Trouvez votre solution

  1. 1

    Vous voulez...

  2. 2

    Dans quel but ?

  3. 3

    Pour quel objectif ?

recommencer
Financer et sécuriser ses opérations à l’international
Article précédent Financer et sécuriser ses opérations à l’international
Suivi instantané des paiements en ligne
Article suivant Suivi instantané des paiements en ligne

Cyber-résilience ou comment se relever d’un piratage informatique

04/02/2019

Face à la multiplication et à la sophistication des cyberattaques, nulle entreprise n’est à l’abri. D’où l’importance de la cyber-résilience, c’est-à-dire la capacité à limiter les impacts d’une attaque sur le business. Interview de Didier Gras, responsable cybersécurité chez BNP Paribas.

Que faut-il retenir du Congrès annuel du Cesin ?

Didier Gras : Ce grand événement annuel, qui s’est tenu à Reims en décembre, rassemble les principaux responsables cybersécurité des entreprises en France pour faire le bilan de l’année écoulée et d’identifier les tendances de l’année à venir. Le bilan de ces échanges et des travaux se résume à l’impératif d’ assurer la cyber-résilience de ses activités. Cela vise toutes les entreprises, peu importe leur taille. En effet, une réponse rapide et appropriée peut permettre de minimiser les dommages sur le business.
Or, moins d’un RSSI (responsable de la sécurité des systèmes d'information) français sur deux considère que son entreprise est préparée à gérer une cyber-attaque de grande ampleur, selon un récent sondage du Cesin*. Pire, seule une entreprise sur dix a mis en place un véritable programme de cyber-résilience.

"Peu d’entreprises se préparent à la cyber-attaque"


Comment développer sa cyber-résilience ?

Didier Gras : Le minimum requis nécessite d’identifier ses ressources essentielles (les personnes, les activités, les services, les données, les prestataires), d’imaginer le scénario le plus redouté puis de s’entraîner à faire face en cas de survenance. Autrement dit, la réaction à une cybercrise ne s’improvise pas !
Il est possible d’aller plus loin en formalisant un programme de cyber-résilience ou, plus globalement un plan de continuité d’activité (PCA) qui intègrent tous les risques auxquels l’entreprise est confrontée : la cyberfraude mais aussi les incendies, les pannes, les catastrophes naturelles… L’objectif est d’identifier les menaces puis de mettre en place des dispositifs de prévention, de détection, de réaction, de récupération et de reprise afin d’éviter l'interruption des services stratégiques.
Il est ensuite nécessaire de mettre à l’épreuve régulièrement les solutions de gestion de crise envisagées. Comment ? Tout d’abord en menant des scans de vulnérabilités -si possible quotidiens- et des tests d’intrusion régulièrement dans l’année qui permettent de détecter les failles potentielles du SI face aux attaques. Ensuite, il est nécessaire de se mettre en situation, de simuler un piratage afin de tester la fiabilité du plan de remédiation et de permettre aux collaborateurs de s’entraîner à mettre en œuvre les politiques et procédures dédiées. Ces simulations doivent être sources d’amélioration des dispositifs mis en place. En effet, des actions correctives doivent être apportées au programme de cyber-résilience ou au PCA en fonction des dysfonctionnements constatés.
La cyber-résilience nécessite de s’extraire des impératifs du quotidien pour prendre le temps de s’entraîner, s’entraîner et encore s’entraîner à faire face au pire !

"La cyber-résilience nécessite de l’entraînement"
La cyber-résilience nécessite de l’entraînement

Prévenir les cyber-risques reste néanmoins la priorité ?

Didier Gras : Mettre en place des process afin de se préparer au pire, c’est bien, mais mettre toutes les chances de son côté pour que le pire n’arrive pas, c’est évidemment la base. Un plan de cyber-résilience n’est pertinent que si les règles minimales de cyber-hygiène sont respectées. Nous avons déjà évoqué dans cette newsletter l’importance de la bonne utilisation de sa messagerie électronique ou encore de mettre en place une charte informatique.
Je souhaiterais cette fois insister sur l’importance des mots de passe, élément-clé de la cybersécurité. Trop d’utilisateurs continuent, dans un souci de mémorisation, de choisir des mots de passe faciles à trouver : suites de touches du clavier comme 123456, son prénom, sa date de naissance, son numéro de téléphone... L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) recommande d’en adopter un comprenant 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) et n’ayant aucun lien avec vous.
L’ANSSI propose deux méthodes pour créer des mots de passe sécurisés :

  • La méthode phonétique : ainsi, selon l’exemple fourni par l’ANSSI, "J’ai acheté huit cd pour cent euros cet après-midi" devient ght8CD%E7am.
  • La méthode des premières lettres : prendre une phrase facile à se remémorer et ne conserver que la première lettre. Cela donne par exemple pour "Rien ne sert de courir, il faut partir à point" : Rns2c,ifpàp.

Pour ceux qui manquent d’inspiration, il existe des générateurs gratuits de mots de passe sur Internet, comme celui mis en ligne par la CNIL ou https://www.motdepasse.xyz/.
Une autre erreur courante consiste à utiliser le même mot de passe pour tous ses comptes. Là encore afin de s’en souvenir le moment voulu. Or, cette pratique est fort dangereuse car, en un seul piratage, les cybercriminels ont alors facilement accès à tous les comptes.
Mais, la multiplication des mots de passe complexifie la tâche des utilisateurs qui, pour se souvenir de leurs précieux codes d’accès, les conservent dans des fichiers, les préenregistrent dans leur navigateur, voire les notent sur un post-it. Ce ne sont évidemment pas de bonnes idées. La meilleure option reste l’utilisation d’un gestionnaire de mots de passe comme celui mis en ligne par la CNIL ou Keepass (gratuit) ou Dashlane (payant).

* Club des experts de la sécurité de l'information et du numérique.

Nous vous recommandons également
Article
Cybermenaces : toutes les entreprises sont concernées !

Pour se protéger des cybermenaces il n’est pas nécessaire de déployer des moyens colossaux. L’adoption de mesures simples sont néanmoins nécessaires.

Article
Pérennisez votre entreprise grâce au risk manager !

Pour pérenniser votre entreprise, pourquoi ne pas embaucher un risk manager ? Cette fonction s’impose petit à petit dans les ETI et PME.