Cybersécurité 2020 : points de vigilance et meilleures solutions
Avis d'expert par Marc Lafleuriel, Directeur Exploitation et Sécurité chez Cyrès
Les risques en matière de cybersécurité pour l’année à venir ne présentent pas d’importantes nouveautés par rapport aux années précédentes. Néanmoins, certains exigent une vigilance accrue. A l’entreprise, si elle ne l’a pas déjà fait, d’adopter de bonnes pratiques essentielles, à savoir sensibilisation et sauvegarde des données.
Cloud, localisation et niveau de sécurité
Le fonctionnement et la perception du Cloud a beaucoup évolué en 10 ans. Les entreprises ont longtemps oscillé entre On premise et Cloud public. Le RGPD a ensuite provoqué un regain d’intérêt et d’attention pour la localisation et les usages de la donnée, entrainant l’apparition de solutions hybrides. Ces multiples migrations font peser un risque accru sur la sécurité de la donnée.
L’entreprise doit connaître avec précision la localisation de ses données, savoir qui les infogère et comment, dans quelles conditions de sécurité et avec quelles certifications. Sur ce point d’ailleurs, la sécurité n’est pas entendue de la même façon d’un cloud à l’autre. Alors que l’on a tendance à sélectionner son fournisseur de Cloud en fonction des usages que l’on a de sa donnée, il est plus judicieux de le choisir en fonction du niveau de sécurité que l’on souhaite attribuer à ses jeux de datas. Après tout, l’entreprise reste responsable au premier chef des données qu’elle traite.
Les failles à la conception de l’IoT
Le potentiel de rentabilité des objets connectés peut parfois impacter leur sécurité lors de la conception, particulièrement lorsque l’on aborde des technologies innovantes. Des objets connectés destinés aux particuliers, aux solutions smart city des territoires, les nouvelles capacités de communication des capteurs entre eux et avec les systèmes ne doivent pas faire oublier d’éventuels risques de cyberattaques.
Et parce qu’il n’existe encore ni norme ni standard dans l’IoT, la plus grande vigilance s’impose dès la sélection des dispositifs que l’on souhaite implanter en ville. Capteurs environnementaux, éclairage intelligent, gestion automatique des feux de circulation, sont tous très dépendants de bonnes pratiques, lors de leur installation et pendant leur exploitation.
Les deux facettes de l’IA
Les solutions d’IA ont vocation, en matière de cybersécurité, à détecter des comportements anormaux liés à des failles de sécurité ou d’utilisation du réseau, afin d’anticiper de potentielles attaques. Aide au prédictif, l’analyse comportementale permet d’opérer des détections de manière automatique et surtout de limiter l’accès aux données tant qu’une demande d’authentification forte n’aura pas été satisfaite.
Au demeurant, les pirates informatiques n’ont pas attendu les entreprises pour adopter l’intelligence artificielle. Elle les aide à mieux choisir leurs cibles, à mieux opérer leurs démarches d’ingénierie sociale, à réduire les délais des attaques. Avec leurs propres moteurs d’intelligence artificielle, les assaillants réalisent maintenant des attaques de plus en plus sophistiquées et difficiles à contrecarrer avec les mêmes modèles d’IA.
La cyber assurance : la fausse bonne idée
Très à la mode, les assurances aux cyber-risques représentent un coût élevé pour une garantie qui reste limitée et qui ne permettra jamais à l’entreprise de retrouver ses données. L’élément prédominant en matière de cybersécurité est de garder en mémoire que les hackers ont et auront toujours une longueur d’avance. C’est pourquoi la meilleure des assurances reste la sauvegarde de sa data, via des backups réguliers, afin d’organiser avec le moins de complications possibles la reprise de son activité.
La bonne nouvelle : une sensibilisation en nette augmentation
A noter toutefois une nette augmentation de la demande visant à sensibiliser les utilisateurs, par des tests de phishing notamment. Ces tests et leurs résultats permettent rapidement de combler les lacunes et de renforcer la vigilance des collaborateurs.
Par ailleurs les directions générales aussi jouent pleinement le jeu de la formation et de la compréhension d’un sujet qu’elles prennent désormais très au sérieux. Et parce que les budgets à prévoir pour des séances de formation restent raisonnables, les entreprises se montrent particulièrement enclines à former l’ensemble du personnel, de la base au sommet.
Un bémol peut-être du côté des petites et moyennes entreprises, lesquelles restent moins actives que leurs consœurs de plus de 250 salariés dans le renforcement de la prévention. Parce qu’elles n’y sont pas forcément poussées par la réglementation et compte tenu de leur organisation, la sensibilisation à la cybersécurité dans les PME se développe plus lentement.
A propos de Cyrès
Créée en 1999, Cyrès accompagne les entreprises dans leurs projets IT grâce à son agilité sur l’implémentation d’infrastructures sécurisées, sa maîtrise des environnements cloud, son approche DevOps et son expertise Big Data. Cyrès propose des services et des expertises complémentaires pour accompagner les entreprises dans la réalisation de leurs projets informatiques : audit, conseil, sécurité, migration, exploitation, support.
Grâce à sa maîtrise des environnements cloud, la société peut héberger des projets sur différentes plateformes cloud afin de répondre à des besoins d’agilité et de cloud hybride. Le datacenter Tier III de Cyrès basé à Tours (37), certifié PCI DSS, permet d’externaliser des infrastructures avec une forte garantie de sécurité et de disponibilité des données.
Cyrès accompagne aussi ces clients dans la mise en place de leurs liens télécoms (internet & téléphonie), de PRA & PCA, d’environnement dédié hautement sécurisé, d’externalisation de sauvegardes, d’infrastructures Big Data, de plateforme de conteneurisation, de messagerie sécurisée, de machine virtuelle à la demande, …