Les entreprises gèrent une grande quantité de données au quotidien, parmi lesquelles figurent de nombreuses données financières. Quels sont les outils à mettre en place pour en assurer la sécurité ?
En matière de sécurité informatique, la plupart des entreprises sont en pleine course à l’outillage, elles bâtissent de véritables forteresses technologiques. Mais ce n’est pas suffisant pour assurer la sécurité des données critiques à l’entreprise, comme c’est le cas des données financières. Ces dernières sont régulièrement la cible des hackers – notamment via des campagnes de phishing ou de social engineering (fraude au président, etc.). C’est pourquoi il faut, avant tout, sensibiliser l’ensemble des collaborateurs aux risques de malveillance. Mettre en place des outils efficaces est bien sûr un facteur important dans la lutte contre les attaques informatiques, mais sans une bonne stratégie de sensibilisation, n’importe quelle politique de sécurité comportera des failles importantes.
Par ailleurs, souvent, les entreprises ont tendance à protéger les données de manière informatique, mais à oublier la sécurité dite « physique ». Pourtant, une intrusion dans les locaux peut tout autant compromettre l’intégrité des données qu’une cyber-attaque. Certains salariés peuvent par exemple laisser les mots de passe affichés clairement près des écrans ou encore utiliser des clés USB pour transmettre des documents importants et les laisser sur leurs bureaux… Il sera donc très aisé d’accéder aux données dans de telles circonstances. Les entreprises doivent avoir une stratégie homogène, comprenant une bonne sensibilisation des collaborateurs, des politiques de sécurisation complètes et des outils technologiques, aussi bien pour la sécurité physique que virtuelle.
Comment sensibiliser les collaborateurs aux cyber-risques ?
Il est primordial de leur expliquer les menaces auxquelles ils peuvent être confrontés puis les tenir informés des « tendances » en matière de cyber-attaques, comme par exemple la recrudescence des mails de phishing pendant la période du confinement ou encore les emails de pirates se faisant passer pour les services généraux et demandant aux salariés des changements de RIB. L’ensemble des bonnes pratiques doivent être communiquées aux collaborateurs de manière pédagogique et claire pour en faciliter l’adoption.
Pour renforcer la prévention, il faut également réaliser des audits continus ou ponctuels au sein de l’entreprise, ainsi que des tests et mises en situation permettant de déceler les « failles » potentielles. Par exemple, il est possible d’orchestrer une fausse campagne de phishing auprès des collaborateurs afin de voir si ces derniers sauront, ou non, reconnaître les signes typiques d’un email frauduleux (orthographe parfois douteuse, expéditeur inconnu, etc.). Si l’employé « tombe dans le piège », il pourra être redirigé automatiquement vers un rappel des bonnes pratiques.
Avec de telles mesures, les risques d’attaques sont-ils tous écartés ?
Il faut savoir rester vigilant car le risque zéro n’existe pas en cyber-sécurité. Lorsqu’une attaque est détectée, les deux tiers des entreprises sont en réalité déjà infectées depuis plusieurs semaines, le virus pouvant être présent dans l’ordinateur jusqu’à 50 jours avant l’attaque. Il est donc primordial de surveiller les signaux faibles, pour identifier au plus tôt sa présence et réagir rapidement. De nombreuses solutions existent pour cela, comme des scanners de vulnérabilité ou encore des centres de surveillance en temps réel des attaques. Ces outils utilisent le machine learning pour identifier les anomalies, voire pour déclencher automatiquement des contre-mesures en cas d’attaques.
Quels sont les freins rencontrés par les entreprises en matière de cyber-sécurité ?
Le déploiement d’outils de cyber-sécurité représente un réel investissement, à ce titre le premier frein est souvent financier. Dans le choix d’un outil, trois critères doivent être pris en compte : le niveau de criticité des données à protéger, l’architecture informatique de l’entreprise et enfin le budget dont cette dernière dispose. C’est dans cette optique que le groupe Resadia, réseau d’experts IT, propose des solutions s’adaptant aux besoins et aux ressources financières, technologiques et humaines de chaque entreprise. Notre présence sur l’ensemble du territoire français, avec plus de 5500 experts répartis sur 150 sites, nous permet également d’être au plus proche des entreprises pour mieux saisir leurs enjeux et les éventuelles spécificités locales, comme par exemple l’absence de la fibre ou de réseaux très hauts débits dans certaines régions. Tout cela nous permet d’accompagner nos clients dans la mise en place de solutions personnalisées, pertinentes et accessibles, sans faire de compromis en matière de sécurité.
Le second frein réside dans le degré d’adoption des mesures par les collaborateurs. C’est un facteur déterminant pour le succès des politiques de sécurisation mais ce n’est pas toujours de tout repos ! En effet, les salariés sont parfois peu familiarisés avec l’ensemble des mesures préventives à mettre en place. Certaines règles peuvent être mal vécues par les utilisateurs, comme par exemple la complexification des mots de passe et leur changement régulier ou encore l’authentification à plusieurs facteurs... La sensibilisation est essentielle pour montrer que ces mesures, qui feront peut-être perdre quelques secondes aux collaborateurs, permettront d’éviter la corruption ou le vol des données de l’entreprise.
Enfin, les entreprises ont également du mal à connaître leur propre niveau de maturité en matière de sécurité, et ce point les freine souvent dans la mise en place de nouvelles solutions. Lorsqu’une entreprise souhaite optimiser la protection de ses données, la première étape est d’identifier son niveau de maturité et de mettre en place un plan progressif de sécurisation. Établir des objectifs à court, moyen et long termes permet de fixer un calendrier réaliste et d’assurer le bon déroulement du projet. C’est pourquoi, chez Resadia, nous proposons bien souvent aux entreprises une remise à niveau par étapes. On ne va pas proposer directement un système de surveillance des attaques en temps réel à une PME qui n’aurait jamais rien mis en place en matière de cyber-sécurité. Au contraire, nous allons commencer par des outils rapidement déployables, comme l’installation de firewalls ou l’authentification à double facteur, pour minimiser les risques immédiats, puis monter en puissance en implémentant le contrôle granulaire des accès, une meilleure gouvernance des données ou encore des outils de surveillance avancée des menaces… Tout dépend du niveau de maturité numérique de l’entreprise et de la criticité de ses données.
Est-ce que la transformation numérique et le travail de plus en plus mobile compromettent les dispositifs cyber-sécurité mis en place ?
La mobilité peut, en effet, être un comportement à risque pour deux raisons : premièrement, lorsqu’on travaille de façon mobile, les lieux ne sont pas forcément adéquats... Nous avons tendance à l’oublier mais dans les transports ou encore dans les espaces publics, de nombreuses personnes – possiblement mal intentionnées – peuvent entendre nos conversations professionnelles ou fixer notre écran. Plusieurs anecdotes montrent que des informations confidentielles, voire critiques, ont fuité ainsi.
Deuxièmement, la connexion à des réseaux wifi publics constitue également un risque. Ces derniers sont souvent mal cryptés et le terminal (smartphone, tablette ou ordinateur), d’autant plus lorsqu’il s’agit d’un terminal personnel, ne dispose pas toujours des solutions de sécurisation adaptées.
Il est donc, encore une fois, primordial de sensibiliser ses collaborateurs à ces risques et de mettre en place une politique de sécurisation homogène pour les réduire.
Nous avons vu que la mobilité peut créer des failles de sécurité. Qu’en est-il du télétravail ?
Le télétravail soulève effectivement de nouveaux challenges de cyber-sécurité. D’abord, parce que les réseaux domestiques sont rarement aussi sécurisés que ceux des entreprises. Mais aussi parce que la frontière entre le pro et le perso s’amoindrit à domicile… Il existe un risque que l’outil professionnel soit utilisé par d’autres membres du foyer, ou bien que le collaborateur décide, sur ses temps de pause, de visiter certains sites – comme des sites d’achats en ligne par exemple – directement depuis son outil professionnel.
La mise en place massive du télétravail ces derniers mois a accentué ces risques, car la crise a forcé des entreprises qui n’étaient pas prêtes à se lancer dans le travail à distance. Un certain nombre d’entre elles se sont tournées en urgence vers Resadia pour sécuriser le télétravail. Nous les avons ainsi accompagnées dans l’installation de VPN, le renforcement du cryptage et des droits d’accès distants, ou encore l’implémentation de solutions d’analyse et de visibilité pour surveiller les comportements à risque ou l’extraction de données critiques. Un des enjeux majeurs pour les entreprises a également été de déployer rapidement des solutions de partage de fichiers simples, sécurisées et rapides pour éviter l’utilisation de solutions non professionnelles pour le partage de fichiers de grande taille.
Un dernier mot pour les services financiers soucieux de la sécurisation de leurs données ?
Aujourd’hui, les cybercriminels ont de plus en plus de temps, d’outils et de moyens pour perfectionner leurs attaques. Ils élaborent des stratagèmes toujours plus complexes. C’est pourquoi la sensibilisation et la vigilance restent les meilleures armes. L’entreprise doit se préparer à subir une attaque et savoir comment elle pourra protéger ses données critiques et reprendre son activité rapidement. Cet enjeu est d’autant plus important pour les données financières.
Il est important que les DAF libèrent du budget pour faire appel à des spécialistes de la cyber-sécurité. Comme pour la médecine, il est essentiel que les services informatiques internes, les généralistes de proximité, soient accompagnés par des spécialistes de la cyber-sécurité pour les problématiques les plus pointues. Le groupe Resadia est justement l’un de ces spécialistes. Nous savons accompagner les clients dans leurs besoins informatiques les plus pointus en matière de cyber-sécurité, tout en nous adaptant à leurs contraintes et leurs spécificités.
En matière de sécurité informatique, la plupart des entreprises sont en pleine course à l’outillage, elles bâtissent de véritables forteresses technologiques. Mais ce n’est pas suffisant pour assurer la sécurité des données critiques à l’entreprise, comme c’est le cas des données financières. Ces dernières sont régulièrement la cible des hackers – notamment via des campagnes de phishing ou de social engineering (fraude au président, etc.). C’est pourquoi il faut, avant tout, sensibiliser l’ensemble des collaborateurs aux risques de malveillance. Mettre en place des outils efficaces est bien sûr un facteur important dans la lutte contre les attaques informatiques, mais sans une bonne stratégie de sensibilisation, n’importe quelle politique de sécurité comportera des failles importantes.
Par ailleurs, souvent, les entreprises ont tendance à protéger les données de manière informatique, mais à oublier la sécurité dite « physique ». Pourtant, une intrusion dans les locaux peut tout autant compromettre l’intégrité des données qu’une cyber-attaque. Certains salariés peuvent par exemple laisser les mots de passe affichés clairement près des écrans ou encore utiliser des clés USB pour transmettre des documents importants et les laisser sur leurs bureaux… Il sera donc très aisé d’accéder aux données dans de telles circonstances. Les entreprises doivent avoir une stratégie homogène, comprenant une bonne sensibilisation des collaborateurs, des politiques de sécurisation complètes et des outils technologiques, aussi bien pour la sécurité physique que virtuelle.
Comment sensibiliser les collaborateurs aux cyber-risques ?
Il est primordial de leur expliquer les menaces auxquelles ils peuvent être confrontés puis les tenir informés des « tendances » en matière de cyber-attaques, comme par exemple la recrudescence des mails de phishing pendant la période du confinement ou encore les emails de pirates se faisant passer pour les services généraux et demandant aux salariés des changements de RIB. L’ensemble des bonnes pratiques doivent être communiquées aux collaborateurs de manière pédagogique et claire pour en faciliter l’adoption.
Pour renforcer la prévention, il faut également réaliser des audits continus ou ponctuels au sein de l’entreprise, ainsi que des tests et mises en situation permettant de déceler les « failles » potentielles. Par exemple, il est possible d’orchestrer une fausse campagne de phishing auprès des collaborateurs afin de voir si ces derniers sauront, ou non, reconnaître les signes typiques d’un email frauduleux (orthographe parfois douteuse, expéditeur inconnu, etc.). Si l’employé « tombe dans le piège », il pourra être redirigé automatiquement vers un rappel des bonnes pratiques.
Avec de telles mesures, les risques d’attaques sont-ils tous écartés ?
Il faut savoir rester vigilant car le risque zéro n’existe pas en cyber-sécurité. Lorsqu’une attaque est détectée, les deux tiers des entreprises sont en réalité déjà infectées depuis plusieurs semaines, le virus pouvant être présent dans l’ordinateur jusqu’à 50 jours avant l’attaque. Il est donc primordial de surveiller les signaux faibles, pour identifier au plus tôt sa présence et réagir rapidement. De nombreuses solutions existent pour cela, comme des scanners de vulnérabilité ou encore des centres de surveillance en temps réel des attaques. Ces outils utilisent le machine learning pour identifier les anomalies, voire pour déclencher automatiquement des contre-mesures en cas d’attaques.
Quels sont les freins rencontrés par les entreprises en matière de cyber-sécurité ?
Le déploiement d’outils de cyber-sécurité représente un réel investissement, à ce titre le premier frein est souvent financier. Dans le choix d’un outil, trois critères doivent être pris en compte : le niveau de criticité des données à protéger, l’architecture informatique de l’entreprise et enfin le budget dont cette dernière dispose. C’est dans cette optique que le groupe Resadia, réseau d’experts IT, propose des solutions s’adaptant aux besoins et aux ressources financières, technologiques et humaines de chaque entreprise. Notre présence sur l’ensemble du territoire français, avec plus de 5500 experts répartis sur 150 sites, nous permet également d’être au plus proche des entreprises pour mieux saisir leurs enjeux et les éventuelles spécificités locales, comme par exemple l’absence de la fibre ou de réseaux très hauts débits dans certaines régions. Tout cela nous permet d’accompagner nos clients dans la mise en place de solutions personnalisées, pertinentes et accessibles, sans faire de compromis en matière de sécurité.
Le second frein réside dans le degré d’adoption des mesures par les collaborateurs. C’est un facteur déterminant pour le succès des politiques de sécurisation mais ce n’est pas toujours de tout repos ! En effet, les salariés sont parfois peu familiarisés avec l’ensemble des mesures préventives à mettre en place. Certaines règles peuvent être mal vécues par les utilisateurs, comme par exemple la complexification des mots de passe et leur changement régulier ou encore l’authentification à plusieurs facteurs... La sensibilisation est essentielle pour montrer que ces mesures, qui feront peut-être perdre quelques secondes aux collaborateurs, permettront d’éviter la corruption ou le vol des données de l’entreprise.
Enfin, les entreprises ont également du mal à connaître leur propre niveau de maturité en matière de sécurité, et ce point les freine souvent dans la mise en place de nouvelles solutions. Lorsqu’une entreprise souhaite optimiser la protection de ses données, la première étape est d’identifier son niveau de maturité et de mettre en place un plan progressif de sécurisation. Établir des objectifs à court, moyen et long termes permet de fixer un calendrier réaliste et d’assurer le bon déroulement du projet. C’est pourquoi, chez Resadia, nous proposons bien souvent aux entreprises une remise à niveau par étapes. On ne va pas proposer directement un système de surveillance des attaques en temps réel à une PME qui n’aurait jamais rien mis en place en matière de cyber-sécurité. Au contraire, nous allons commencer par des outils rapidement déployables, comme l’installation de firewalls ou l’authentification à double facteur, pour minimiser les risques immédiats, puis monter en puissance en implémentant le contrôle granulaire des accès, une meilleure gouvernance des données ou encore des outils de surveillance avancée des menaces… Tout dépend du niveau de maturité numérique de l’entreprise et de la criticité de ses données.
Est-ce que la transformation numérique et le travail de plus en plus mobile compromettent les dispositifs cyber-sécurité mis en place ?
La mobilité peut, en effet, être un comportement à risque pour deux raisons : premièrement, lorsqu’on travaille de façon mobile, les lieux ne sont pas forcément adéquats... Nous avons tendance à l’oublier mais dans les transports ou encore dans les espaces publics, de nombreuses personnes – possiblement mal intentionnées – peuvent entendre nos conversations professionnelles ou fixer notre écran. Plusieurs anecdotes montrent que des informations confidentielles, voire critiques, ont fuité ainsi.
Deuxièmement, la connexion à des réseaux wifi publics constitue également un risque. Ces derniers sont souvent mal cryptés et le terminal (smartphone, tablette ou ordinateur), d’autant plus lorsqu’il s’agit d’un terminal personnel, ne dispose pas toujours des solutions de sécurisation adaptées.
Il est donc, encore une fois, primordial de sensibiliser ses collaborateurs à ces risques et de mettre en place une politique de sécurisation homogène pour les réduire.
Nous avons vu que la mobilité peut créer des failles de sécurité. Qu’en est-il du télétravail ?
Le télétravail soulève effectivement de nouveaux challenges de cyber-sécurité. D’abord, parce que les réseaux domestiques sont rarement aussi sécurisés que ceux des entreprises. Mais aussi parce que la frontière entre le pro et le perso s’amoindrit à domicile… Il existe un risque que l’outil professionnel soit utilisé par d’autres membres du foyer, ou bien que le collaborateur décide, sur ses temps de pause, de visiter certains sites – comme des sites d’achats en ligne par exemple – directement depuis son outil professionnel.
La mise en place massive du télétravail ces derniers mois a accentué ces risques, car la crise a forcé des entreprises qui n’étaient pas prêtes à se lancer dans le travail à distance. Un certain nombre d’entre elles se sont tournées en urgence vers Resadia pour sécuriser le télétravail. Nous les avons ainsi accompagnées dans l’installation de VPN, le renforcement du cryptage et des droits d’accès distants, ou encore l’implémentation de solutions d’analyse et de visibilité pour surveiller les comportements à risque ou l’extraction de données critiques. Un des enjeux majeurs pour les entreprises a également été de déployer rapidement des solutions de partage de fichiers simples, sécurisées et rapides pour éviter l’utilisation de solutions non professionnelles pour le partage de fichiers de grande taille.
Un dernier mot pour les services financiers soucieux de la sécurisation de leurs données ?
Aujourd’hui, les cybercriminels ont de plus en plus de temps, d’outils et de moyens pour perfectionner leurs attaques. Ils élaborent des stratagèmes toujours plus complexes. C’est pourquoi la sensibilisation et la vigilance restent les meilleures armes. L’entreprise doit se préparer à subir une attaque et savoir comment elle pourra protéger ses données critiques et reprendre son activité rapidement. Cet enjeu est d’autant plus important pour les données financières.
Il est important que les DAF libèrent du budget pour faire appel à des spécialistes de la cyber-sécurité. Comme pour la médecine, il est essentiel que les services informatiques internes, les généralistes de proximité, soient accompagnés par des spécialistes de la cyber-sécurité pour les problématiques les plus pointues. Le groupe Resadia est justement l’un de ces spécialistes. Nous savons accompagner les clients dans leurs besoins informatiques les plus pointus en matière de cyber-sécurité, tout en nous adaptant à leurs contraintes et leurs spécificités.
Chaineum : Investment banking platform
Laurent Leloup : Blockchain technology investor
HealthTech.Finance : Healthtech boutique investment bank
Laurent Leloup : Blockchain technology investor
HealthTech.Finance : Healthtech boutique investment bank
No Offer, Solicitation, Investment Advice, or Recommendations
This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.
Autres articles
-
Freqens : 3 millions pour la fintech afin de peaufiner sa plateforme de benchmarking des prix B2B
-
Wero, le portefeuille de paiement numérique d'EPI, arrive en Belgique
-
Etude | Les Fintechs Durables font leur Panorama
-
Banque Internationale à Luxembourg - Internship - Corporate Finance - Jan 2025 - Luxembourg
-
Payhawk s'associe à J.P. Morgan Payments pour simplifier & amplifier ses services bancaires