Dans un monde où les données sont la nouvelle ruée vers l’or, chaque transaction, chaque renseignement sur le client et chaque échange de propriété intellectuelle est dans la mire des acteurs malveillants. La cybersécurité n’est pas qu’un sujet de conversation sur les TI, ou un élément inséré dans les rapports de conformité, c’est la base de votre stratégie de défense d’entreprise!
Aujourd’hui, sortons du jargon de la cybersécurité et parlons vraiment de ce qu’il faut faire pour accorder à la sécurité de votre entreprise l’attention qu’elle mérite, de la manière la plus réaliste possible. Si votre travail quotidien implique de veiller à la sécurité de votre organisation, cet article est pour vous. C’est promis, ce seront les 5 minutes de lecture les plus instructives de votre semaine.
Je voudrais maintenant vous présenter les trois sujets de cet article – endiguement, communication et formation continue –, qui constituent les piliers d’une stratégie de défense solide, adaptée à votre organisation, quelle que soit sa taille.
Endiguement : sécurisation du périmètre et au-delà
L’endiguement, notre premier pilier, est l’essence même d’une stratégie de défense des frontières. Tout comme les murs d’un château médiéval, votre forteresse numérique doit avoir des périmètres bien définis pour détecter et repousser les attaquants. Mais de nos jours, les tranchées et les murs vont bien au-delà du réseau traditionnel. L’endiguement consiste à reconnaître que votre entreprise est désormais un empire mobile, infonuagique et sans frontières. Cela commence par une évaluation approfondie des risques, la reconnaissance des vulnérabilités potentielles et la création de barrages grâce aux contrôles d’accès, aux systèmes de détection d’intrusion et à l’analyse du comportement des utilisateurs. Pourquoi? Parce qu’il est impossible de protéger ce qu’on ne voit pas.
Il est essentiel d’avoir une vue complète de l’infrastructure informatique pour détecter les vulnérabilités et les points d’exploitation potentiels. Pour renforcer efficacement votre posture de sécurité, vous devez vous doter de solides outils et pratiques de visibilité, que ce soit afin de surveiller le trafic réseau ou les activités des utilisateurs. En privilégiant la visibilité, grâce à la surveillance du réseau et au suivi des données, on comprend l’ensemble du paysage de la sécurité, ce qui permet d’appliquer et d’adapter les mesures d’endiguement à mesure que surgissent les menaces.
Nous avons constaté un véritable rendement du capital investi dans le déploiement d’architectures à vérification systématique, un cadre fondé sur le principe de « ne jamais faire confiance, toujours vérifier ». Peu importe l’emplacement ou l’utilisateur, cette stratégie protège les données sensibles. Qu’il s’agisse d’un vendeur en déplacement qui se connecte sur son téléphone intelligent ou d’une application essentielle dans le nuage public, la politique reste la même : vérifiez, puis faites confiance.
Communication : le cœur de la cybersécurité
La communication, notre deuxième pilier, consiste à s’assurer que toutes vos parties prenantes forment une chaîne de défense ininterrompue. Il ne s’agit pas seulement de communiquer les renseignements sur les cybermenaces, ce qui reste essentiel pour contrer les attaques en pleine évolution, mais aussi d’instaurer une « culture de sécurité » dans l’organisation. Cela commence par une articulation claire des politiques et des protocoles de sécurité et de leur importance pour la mission globale de l’entreprise. De la salle de conférence à la salle du courrier, tous les employés doivent parler le langage de la sécurité.
La communication va également au-delà des murs d’une organisation. Il s’agit de faire partie de la grande communauté de la cybersécurité, en partageant des renseignements sur les menaces et les vulnérabilités, et en tenant la communauté et les organismes de réglementation informés. Une approche unifiée garantit que tout le monde est paré, permettant une intervention rapide, intelligente et coordonnée contre les cyberattaques.
Chez Konica Minolta, par exemple, le personnel est réparti dans des bureaux aux États-Unis et au Canada dans un cadre de travail hybride. Néanmoins, nous réalisons constamment des simulations de cybersécurité et nous envoyons régulièrement des bulletins d’information et des mises à jour à tous les employés pour nous assurer que notre force de défense est non seulement attentive, mais proactive, qu’elle comprend les menaces et s’y prépare avant que les signaux d’alarme ne se déclenchent.
Formation continue : des tranchées aux tours
La formation continue, notre troisième pilier, est un incontournable pour toute stratégie de cybersécurité réussie. À l’ère du numérique, le savoir est pouvoir, et la formation continue permet à vos protecteurs d’affiner leurs connaissances. Les programmes de sensibilisation à la cybersécurité doivent dépasser les exercices de conformité banals et devenir un composant dynamique et interactif de la culture d’apprentissage de l’organisation.
La formation continue n’est pas réservée à l’équipe des TI. Elle percole dans tous les services, du juridique au marketing, car les cyberrisques sont présents partout dans l’entreprise. Les programmes de formation qui sont motivants et adaptés à un rôle précis, et qui présentent des scénarios du monde réel rendent l’apprentissage à la fois pertinent et efficace.
Enfin, dans un environnement où le paysage réglementaire est aussi volatil que la menace, la formation continue assure également la conformité. Il est tout aussi important de comprendre les réglementations actuelles et émergentes que de comprendre les dernières tendances d’hameçonnage. Attention toutefois de ne pas confondre conformité et sécurité. Il faut voir plus loin que la conformité si l’on veut avoir l’esprit tranquille en matière de sécurité.
La cybersécurité, c’est une stratégie d’affaires
L’un des grands défis de cybersécurité, c’est de faire comprendre sa valeur à la haute direction. Lors du récent sommet sur la cybersécurité tenu à New York, un conférencier a donné un exemple où un dirigeant de Levi’s a demandé « Comment cela m’aide-t-il à vendre plus de jeans? » après la présentation d’une proposition de cybersécurité. Et la haute direction a raison de voir les choses ainsi; elle doit miser sur son produit de base pour payer les comptes et garder la confiance des parties prenantes.
Le secret? Maîtriser l’art du mappage du rendement du capital investi.
Le mappage du rendement du capital investi est un outil puissant à cet égard, permettant aux organisations de quantifier concrètement les avantages des dépenses en sécurité. En faisant correspondre les initiatives de sécurité aux objectifs d’affaires, vous pourrez prouver leur influence sur les résultats, ce qui donnera aux dirigeants une vision plus claire de la proposition de valeur.
Les trois piliers sont les pierres angulaires de la structure complexe d’une stratégie complète de cybersécurité. Il faut les mettre en œuvre avec rigueur et discipline, tout en gardant à l’esprit que la cybersécurité est un processus continu, et non une cible.
Pour commencer, profitez des avantages les plus faciles à obtenir et faites-vous une idée précise de votre posture de sécurité actuelle. Notre dernière auto-évaluation de la sécurité des terminaux* vous aidera à faire exactement cela. Non seulement elle est gratuite, mais elle est facile à suivre et vous donnera un aperçu des secteurs de votre entreprise qui sont vulnérables et qui requièrent une attention immédiate.
*en anglais seulement.