Il n’est pas nouveau que nous consacrions des articles dans cet espace à la cybersécurité. Nous ne nous lasserons jamais de le dire : si les cyberattaques ont toujours été une menace sérieuse pour les entreprises, aujourd’hui, avec le travail à distance comme nouvelle norme, ce risque s’est énormément multiplié. C’est pourquoi nous ne nous lasserons pas de souligner la gravité de la question, dans le but de sensibiliser les ONG et les personnes qui y travaillent à la nécessité de prendre des mesures sérieuses en matière de cybersécurité. SecuServ se met à la disposition des ONG pour leurs cybersécurités.
Pratiques connues, meilleures pratiques
La pratique de cybersécurité la plus courante est la surveillance des incidents, qui se passe d’explications. Mais la vérité est que cette pratique comprend également l’analyse des schémas d’attaque du trafic réseau, et c’est là que les choses deviennent intéressantes. La surveillance simple des incidents est en grande partie une activité statique, où les outils de surveillance sont configurés autour de types d’attaques connus et sont programmés pour envoyer des notifications lorsque de telles attaques sont détectées. En revanche, l’analyse des schémas d’attaque est une initiative plus avancée et proactive. Il faut à la fois comprendre le comportement typique d’un réseau et la méthodologie des attaques, afin de pouvoir étudier toute anomalie comme une infection possible.
L’évaluation et la formation de la main-d’œuvre ont gagné en popularité ces dernières années. Cette pratique s’explique par l’omniprésence des outils numériques au sein de la population active. Il y a quelques années encore, les outils tels que les ordinateurs portables et les smartphones n’étaient utilisés que par certains employés. La transformation numérique a ouvert la porte à la plupart des travailleurs pour qu’ils aient accès aux systèmes de l’entreprise ou aux applications spécifiques au travail. En outre, l’employé moyen utilise quotidiennement la technologie dans sa vie personnelle, et le comportement du consommateur est souvent moins soucieux de la sécurité que celui de l’entreprise. Des évaluations déterminent les domaines qui ont le plus d’impact sur la sécurité de l’entreprise, et des formations spécifiques accompagnées de mesures permettent d’améliorer la situation.
La nécessité d’une formation permanente nous rappelle que le maillon le plus faible de la cybersécurité reste l’être humain. Si tous les employés d’une ONG n’ont pas besoin du même niveau de connaissances et de formation en matière de cybersécurité, les ONG sont bien conscientes que les compétences doivent être actualisées et pertinentes. Selon un rapport, environ 40 % des ONG estiment avoir besoin d’une d’aide d’un prestataire comme SecuServ pour la gestion de leurs cybersécurités.
Alors comment avancer, comment les ONG peuvent-elles réduire au maximum les erreurs humaines et consolider une politique de cybersécurité efficace ?
4 stratégies concrètes pour le monde d’aujourd’hui
Toujours s’attendre à une violation :
Les entreprises doivent tester leurs capacités existantes et avoir un plan d’action pour le cas où le pire se produirait. Ils doivent constamment vérifier si les mécanismes existants donnent un avertissement suffisant et sont capables de tenir les menaces en échec suffisamment longtemps pour que l’entreprise puisse agir. À quel moment de l’attaque l’équipe de sécurité est-elle alertée ? Les défenses ralentissent-elles l’attaquant, donnant ainsi à l’équipe une chance de riposter ? La ségrégation des réseaux rendra difficile pour l’attaquant de se déplacer latéralement à son rythme.
Surveiller et cibler :
Il est essentiel qu’un partenaire comme SecuServ de cybersécurité surveille en permanence les comportements anormaux afin de détecter les nouveaux chemins de navigation des attaques. Il y a toujours une période pendant laquelle l’attaquant a une position initiale et calcule le coup à jouer ; cette période peut être utilisée à l’avantage de l’entreprise.
Créer une culture de la sécurité :
Les chefs d’entreprise doivent parler de l’importance de la cybersécurité dans l’ensemble de l’organisation, et tous les départements doivent savoir que c’est un sujet qui les concerne. Idéalement, le responsable de la cybersécurité devrait faire partie de l’équipe de direction. Sinon, le personnel clé de l’équipe de sécurité doit fournir un retour d’information régulier à l’équipe de direction sur la manière dont l’entreprise répond aux cybermenaces.
Examiner la chaîne d’approvisionnement :
Les attaquants se tournent vers les vendeurs ou fournisseurs externes de systèmes et de cybersécurité pour trouver des vulnérabilités et pénétrer au cœur des systèmes critiques. Les vulnérabilités des fournisseurs sont les vulnérabilités de tous – quelle est la force de la sécurité du fournisseur et dispose-t-il de certifications externes qui attestent qu’il prend la sécurité au sérieux ? Il est important que l’ONG se donne les moyens à cet égard d’évaluer les fournisseurs de manière critique.
Il est essentiel de mettre en œuvre des stratégies de sécurité informatique concrètes et précises. Les risques sont réels et sérieux ; et de nombreuses entreprises qui, historiquement, ne travaillaient pas à distance, ou même travaillaient entièrement de manière numérique, ne comprennent pas pleinement la gravité de la question. Dans un monde où tout est de plus en plus en réseau, comprendre l’importance de la cybersécurité pour l’ ONG et prendre des mesures en la matière devient non seulement une nécessité organisationnelle mais aussi une responsabilité à plus grande échelle.
