La meilleure stratégie de défense repose sur l’articulation de deux rideaux :
- en première ligne, les défenses technologiques mais aussi organisationnelles et humaines ;
- en seconde ligne, l’assurance permet le transfert du risque résiduel qu’il n’est pas possible ou pas économique d’éradiquer par la technologie ou l’organisation.
Du côté des bonnes pratiques techniques, il s’agit de réaliser une cartographie du système d’information et un audit de vulnérabilité. Il s’agit également, au-delà des firewalls et antivirus, de réaliser régulièrement une sauvegarde de données externe, de mettre en place une politique de mots de passe, de mises à jour et de patchs. Et de tester régulièrement les systèmes de protection et de restauration des données. S’y ajoutent une bonne gestion de la mobilité et des droits d’accès, ainsi que la protection des données par chiffrement.
Il faut en outre concevoir un plan de continuité des activités. Globalement, l’entreprise doit avoir une bonne gouvernance du SI accompagnée d’un bon risk management. Jean-Christophe Vitu, VP Solution Engineers chez CyberArk, entreprise de cybersécurité spécialisée dans la sécurisation des accès privilégiés, qui compte plus d’une centaine de clients en France, remarque un changement de philosophie : « la sécurité informatique ne repose pas sur un niveau de sécurité standard mais sur l’identification des risques les plus sensibles. »
Une entreprise avertie en vaut deux. Mieux vaut être préparé à une cyberattaque, pour éviter panique et désorganisation interne complète le jour J. Il faut pouvoir gérer les conséquences d’un incident rapidement. Un plan de gestion de crise aura été défini en amont.
Enfin, il faut former les employés à l’hygiène informatique et contre le phishing et autres types d’attaques courantes. Verspieren s’est associé avec CGI pour proposer des analyses de vulnérabilité, de la sensibilisation et de la formation face aux cyber-risques. « C’est l’avenir, les entreprises sont en demande de ce type de prestations, » s’enthousiasme Yves Fournier, directeur de clientèle et spécialiste du risque cyber chez Verspieren.
Les PME doivent, avec leurs moyens, adopter ces bonnes pratiques, comme les grandes entreprises. Marc-Eric Bellot, responsable du domaine cyber chez Allianz France, qui assure les PME, souligne que « la gestion des sauvegardes et l’identification de solution de reprise d’activité après attaques sont primordiales pour les PME, d’autant plus qu’elles sont moins résilientes que les grandes entreprises car moins structurées. Nous n’assurons pas les PME qui n’ont aucune politique de prévention des risques, car il n’y a plus d’aléa, mais nous veillons au réalisme des mesures que nous demandons. »
