10 conseils pour minimiser les risques de cyberattaques

Dans un contexte où les hackers s’en donnent à cœur joie, l’actualité nous rappelle fréquemment que toutes les entreprises sont susceptibles d’être victimes de cyberattaques. Les systèmes d’information des directions financières étant souvent en premières lignes, il nous a semblé utile de partager une dizaine de conseils pour minimiser les risques de cyberattaques.

quelle que soit l’organisations. Il faut absolument se garder de penser que son organisation n’est pas une cible pour les cybercriminels. Il est ainsi avéré que les petites et moyennes entreprises, plus susceptibles de se croire à l’abri, sont en fait les proies idéales des criminels, car elles ne disposent pas des mêmes systèmes de défense que les grandes entreprises.

Appliquer une politique de mots de passe « robustes » (combinaison de lettres, de chiffres et de caractères spéciaux) difficiles à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne. Privilégier si possible l’authentification multi facteur (MFA, pour Multi-Factor Authentication en anglais) qui renforce immédiatement la sécurité en exigeant plusieurs formes de vérification pour démontrer l’identité d’un utilisateur lors de la connexion.

Un paramétrage fin des autorisations d’accès aux ressources « matérielles » (serveurs, locaux,…) et « non matérielles » (réseaux, systèmes, …) permet de s’assurer que chaque utilisateur n’accède qu’aux moyens nécessaires à sa fonction, son rôle, son niveau d'autorisations, … et de réduire les risque d’accès de cybercriminels par usurpation d’identité.

L’évaluation des risques nécessite de se tenir informé de l’évolution des pratiques des cybercriminels. Cette connaissance permet d’identifier et de hiérarchiser les menaces afin de mettre en œuvre les actions préventives adéquates pour renforcer la sécurité de l'organisation.

L'erreur humaine et la négligence sont les principaux vecteurs de cyberattaques. Plus les employés sont conscients du risque, plus ils sont attentifs et prudents dans leurs interactions avec les outils digitaux qu’ils utilisent.

Toutes les demandes de modifications des données bancaires d’un tiers (fournisseur, client, salariés), ou instructions de paiements urgents doivent, par exemple, faire l’objet de processus formalisés de vérifications par plusieurs acteurs pour être validés. Ces modalités permettent de réduire le risque de traitement d’une demande injustifiée.

L’identification des données les plus sensibles permet de prendre des mesures de sauvegarde et de récupération adaptées.

Qu’ils soient sur site, distants, ou délégués à des tiers, les propriétaires de chaque composant (outils de gestion, réseaux, systèmes de communication, …) sont responsables de la sécurité de leurs systèmes. Les correctifs et les mises à niveau nécessaires doivent être déployés selon leur criticité.

Rédiger et maintenir un manuel de gestion des incidents permet de limiter l'exposition et d’assurer un retour plus rapide à la situation initiale après une attaque. Les procédures décrites dans le manuel doivent préciser les rôles et les responsabilités de chaque acteur ainsi que les modalités de communication avec toutes les parties prenantes susceptibles d’être impactées par la cyberattaque.

La migration « cloud » peut être envisagée afin de bénéficier de systèmes continuellement mis à jour.