⏱ 9 min
Les périodes d'incertitude et de changement profitent aux cybercriminels. Les cibles de leurs attaques ne sont pas toujours de grandes entreprises solides financièrement. Le fait de pouvoir s’introduire dans un système sans trop d’effort représente une surface d'attaque intéressante pour les cybercriminels. Etant donné que, en comparaison des grandes entreprises, les organisations à but non lucratif (NPO) disposent généralement de moins de mécanismes de protection, elles sont particulièrement exposées aux risques. Cet article vous propose des pistes pour améliorer votre sécurité informatique et votre protection.
En 2021, la sécurité informatique reste un des principaux enjeux des entreprises et des NPO. D'autant que, même si la menace est omniprésente, elle reste intangible. Ces vingt dernières années, le nombre d'incidents liés à la sécurité informatique n'a cessé d'augmenter. Ces incidents représentent une menace croissante pour les organisations quelle que soit leur forme ou leur taille. À l'heure de la pandémie, qui a considérablement accéléré la digitalisation, la problématique de la sécurité informatique a gagné en importance. Les NPO sont particulièrement exposées car elles disposent généralement de moins de mécanismes de protection, n’ont que peu de personnel spécialisé et consacrent un budget plus modeste à la sécurité informatique. Les cybercriminels «prospèrent dans le chaos» (que ce soit le chaos provoqué par la pandémie ou une informatique chaotique) et, en vertu des lois de la nature, s’attaquent souvent aux plus faibles.
Dans ce contexte, il est utile que les NPO acquièrent une compréhension fondamentale de ce qu'implique une approche adéquate de la sécurité informatique. Dans cet article, nous détaillons la vulnérabilité des NPO et vous expliquons ce qu'il est possible de faire pour se protéger. Nous vous donnerons également 6 conseils pour vous aider dans votre démarche.
Quelle est la vulnérabilité des NPO et des PME?
L’étude de diverses entreprises permet de dresser un constat similaire: dans certains cas, les risques liés à la sécurité informatique (par ex., les cyberrisques) figurent parmi les principaux risques auxquels sont confrontés les entreprises et les organisations en tout genre. L'année dernière, les risques liés à la sécurité informatique ont même «dépassés» des risques traditionnels tels que les ruptures des chaînes d'approvisionnement ou les modifications réglementaires. On peut considérer cela comme un nouveau record négatif pour les risques liés à la sécurité informatique.
C’est d’autant plus inquiétant que de nombreuses entreprises et NPO ne disposent toujours pas d'une protection adéquate contre les cyberattaques. Et ce, malgré le fait que des mesures simples et rentables permettraient de réduire les plus grands risques liés à la sécurité informatique et de limiter les portes d'entrée utilisées par les logiciels malveillants.
Les mythes qui procurent aux organisations un faux sentiment de sécurité informatique persistent. Non seulement ces mythes sont faux, mais ils sont également dangereux. Ils entraînent un peu partout, d’une part, une grave négligence de toute les mesures en matière de sécurité informatique et, d’autres part, la suppression du financement correspondant. Le mythe le plus connu est sans doute: «Nous sommes trop petits, et donc pas intéressants, pour des cyberattaques». Les cybercriminels ne s’en prennent pas uniquement aux grandes entreprises financièrement solides, ils s’intéressent à toutes les organisations où il est possible d'obtenir quelque chose sans fournir trop d’effort. Ces attaques ne sont pas nécessairement motivées par de grosses sommes d'argent.
Les chiffres suivants montrent clairement que les cybercriminels ne s'intéressent pas qu’aux «grands», mais aux entreprises de toutes tailles et surtout aux PME
- 36% des PME en Suisse ont déjà été victimes de cybercriminalité.
- En avril 2020 (lors de la première vague Covid), 350 cyberattaques ont été menées contre des entreprises en Suisse (la norme est entre 100 et 150).
- Plus de 38’000 PME suisses ont déjà été victimes d'une cyberattaque, avec des conséquences graves pour les victimes dans près de 13’000 de ces attaques.
Il ne faut pas minimiser le risque d’être un jour victime d'une cyberattaque. La cause d'une cyberattaque peut être de différentes natures. L’être humain est presque toujours à l’origine de l'incident de sécurité. Exemples de causes:
- Manipulation imprudente des données/informations
- Perte d'équipements (par ex., un ordinateur portable)
- Phishing/ingénierie sociale
- Virus/Cheval de Troie (par exemple via des e-mails ou des supports de données externes tels que des clés USB)
Les conséquences des incidents liés à la sécurité informatique sont aussi variées que les causes elles-mêmes. Il s'agit, par ex., des éléments suivants:
- Interruption/arrêt des activités
- Perte/divulgation de données sensibles
- Perte de réputation
- Demandes de rançon
- Répercussions légales/officielles
La situation est particulièrement problématique si aucune mesure appropriée n'est prise contre les risques existants. Des mesures appropriées sont, entre autres, la création de sauvegardes, la sensibilisation des collaborateurs, la définition et la mise en œuvre de directives en matière de sécurité informatique, la protection technique des systèmes (par ex., un accès à distance sécurisé). Néanmoins, les petites organisations, en particulier, renoncent souvent à prendre les mesures nécessaires. Ce constat est surprenant, d’autant plus lorsque les investissements ou les efforts requis sont modérés. Voici quelques chiffres:
- 47% des entreprises suisses répondent à la «norme minimale TIC» en matière de sécurité informatique. 53% n’y répondent pas.
- 55% des PME suisses n'ont aucune politique en matière de sécurité de l'information
- En 2020, près de 30% des PME ont étendu le travail à domicile, mais seules 9% d'entre elles ont renforcé ou adapté leurs mesures de sécurité.
Les précautions pour maintenir la sécurité informatique ne sont pas seulement absolument nécessaires, elles s'avèrent aussi salutaires. Il est établi que les dépenses liées aux mesures préventives en matière de protection informatiques sont bien moindres en comparaison du préjudice financier que peut entraîner un incident de sécurité informatique: une cyberattaque coûte en moyenne CHF 130’000 aux PME suisses.
Quelles sont les répercussions du travail à domicile sur la sécurité informatique?
Lorsque, en avril 2020, les NPO ont étendu en toute hâte les accès pour le télétravail et les systèmes de collaboration, nombre d’entre elles ont attribué la priorité de manière pragmatique à la continuité des opérations au détriment de la sécurité informatique. À cela s'ajoute l'utilisation de nouveaux outils tels que les solutions de vidéoconférence, qui sont autant de nouvelles portes d’entrée pour les cybercriminels. Des failles de sécurités ont été identifiées à maintes reprises par le passé, même dans des outils reconnus. Dès lors, il est essentiel que les NPO aussi examinent et valident le concept de sécurité informatique sous-jacent. Le constat est malheureux: le coronavirus représente une aubaine pour les cybercriminels. Compte tenu de cette situation, les NPO (comme les autres entreprises) devraient être d'autant plus critiques quant à la sécurité de leurs systèmes et de leurs accès et de s'en préoccuper consciencieusement.
Quel est le rapport entre la sécurité informatique et la protection des données?
La sécurité informatique et la protection des données sont deux choses différentes. Cependant, dans un monde digitalisé, l’informatique se voit fréquemment confier la mise en œuvre des exigences légales en matière de protection des données. Lorsque des données sont perdues ou rendues publiques en raison d’un incident lié à la sécurité informatique dans une entreprise, la protection des données occupe inévitablement le devant de la scène. La protection des données est un principe précieux et les données à caractère personnel doivent être protégées de manière adéquate. Pour être en conformité avec la législation en matière de protection des données, les NPO doivent prendre la sécurité informatique au sérieux et appliquer correctement les précautions généralement connues.
La loi sur la protection des données (LPD) peut leur servir de référence en matière de sécurité informatique. De nombreux éléments qu'elle précise impliquent la mise en place d'une sécurité informatique d’envergure et fonctionnelle. Consultez les MTO (mesures techniques et organisationnelles) énumérées dans la LPD. Il y est stipulé, par exemple, que les données (à caractère personnel) doivent être protégées contre tout accès non autorisé en dehors de l'organisation. Il s'agit, bien entendu, d'un principe universel en matière de sécurité informatique.
6 conseils: Que peuvent faire les NPO pour préserver leur sécurité informatique?
Une bonne sécurité informatique est possible même si, proportionnellement, les ressources sont faibles. L'important est de poursuivre des objectifs définis et de fixer les bonnes priorités.
6 conseils pour votre protection:
1. Créez des sauvegardes, stockez-les correctement et testez-les
Il est important de créer des sauvegardes et il est indispensable de les stocker correctement et de les tester régulièrement. Si les sauvegardes ne sont pas stockées séparément, elles peuvent également être cryptées au cours d’une attaque par un rançongiciel (cheval de Troie de cryptage avec demande de rançon). Dans ce cas, il n'y a pas grand-chose à faire. C’est d’autant plus ennuyeux que cela aurait pu être évité sans trop de frais.
Pour cette raison, veillez à sauvegarder vos données car elles représentent la clé de voûte de toute tactique de sécurité informatique. Il est également très important d'enregistrer votre sauvegarde, dans l’idéal, sur un support physique séparé (par ex., un NAS). Conservez de préférence ce support physique dans un lieu géographique différent. Vos données seront ainsi protégées contre le feu et les dégâts naturels. Enfin, vous devez régulièrement tester la fonctionnalité de votre sauvegarde: si elle ne fonctionne pas, c’est comme si elle n’existait pas.
2. Sensibilisez vos collaborateurs
L’être humain représente le plus grand risque en matière de sécurité informatique. En tant que ligne de défense importante, les collaborateurs doivent participer aux efforts en matière de sécurité informatique. Formation et sensibilisation sont essentielles: vos collaborateurs apprennent ainsi à connaître les risques, évitent les dangers et savent ce qu'il faut faire et ce qu’il ne faut pas faire. Ceci est d’autant plus important si vos collaborateurs travaillent depuis leur domicile.
3. Mots de passe et méthodes d'authentification sécurisés
Nous connaissons tous cette situation: une multitude de comptes d'utilisateurs sur une multitude de sites web. Il convient d’éviter l’utilisation répétée des mêmes mots de passe partout et notamment pour les affaires courantes. Toutefois, comme il est peu probable que vos collaborateurs puissent se souvenir de plusieurs mots de passe complexes, vous devez non seulement définir des exigences strictes en la matière, mais aussi fournir des outils adéquats garantissant le stockage et la gestion des mots de passe en toute sécurité (par ex., un password manager).
Vous n'avez qu’une influence limitée sur les mots de passe que vos collaborateurs choisissent. Par conséquent, il est recommandé d’utiliser l'authentification multifactorielle pour renforcer votre sécurité informatique, en particulier lorsque les collaborateurs travaillent à domicile (par ex., l'authentification à deux facteurs grâce à un code PIN reçu sur le téléphone portable).
4. Définir les objectifs de sécurité et les instructions
Les ressources (limitées) disponibles doivent être utilisées de manière ciblée. Examinez votre environnement informatique et hiérarchisez les systèmes et les mesures de protection. Définissez également les systèmes qui, quelles que soient les circonstances, ne peuvent en aucun cas tomber en panne. Rédigez des directives de sécurité IT et veillez à leur diffusion au sein de l'entreprise. C'est également une bonne façon de sensibiliser les collaborateurs à la sécurité informatique. Profitez de ce processus pour dresser un inventaires qui indique quels systèmes doivent être restaurés en cas d’urgence et avec quelle priorité. Des directives de sécurité informatique solides réduisent la probabilité d'un incident, et une planification adéquate donne aux services informatiques des moyens rapides de minimiser les dommages en cas d'attaque.
5. Assumer ses responsabilités
L'informatique est responsable de la mise en œuvre de la sécurité informatique, mais pas de la sécurité informatique en soi. Cette responsabilité incombe à la haute direction. De ce fait, la direction doit comprendre l'importance de la sécurité informatique et l’apprécier à sa juste valeur. Il existe de nombreux endroits où il est désormais impossible de travailler sans informatique. La direction doit leur accorder une attention particulière en définissant les conditions cadres et les attentes en matière de sécurité informatique, ce mandat peut être confié à l’informatique. La sécurité informatique sûre à 100 % n'existe pas, il est donc nécessaire de définir des lignes directrices sur la manière dont les ressources disponibles doivent être utilisées, mais aussi l'endroit où elles doivent l’être. Comment dit-on déjà: «La sécurité informatique est toujours trop chère jusqu'à ce que quelque chose se produise et qu’il s'avère que cela aurait été l'option la moins chère.» Evitez d’en arriver là.
6. Demander de l'aide
Travailler avec les bons experts est la meilleure façon d'aborder le risque de sécurité informatique au sein des NPO dont les connaissances informatiques sont parfois limitées. Ils vous aideront à préserver la sécurité informatique dans votre organisation. Il peut être judicieux de s’adresser à une source extérieure pour obtenir une confirmation ou de l'aide. Le bon expert vous aidera à définir vos directives en matière de sécurité informatique, à former les collaborateurs, à tester la sécurité des systèmes, à effectuer des évaluations globales de la sécurité, etc.
Résumé
Il est important de suivre les principes les plus répandus en matière de sécurité informatique, de prendre la sécurité informatique au sérieux et que la direction en fasse une priorité, mais il est également important de mettre en œuvre des mesures techniques et organisationnelles (selon la LPD), de minimiser les risques, de plaider en faveur de ressources financières suffisantes et de demander l'aide d'experts en cas d'incertitude.
Avertissement:
En publiant cet article, BDO n’assume aucune responsabilité en ce qui concerne la sécurité informatique au sein de votre entreprise. Cela s’applique notamment lors de la mise en œuvre des conseils. Les conseils fournis servent à améliorer le niveau de la sécurité informatique. Il n’est pas et ne sera jamais possible de garantir une sécurité informatique complète et d’envergure. L’objectif étant toujours de réduire au maximum les surfaces d’attaque et d’être prêt pour les situations d’urgence.