Entretien avec Gwenaelle MARTINET, Directrice de la coordination de l’offre cybersécurité du groupe Docaposte.
La cybersécurité, est-ce vraiment un sujet primordial pour un dirigeant d’entreprise ?
Evidemment ! Protéger son activité est le cœur du métier d’un dirigeant. Son rôle est de connaitre l’ensemble de ses risques, de les traiter et surtout de mettre en place les moyens nécessaires pour s’en prémunir. Il doit donc être pleinement conscient du risque cyber et savoir exiger de ses prestataires un niveau de sécurité adapté. Avec la très forte numérisation, les attaques cyber ont des impacts de plus en plus forts : vol et/ou perte de données, arrêt de la production, chômage technique, pertes financières… Les risques sont trop importants pour être ignorés.
Prenons un exemple : une PME, éditrice de logiciels professionnels, notamment pour des boutiques et des sites de e-commerce, se fait attaquer. Son système d’information est hors service, chiffré par les cybercriminels qui ont bien pris soin, avant le chiffrement, d’exfiltrer les données pour les revendre. Des conséquences en cascade s’accumulent alors, pour cette PME et ses clients, avec les pertes de données (information à la CNIL pour la perte de données personnelles, information directes aux personnes concernées par cette fuite de données, information aux clients qui devront eux-même faire des déclarations CNIL). Les impacts sont également considérables sur l’activité : les logiciels des clients en ligne ou en boutique ne fonctionnent plus, des clients mécontents partout et des conséquences financières très lourdes.
Pourtant, cette PME n’est pas a priori une cible évidente : elle a probablement subi une attaque opportuniste d’un attaquant cherchant à s’introduire dans tout système d’information exposé, quelle que soit la victime. L’attaquant cherche à maximiser son gain financier, via la revente de données et les rançons exigées.
La sécurisation de l’activité face aux risques cyber est donc absolument fondamentale pour toutes les entreprises, quelle que soit leur taille ou leur domaine d’activité. Cette sécurisation débute par la prise de conscience du dirigeant.
Concrètement, y a-t-il des solutions simples pour se protéger ?
Certaines briques de sécurisation sont essentielles et très simples à mettre en place : protéger ses données avec une sauvegarde automatique et sécurisée, protéger sa messagerie des sollicitations malveillantes et protéger ses postes de travail et serveurs pour détecter et arrêter au plus vite les tentatives d’attaques. Ce socle essentiel peut être installé rapidement et à un coût très accessible, de l’ordre d’une dizaine d’euros par mois et par poste.
Ensuite, d’autres outils peuvent être déployés, selon la maturité de chacun et la complexité de son informatique. Le principe est de faire grandir chaque salarié sur le sujet cyber, avec de la sensibilisation et des entrainements réguliers, mais surtout d’identifier tous les vecteurs d’attaque potentiels des cybercriminels, pour mieux les neutraliser ou les surveiller de près : sites exposés, mauvais paramétrages, obsolescence, erreurs humaines… Avec des solutions très simples, on peut se protéger très efficacement.
Pour aller plus loin, et comme pour tout autre risque, le dirigeant doit être accompagné pour l’aider à piloter sa maîtrise du risque cyber. La cybersécurité est un sujet qui peut paraitre complexe, avec beaucoup d’acteurs, de solutions, d’outils et de jargon. S’appuyer sur des partenaires de confiance qui l’aident à naviguer au cœur de ce sujet est la seule solution pertinente, pour couvrir tous les sujets et limiter les risques au maximum. Docaposte, filiale du groupe La Poste, réalise ce travail d’accompagnement et de fourniture de solution.
Avez-vous quelques conseils à nous partager pour se lancer ?
Il faut se faire accompagner par le bon acteur qui saura définir le bon niveau de sécurité par rapport aux enjeux de l’entreprise. Pour un grand groupe, il s’agit d’un cabinet de conseil ou d’un grande entreprise spécialisée en cybersécurité. Pour les TPE et PME, il faut choisir un intégrateur qui a déjà fait le travail de sélectionner les solutions adaptées et qui rassemble en un seul contrat tous les produits nécessaires. Cela permet de faire face au jargon technique et au foisonnement d’éditeurs logiciels. Un acteur comme Docaposte propose cette offre « tout en un » qui permet aux chefs d’entreprise de gagner du temps dans le pilotage de leur cybersécurité et la maitrise de leurs risques.
