EN RÉSUMÉ
Malgré le danger constant que représentent les pirates, les utilisateurs finaux demeureront toujours le « maillon faible » de la sécurité informatique. Dans le rapport de Devolutions sur le Portrait de la sécurité informatique dans les PME de 2022-2023 [maintenant disponible!], nous avons demandé à des dirigeants et des décideurs issus du milieu des PME de nous faire part de leurs méthodes de hiérarchisation, d’implémentation et de mesure des processus de conscientisation à la sécurité des TI au sein de leur entreprise.
Table des matières
- Les grandes lignes du sondage
- Développer un plan de sécurité informatique complet
- Former les utilisateurs finaux pour qu’ils saisissent les concepts fondamentaux de la sécurité informatique
- Travailler avec un fournisseur de services gérés (si nécessaire)
Les grandes lignes du sondage
88 % des PME offrent de la formation en sécurité informatique à leurs utilisateurs finaux. Il s’agit d’une hausse de 14 % depuis l’année dernière. En revanche, 35 % des PME n’évaluent pas les résultats de cette formation.
Les leçons en ligne constituent le type de formation destinée aux utilisateurs finaux le plus répandu auprès des PME (33 %). Viennent ensuite les ressources telles que les vidéos, les séminaires Web et les articles (31 %), suivis des sessions en direct et des ateliers (16 %).
44 % des PME ne disposent pas d’un plan d’intervention en cas de cyberincidents complet et moderne, soit 4 % de plus que l’année dernière.
Depuis le début de la pandémie, 36 % des PME ont augmenté leurs effectifs de sécurité informatique et 8 % d’entre elles font affaire avec un vendeur externe comme un fournisseur de services gérés (MSP).
Lorsqu’il est question de la conscientisation à la sécurité informatique, le titre de notre article du 7 octobre dit tout : « ce n’est pas aussi dramatique que vous le pensez ». Sachez cependant que la situation n’est pas entièrement géniale non plus.
La plupart des PME doivent accroître la conscientisation à la sécurité informatique au sein de leur entreprise afin de se prémunir contre les risques croissants que représentent les rançongiciels, les maliciels, les attaques de chaînes d'approvisionnement, etc. Afin que vous puissiez atteindre cet objectif crucial de manière pragmatique et peu coûteuse, nous recommandons aux PME de se concentrer sur trois priorités : établir un plan de sécurité informatique complet, former les utilisateurs finaux pour qu’ils saisissent les concepts fondamentaux de la sécurité informatique, et travailler avec un fournisseur de services gérés (si cela s’avère nécessaire).
Développer un plan de sécurité informatique complet
Le sondage a révélé que la majorité des PME ne disposent pas d’un plan de sécurité informatique complet (bien qu’elles en aient besoin de toute urgence). Ce plan est pourtant très utile lorsque vient le temps de communiquer ponctuellement des directives et des exigences à qui doivent les recevoir. Il existe trois éléments principaux :
Définir et documenter les directives
De nombreuses organisations se concentrent entièrement sur la compétence et la conformité des utilisateurs finaux et négligent de vérifier s’ils ont bien compris les directives (dont ils ignorent parfois l’existence!).
Définir les rôles et responsabilités de chacun
Fait en sorte que les acteurs internes importants comprennent bien les exigences de cybersécurité qui ont cours au sein de l’entreprise, et qu’ils les inscrivent dans un tableau RACI (de l’anglais Reponsible, Accountable, Consulted, Informed). Une exemple de tableau RACI figure à la page 57 du rapport.
Communiquer en aval et surveiller en amont
Les politiques de sécurité informatique doivent être mises à la disposition de tous les intervenants et des mises à jour doivent être diffusées ponctuellement. Il est crucial d’établir des canaux de communication bidirectionnels ainsi que de les ajuster et de les améliorer lorsque la situation le demande.
Former les utilisateurs finaux pour qu’ils saisissent les concepts fondamentaux de la sécurité informatique
Lors de la formation d’utilisateurs finaux, nous recommandons aux PME de traiter au moins des sujets suivants :
- Le contrôle de l'accès
- Prenez vos appareils personnels (PAP)
- Les services infonuagiques
- Les fuites de données
- L’usurpation d’identité
- Le signalement d’incidents
- La propriété intellectuelle
- Une introduction à la sécurité de l’information
- Les maliciels
- Les appareils mobiles
- Les risques liés au Wi-FI non protégé
- La gestion des mots de passe
- L’hameçonnage
- La sécurité physique
- La confidentialité
- La protection des données cartes de paiement
- Les usages responsables de l’Internet
- Le piratage psychologique
- Les réseaux sociaux
- La sécurité lors des déplacements
- Le travail à distance
Il est probable que certains dirigeants et décideurs jettent un œil à cette liste et arrivent à la conclusion que : « Cette liste est très longue... Doit-on réellement aborder tous ces sujets lors de nos séances de formations? »
La réponse est OUI. Une seule brèche de sécurité causée par un utilisateur suffit pour entraîner des dégâts importants. Rappelez-vous que le coût moyen d’une brèche de données environne désormais les 4,24 M$ US et que 88 % d’entre elles résultent d’une erreur humaine.
Travailler avec un fournisseur de services gérés (si nécessaire)
D’ici 2024, il est estimé que 2,5 millions d’emplois en sécurité informatique seront à combler à travers le monde. En 2025, ce nombre atteindra 3,5 millions. Merveilleuses nouvelles autant pour les néophytes que professionnels de l'informatique qui dorénavant n’auront plus à s’inquiéter de trouver un travail bien rémunéré, mais plutôt de déterminer quelles offres d’emploi alléchantes ils devront refuser faute de pouvoir toutes les accepter (il s’agit, pour ainsi dire, d’un « beau » problème).
Cependant, la situation n’est pas aussi réjouissante pour la plupart des PME. Il leur est souvent impossible de rivaliser avec les grandes entreprises en termes de compensations et de bénéfices, parmi lesquels : l’accès aux technologies et aux outils dernier cri dont le coût est impossible à absorber pour une petite ou moyenne entreprise.
Heureusement, il existe une alternative : Les PME peuvent travailler avec un fournisseur de services gérés (MSP) pour pallier les lacunes de sécurité de l’entreprise et ainsi veiller au maintien d’un profil de sécurité informatique robuste et conforme. Nous conseillons aux PME de choisir un fournisseur de services gérés qui :
- S’engage à offrir des conseils avisés et objectifs;
- Propose des stratégies et des solutions efficaces et abordables;
- Répond à ou excède les exigences de réactivité stipulées dans son entente de niveau de service (ENS);
- Dispose des outils, du personnel et des politiques nécessaires pour administrer les infrastructures de la PME en question à longueur d’année et assurer la continuité des opérations ainsi que la reprise sur sinistre;
- Émet des recommandations avisées, objectives et désintéressées (c.-à-d. qu’il ne prend pas parti pour des technologies ou des vendeurs particuliers);
- Est en mesure de communiquer efficacement autant avec un public de spécialistes que de non spécialistes.
À venir
Dans notre prochain aperçu du rapport sur le sondage du Portrait de la sécurité informatique chez les PME de 2022-2023, nous nous pencherons sur les méthodes qu’utilisent les PME pour gérer les accès à distance, ainsi que sur les enjeux de sécurité et les préoccupations qu’occasionne cette nouvelle réalité.