On entend souvent parler, à juste titre, des peurs liées à la cybercriminalité. Mais franchir le cap de la cybersécurité peut aussi effrayer les particuliers, les professionnels et les petites entreprises.
Plusieurs craintes sont exprimées : le manque d’informations et de compétences pour maîtriser ces nouvelles technologies, les évolutions qui sont trop rapides et trop complexes, le risque de se faire pirater, le délai d’installation ou d’adaptation à de nouveaux outils, le coût d’une bonne protection…
Pourtant, mettre en place de bonnes pratiques en matière de cybersécurité est beaucoup plus simple qu’il n’y parait !
En finir avec la peur irrationnelle du numérique
Le monde virtuel n’est pas si éloigné que ça du monde réel.
Prenons l’exemple de la sécurité. Un commerçant qui dispose d’un local va prendre un certain nombre de mesures pour le protéger, éviter les intrusions indésirables et garantir la sécurité des personnes. Il va ainsi s’équiper d’un rideau métallique, d’une alarme, d’un extincteur en cas d’incendie, etc… Il va aussi s’informer un minimum pour éviter d’être victime d’un certain nombre d’arnaques (exemple : payer pour insérer une publicité dans un plan de ville bidon). Il prendra aussi des dispositions « de bon sens » comme ne pas laisser traîner des documents importants à la vue de tous ou mettre dans une vitrine fermée les objets les plus fragiles ou les plus chers.
Avec le numérique, c’est un peu la même chose. Quand une entreprise (ou un particulier) utilise internet ou des objets connectés, elle doit simplement prendre certaines précautions et adopter de bonnes pratiques pour être en sécurité.
La peur des nouvelles technologies n’est évidemment pas totalement injustifiée : elles ont donné naissance au « Dark Business » et à la cybercriminalité, elles évoluent très rapidement et elles peuvent sembler parfois totalement opaques pour les néophytes. Mais il ne faut pas oublier l’essentiel : elles apportent aussi de formidables opportunités. Une étude réalisée par Capgemini Consulting et le « MIT Center for Digital Business » a notamment montré que les entreprises qui ont réussi leur transformation digitale sont 26% plus performantes que les autres (source).
Prendre de la hauteur et avancer par étapes
En matière de cybersécurité, il y a 3 écueils majeurs à éviter :
- Ne rien faire : les dangers, même s’ils ne sont pas immédiatement visibles, n’en sont pas moins réels. Le baromètre de la cybersécurité annuel du CESIN souligne que le nombre de cyber-attaques a augmenté pour 46% des entreprises. (source)
- Ne pas valider la pertinence des mesures mises en place : votre dispositif de sécurité est-il réellement efficace ou peut-il être amélioré ?
- Rajouter toujours plus de logiciels, d’outils, de technologies : il est important de bien maîtriser les solutions mises en place avant d’en ajouter d’autres. Parfois, il est d’ailleurs préférable de simplifier pour être mieux protégé.
Il est donc important de prendre du recul et d’avancer progressivement. Il est notamment capital de s’habituer à avoir les bons réflexes (ne pas ouvrir de pièces jointes envoyées par des expéditeurs douteux par exemple) et de faire le point sur les pratiques de l’entreprise en matière de cybersécurité.
Agir pour ne plus subir, c’est aussi faire des économies
Éprouver une forme d’anxiété face à la nouveauté est tout à fait normal. Mais il ne faut pas pour autant se laisser dominer par la peur. Rester passif paralyse et donne l’impression de subir sans pouvoir agir, à l’image d’un bateau qui serait perdu en pleine tempête.
Or, il existe des moyens efficaces pour se protéger !
De plus, rester statique présente l’inconvénient d’augmenter le facteur risque ou de soumettre les entreprises au piège de la pression. Comment prendre une bonne décision dans l’urgence ou en se fiant au hasard ? Anticiper permet de choisir des solutions pérennes, adaptées au besoin des organisations (même les plus petites), au meilleur coût.
L’investissement lié à la cybersécurité évite surtout des dépenses beaucoup plus importantes en cas de piratage par des hackers (vol de données, espionnage industriel, chantage, hameçonnage, cryptojacking…).
Les entreprises et les professionnels n’ont d’ailleurs plus le choix : le Règlement général sur la protection des données (RGPD), un texte européen qui entre en vigueur en France le 25 mai prochain, les oblige à établir des scénarios en cas d’éventuelles attaques informatiques (source).
L’avis de Laurent Brault, dirigeant de MDK Solutions
Pour bien débuter en cybersécurité, voici 3 conseils afin d’avoir la bonne démarche :
1) Limitez les « accroches » avec le monde de l’hyper-connexion. Il faut notamment éviter les comptes chez les GAFA (Google, Amazon, Facebook et Apple) car les données sont aspirées, analysées et revendues.
2) Installez une bonne protection « numérique » sur tous les appareils connectés : objets connectés (ils sont particulièrement vulnérables, or 52% des Français en possèdent au moins un d’après une étude réalisée par OpinionWay), ordinateurs, tablettes, téléphones, wifi… Cela implique notamment de changer régulièrement le mot de passe administrateur et la clé des réseaux wifi. Il est aussi indispensable d’effectuer les mises à jour du logiciel de protection : en 2017, une grande part des cyberattaques se sont focalisés sur l’exploitation de failles connues. Elles auraient donc pu facilement être évitées si les patchs correctifs avaient été installés. La sécurité informatique mobile, en particulier, est aujourd’hui devenu un grand enjeu.
3) Prenez le temps et l’énergie nécessaires pour trouver des alternatives « saines » (d’un point de vue numérique) aux services des GAFA (moteur de recherche, email, partage de données, stockage de données). Elles existent mais sont souvent payantes, ce qui en soi est plutôt rassurant : comme vous le savez, lorsque le service est gratuit, VOUS êtes le produit.
La cybersécurité doit être analysée d’abord avec une approche globale prenant en compte tous les éléments de l’infrastructure de l’entreprise. Mais elle doit aussi descendre jusqu’à l’utilisateur qui est souvent le maillon faible de la cybersécurité.