Cybersécurité

La cybersécurité est un sujet complexe, certes, mais qui doit être démystifié. La règle est simple : moins de complexité pour davantage de sécurité.

Voici comment nous abordons le sujet :

 

L’état de l’art

Les administrateurs de certaines entreprises sont un peu paranoïaques et ont tendance à accabler les utilisateurs de règles complexes. Par exemple celle de choisir un mot de passe qui contienne au moins 8 caractères, un symbole et un chiffre. Cette règle aboutit à combien de post-it collés sous le bureau ou dans le tiroir ?

Vous ne pouvez pas accéder à vos sites Internet favoris depuis le réseau à cause du serveur proxy de l’entreprise ? Qu’à cela ne tienne vous demandez le mot de passe Wi-Fi du réseau des voisins…

Votre PC rame à cause de ce foutu antivirus ? Pas grave, vous le désactivez temporairement le temps d’avancer dans votre travail… puis vous oubliez de le réactiver. Vous ne pouvez pas le désactiver ? C’est votre travail qui en souffre… et les marges de votre entreprise qui fondent.

Notre crédo en matière de cybersécurité est le même que pour la conception d’applications : les choses simples doivent rester simples. Un mot de passe doit être facile à mémoriser et difficile à deviner. MonMotDeP4sse est Sup3rLongEtSuperSecurisé est un bien meilleur mot de passe que @P4ss+W04d!. Il est facile à mémoriser et il faut plusieurs millénaires pour le trouver par essais successifs. On l’appelle une phrase de passe. En voici la preuve sur le site Panoptinet.

 

L’analyse stratégique

Il n’existe pas de stratégie de cybersécurité universelle. La meilleure stratégie de cybersécurité est celle qui est adaptée à vos besoins. Pour la définir il faut étudier ce que vous avez à protéger (vos actifs), la probabilité que vous ayez de vous faire attaquer (notoriété, exposition, infrastructure) et comparer les efforts financiers et humains avec le coût de la perte de tout ou partie de ces actifs.

L’analyse stratégique réside dans cette question : devez-vous dépenser 100 000 Euros (en incluant l’impact des outils sur les marges) pour protéger des actifs d’une valeur de 50 000 Euros ? Est-ce qu’une assurance ne couvre pas ce risque ? Est-ce qu’un coût de “seulement” 20 000 Euros ne répondrait à ce besoin ?

De plus, comme toute analyse stratégique, celle-ci doit réévaluée régulièrement (2 à 5 ans en fonction des décisions prises) car votre entreprise change et les équilibres aussi. A partir de cette analyse stratégique, un plan tactique permettra d’améliorer sensiblement votre protection et de sécuriser vos actifs en préservant vos marges :

  • Information des utilisateurs.
  • Formation des utilisateurs aux bonnes pratiques.
  • Mise en place ou amélioration de l’infrastructure.
  • Audit annuel des protections, avec tests de pénétration.
  • Vérification annuelle des documents.

Une stratégie peut consister à accepter l’éventualité d’être piraté un jour tout en ayant un PCA et un PRA qui permette de reprendre très rapidement son activité, c’est souvent la stratégie la plus rentable.

 

Se préparer au pire

La cybersécurité est un ensemble de bonnes pratiques et d’actions qui permettent de se protéger au maximum avec un coût maîtrisé. Il n’existe aucune protection totale. Ne croyez surtout pas ceux qui prétendent le contraire, même la NSA peut être piraté, depuis l’extérieur mais surtout depuis l’intérieur.

Votre stratégie de cybersécurité doit inclure des plans de Continuité d’Activité (PCA) et de Reprise d’Activité. Qu’est-ce que cela signifie ?

Le plan de continuité d’activité est un document qui décrit précisément de quelle manière vous pourrez poursuivre votre activité avec un système informatique réduit ou sans système informatique. Vous devriez en avoir un qui vous permette de travailler avec papier, stylo et téléphone en cas de coupure prolongée de courant par exemple. Ce plan devrait aussi inclure le vol ou la séquestration de tout ou partie de vos outils de production (rançonnement, malveillance).

Le plan de reprise d’activité est le document qui décrit comment, après un incident, vos équipes IT et vos personnels vous s’organiser pour remettre en route au plus vite les outils de production et s’assurer en premier lieu de la disponibilité des informations (par restauration de sauvegarde éventuellement, à condition que celle-ci existe et qu’elle soit vérifiée régulièrement), puis de leur conformité (contrôle de cohérence, vérification des journaux, etc).

N’ignorez surtout pas ce risque, il est impossible d’y échapper. Si une personne dans votre entreprise, ou à l’extérieur à décidé de vous nuire elle pourra le faire quels que soient les moyens que vous avez mis pour votre protection. Si vous n’y êtes pas préparés vous perdrez beaucoup d’argent alors que vous pourriez reprendre une production normale dans un délai très court.

Contactez-nous si vous souhaitez étudier votre stratégie de cybersécurité.

 

Valider les produits

Vos clients souhaitent que vos produits soient exempts de failles de sécurité. Une faille de sécurité exploitée dans un de vos produits peut conduire un de vos clients à se retourner contre vous.

Si vous souhaitez évaluer la sécurité de vos produits et l’améliorer, nous pouvons vous aider en étudiant la conception et les codes sources ainsi qu’en réalisant des tests manuels ou automatisés de pénétration et de résistance.

Contactez-nous si vous souhaitez analyser vos produits.

 

Former les concepteurs

Pour assurer durablement une bonne maîtrise de la sécurité de vos produits, vos équipes doivent être formées aux risques et aux bonnes pratiques de conception et de codage. Les tests de pénétration et de résistance doivent être intégrés à votre usine logicielle. La qualité du code doit devenir une préoccupation de tous les jours.

Nous pouvons former vos ingénieurs et développeurs pour les aider à monter en compétence et à organiser leur environnement de travail.

Contactez-nous si vous souhaitez former vos équipes.

[DISPLAY_ULTIMATE_SOCIAL_ICONS]