprise. Son élaboration se fait généralement juste après l’audit de cybersécurité, et vise à mettre en place un arsenal d'actions prioritaires visant à corriger les vulnérabilités du SI dans un laps de temps défini. Ce plan, souvent matérialisé sous forme de classeur ou de document informatique, trace également les responsabilités de chaque acteur impliqué dans sa mise en œuvre.
Parallèlement à la résolution de problèmes spécifiques, le plan de remédiation vise à renforcer la résilience générale du système et à réduire les risques d'attaques externes et de vulnérabilités internes. Ce plan peut également intégrer des initiatives de sensibilisation et de formation du personnel à la sécurité informatique, garantissant ainsi une vigilance constante et une réponse adéquate en cas d'incident.
3. Le PRA et le PCA
Le Plan de Continuité d'Activité (PCA) est un ensemble de mesures préventives conçues pour assurer la continuité des opérations d’une entreprise en cas de perturbation majeure. Le PCA inclut les actions à entreprendre pour maintenir ou rétablir les services critiques en cas d'incident, comme une cyberattaque, une défaillance matérielle, ou tout autre événement imprévu. Son but ultime est de minimiser les interruptions d'activité et de garantir le bon fonctionnement de l'entreprise même en cas de crise. Bien que son efficacité ne soit plus à prouver, seulement 20% des entreprises disposeraient d’un PCA en bonne et due forme19.
Complémentaire, le Plan de Reprise d'Activité (PRA), est quant à lui axé sur la restauration des opérations commerciales normales après qu'une perturbation majeure ait eu lieu. Il comprend les étapes et les procédures nécessaires pour restaurer les systèmes informatiques, les applications, les données, les communications et les activités essentielles après un incident. Le PRA vise à réduire les temps d'arrêt et à minimiser les pertes financières en rétablissant rapidement les services critiques.
En anticipant les risques potentiels et en mettant en place des PCA et PRA solides, une entreprise peut se préparer à faire face efficacement aux cyberattaques mais aussi à d'autres incidents de sécurité.
4. Le plan de gestion de crises
Le plan de gestion de crise20 vise à répondre à une cyberattaque réussie. Lorsqu'une crise cyber survient en entreprise, la capacité à piloter efficacement le dispositif de crise est capitale. Cela nécessite du bon sens, de la réactivité, de l'adaptabilité et de l'endurance de la part des équipes de gestion de crise confrontées à une situation sans précédent.
Plusieurs éléments sont essentiels pour limiter les conséquences négatives de la crise sur l'organisation :
- Une bonne gestion des seuils d'escalade jusqu'à la déclaration de crise.
- L’articulation entre la gestion de crise métiers et la réponse technique aux incidents.
- La coordination et le soutien des équipes de réponse.
- Une communication efficace pour maintenir la confiance avec les parties prenantes internes et externes. (clients, partenaires, sous-traitants…).
- L'apprentissage continu à chaque activation de la cellule de crise.
Chaque crise donne lieu à une analyse rétrospective permettant d'améliorer la gouvernance et de renforcer les mesures de sécurité. En outre, une crise bien gérée offre l'opportunité de renforcer de manière durable les systèmes d'information et l'organisation face aux cybermenaces.
À lire aussi
Articles recommandés pour booster votre cybersécurité
Cybersécurité
PCA : 5 étapes pour le mettre en place + exemple !
Transferts sécurisés
Comment sécuriser le partage de fichiers en entreprise ?
Sources :
1 https://www.stoik.io/cybersecurite/chiffres-cles
2 https://www.pwc.com/gx/en/issues/c-suite-insights/ceo-survey.html
3 https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023
6 https://cyber.gouv.fr/actualites/le-rapport-dactivite-2022-de-lanssi-est-en-ligne
7 https://themas.lemondeinformatique.fr/les-chiffres-cles-signifiants-de-la-cyber-resilience/
9 https://www.isaca.org/resources/reports/state-of-cybersecurity-2023
10 https://www.verizon.com/business/fr-fr/resources/reports/dbir/
12 https://www.datasecuritybreach.fr/phishing-2023-annee-record/
16 https://www.kaspersky.com/blog/the-human-factor-in-it-security/
17 https://learn.microsoft.com/fr-fr/entra/fundamentals/security-defaults
19 https://www.itforbusiness.fr/resilience-80-des-entreprises-n-ont-pas-de-veritable-pra-64087
Découvrez la suite LockSelf
Protégez vos données dès aujourd'hui
Accédez à l'ensemble des fonctionnalités de la suite LockSelf pendant 14 jours, gratuitement.
Sommaire
Cybersécurité en entreprise : le guide complet 2024