2021, année critique pour la cybersécurité d’entreprise

Fraude au président, phishing, déni de service… toutes les cyberattaques que redoutent les entreprises ont la donnée comme point d’entrée. Une réalité que 2021 va exacerber jusqu’à son paroxysme, puisque cette nouvelle année voit la 5G se déployer, alors même que le télétravail se généralise. Dans ce contexte, les VPN traditionnels ne suffisent plus à assurer la cybersécurité de l’entreprise. Les priorités se redéfinissent, pour investir davantage dans le chiffrement des données, la sécurisation des accès, le recours à des logiciels métiers, mais aussi, voire surtout, dans la formation.

Pourquoi 2021 est une année pivot pour la cybersécurité d’entreprise ?

Selon une enquête LeMagIT/TechTarget sur les priorités IT de 2020, la crise sanitaire et le développement corollaire du télétravail vont profondément impacter les priorités en termes de cybersécurité de l’entreprise en 2021. Si les sociétés privilégient jusqu’ici l’amélioration de leurs pares-feux, il se pourrait bien que de nombreuses entreprises changent de cap.

Les entreprises au défi du télétravail

Le recours massif au télétravail dans le contexte de crise sanitaire a élargi le champ d’action des cyberattaques potentielles. Un employé qui travaille à la maison utilise son réseau internet personnel, mais aussi le réseau de l’entreprise. Il se sert par ailleurs de matériels informatiques reliés à son PC, lesquels sont eux-mêmes utilisés par d’autres membres de la famille. Cet enchevêtrement structurel offre un plus large terrain potentiel aux attaques des cybercriminels.

Des VPN devenus insuffisants

Dans ce contexte d’hyper-exposition, les réseaux privés virtuels (VPN) ne suffisent plus à garantir la cybersécurité des process et la protection des données de l’entreprise. Ils constituent même plutôt une opportunité de mieux se cacher pour les hackers de tout poil. Grâce aux VPN, ceux-ci ont les mains libres pour pirater le site internet de la société, comme dans le cas du redouté déni de service (DDoS), ou pour infiltrer son service informatique et en crypter les données, comme cela arrive avec les rançongiciels.

Ces attaques, que nous détaillions récemment dans l’article 2021 sera-t-elle l’année de la cybersécurité ?, doivent encourager les entreprises à recourir à des outils de cybersécurité plus solides que les VPN.

Les échanges professionnels confrontés à la 5G

Avec le déploiement de la 5G en France, les hackers devraient trouver de nouveaux supports d’action. De nouvelles applications vont voir le jour, d’ordre professionnel ou conversationnel, comme WhatsApp. À l’instar de beaucoup d’outils digitaux débutants, leurs process de sécurité pourraient manquer de solidité. Les informations professionnelles échangées via ces nouveaux supports vont donc particulièrement s’exposer aux cyberattaques.

Quelles sont les priorités pour la sécurité informatiques des entreprises en 2021 ?

L’étude LeMagIT/TechTarget précédemment citée identifie différentes catégories de priorités pour la cybersécurité de l’entreprise. La donnée se dresse naturellement au centre des stratégies informatiques des sociétés interrogées.

LeMagIT met notamment le doigt sur trois grands axes prioritaires en termes de SecDevOps (développements par les équipes de cybersécurité et d’opérations), d’objets connectés et d’Endpoint :

• Le chiffrement des données est la priorité la plus citée, en parallèle avec la lutte contre les attaques ransomwares. Notre article sur le cryptage des données du conseil d’administration expose les principales bonnes pratiques en la matière. Le passage par des outils de sécurisation des échanges, comme les salles de données virtuelles par exemple, devrait également s’imposer.
• L’analytics constitue aussi une des priorités, dans une logique de prévention, cette fois.

En termes de protection de l’identité de l’entreprise, et donc de lutte contre les piratages tels que la fraude au président, les investissements prioritaires vont à la gestion des accès et à l’authentification multifacteurs. Pour rappel, Diligent propose dans ce domaine une solution de collaboration dotée d’une gestion fine des accès, en plus des clés de chiffrement côté clients qui permettent d’accéder aux virtual data rooms.

Dans ce contexte, de nombreuses entreprises envisagent effectivement de passer par un prestataire de services de cybersécurité en 2021. Ces sociétés espèrent d’ailleurs que ceux-ci déploient prioritairement leurs services dans le domaine de la détection de la fraude, la formation des utilisateurs et de la sécurisation de la gouvernance.

Qui faut-il former à la sécurité informatique en interne ?

Toujours selon l’enquête LeMagIT/TechTarget, la première initiative IT qui devrait définir la gestion des risques dans le futur relève de la formation des utilisateurs. Celle-ci représente ainsi 34% des projets d’investissements.

Il faut dire que les cyberrisques naissent autant en interne qu’en externe. Ils relèvent effectivement souvent de ce qu’on appelle la “vulnérabilité humaine” des collaborateurs. L’étude Cyber Insécurité : Gérer les menaces de l’intérieur, réalisée par The Economist Intelligence Unit, souligne d’ailleurs que l’implication des employés dans la politique de cybersécurité de l’entreprise permet de réduire l’insécurité informatique selon 93% des répondants.

Il convient donc d’installer une solide politique de formation à la cybersécurité en interne, qui implique à la fois théorie et mises en pratique. Chez Diligent, notre personnel se forme ainsi tous les ans, tous postes confondus.

La formation en sécurité informatique doit aussi, bien sûr, se destiner aux administrateurs du conseil d’administration. Il s’agit d’ailleurs d’un public prioritaire, tant la nature des données manipulées est sensible. Les membres du CA manquent pourtant toujours de rigueur dans ce domaine. Beaucoup utilisent encore leurs téléphones personnels pour échanger avec les autres administrateurs, alors même qu’un membre du CA sur 3 a déjà perdu un appareil portable sur l’année 2018.

L’enjeu qui tourne autour de la cybersécurité des conseils d’administration peut d’ailleurs amener à recruter de nouvelles compétences, et notamment des experts en cybersécurité. Ceux-ci doivent être en mesure d’évaluer le niveau de sécurité des échanges du CA à leurs arrivées, pour ensuite proposer des procédures et des outils d’optimisation de la sécurité informatique du conseil.