Sécurité IT : conseils pratiques pour PME

La directive européenne NIS2 (Network and Information Security) oblige les États membres de l'UE à accroître leur maturité en matière de cybersécurité, en imposant diverses règles de sécurité informatique aux organisations actives dans les secteurs critiques. D'ici fin 2024, la directive NIS2, qui est une extension de la directive NIS existante, sera transposée dans la loi belge.  

Même si votre PME n'est pas directement concernée par la directive NIS2, vous devrez en tenir compte, par exemple via des clients ou des fournisseurs actifs dans des secteurs critiques. En outre, les mesures imposées sont essentiellement des principes de sécurité admis que toute organisation devrait en réalité déjà appliquer.

Nous en avons discuté avec Aubrey Beelen et Ruben Cools, respectivement Product Manager et Solution Architect chez BKM-Orange. Ils soulignent l'importance de l'analyse des risques et partagent quelques conseils en matière de sécurité informatique.

L'analyse des risques est l'un des éléments clés d'une bonne sécurité IT. Les entreprises en sont-elles conscientes ?

Ruben : Elles n'y sont pas toujours suffisamment attentives. Avec la directive NIS2, qui met l'accent sur l'analyse des risques, la prise de conscience augmentera progressivement. Les risques diffèrent d’une entreprise à l’autre. Ce qui constitue un risque majeur pour une organisation ne l'est pas nécessairement pour une autre. C'est pourquoi il est important qu'une entreprise prenne elle-même la responsabilité de cartographier ses vulnérabilités. En tant que partenaire informatique, nous pouvons apporter notre soutien en fournissant à nos clients des conseils et des solutions adaptés à leurs problèmes. Mais c’est à eux d’évaluer les risques à traiter en priorité sur la base du niveau de risque et de déterminer ce qui est réalisable sur le plan budgétaire.

Ces faiblesses et ces priorités sont-elles toujours claires ?

Aubrey : Pas toujours, même s'il est important d'exposer pleinement ses faiblesses en matière de sécurité. Nous n'avons pas toujours une bonne compréhension du mode de fonctionnement, de la structure du réseau et des mesures de sécurité que prennent déjà nos clients, a fortiori quand il s’agit de nouveaux clients. C'est pourquoi nous procédons souvent à une analyse et rédigeons ensuite un rapport. Nous y incluons d'une part des mesures générales à prendre rapidement pour améliorer la sécurité de leur entreprise. D'autre part, nous leur donnons des conseils sur les investissements spécifiques envisageables à long terme.

Quels sont les conseils les plus intéressants pour la sécurité des PME ?

Aubrey : Il est tout à fait possible d'améliorer le niveau général de sécurité d'une organisation à très court terme en sensibilisant les équipes. La plupart des cyberincidents majeurs sont dus à des erreurs humaines. Plus les collaborateurs sont conscients de l'importance de la cybersécurité et du rôle qu'ils y jouent, plus le risque d'incidents diminue.

Existe-t-il, en plus de cette sensibilisation, des solutions techniques qui pourraient rapidement avoir un impact majeur sur le niveau de sécurité ?

Ruben : Oui, bien sûr. L’authentification multifacteur, les outils qui implémentent le modèle Zero Trust et les applications de monitoring sont trois solutions techniques importantes.  

Aubrey : Les cyberincidents sont souvent dus à des fuites de comptes d’utilisateurs ou de mots de passe. En exigeant un second élément d’authentification en plus du mot de passe, l’authentification multifacteur est en mesure de réduire considérablement les risques d’abus.

Ruben : Les solutions Zero Trust nous permettent en outre de vérifier rapidement et en permanence si les appareils utilisés sont sécurisés. Dès qu'un appareil est infecté par un malware ou qu'il ne répond plus aux normes de sécurité requises, il ne peut plus accéder aux informations de l'entreprise.

Aubrey : Les applications de monitoring offrent un spectre de détection plus large. Lorsqu'une cyberattaque est en cours, il importe d'en prendre connaissance le plus rapidement possible. Plus vous réagirez rapidement, plus vous pourrez limiter les dégâts, voire les éviter.

Ces outils doivent donc être surveillés par quelqu’un ?

Aubrey : En effet, les entreprises qui investissent dans des outils de monitoring doivent avoir quelqu'un qui les surveille en permanence. Pour de nombreuses PME, c’est compliqué d’avoir un collaborateur capable de surveiller la sécurité à temps plein. Elles peuvent alors se tourner vers des partenaires informatiques qui proposent ce service de surveillance. Il s'agit d'un moyen assez simple d’avoir un œil de plus sur la sécurité.

Les entreprises savent-elles comment réagir en cas de cyberincident ?

Aubrey : Souvent, les PME ne savent pas quelles mesures prendre lorsqu'elles découvrent un problème. En tant que partenaire informatique, nous avons une large expérience en la matière et nous pouvons donc soulager nos clients. Nous leur fournissons un cadre qui leur permet de savoir que faire en cas de problème et comment nous pouvons les aider à rétablir leur activité le plus rapidement possible après un incident. Ce cadre peut également les préparer à l'obligation de notification qui sera introduite avec la directive NIS2.

Toutes les entreprises sont-elles concernées par la directive NIS2 ?

Ruben : La directive NIS2 cherche principalement à encourager les entreprises des secteurs critiques, tels que l'énergie, les banques et la santé, à implémenter certaines mesures de sécurité pour leur réseau et leurs systèmes d'information. Outre les secteurs critiques, la directive NIS2 s’étend aussi vers d’autres secteurs importants, si bien que les PME peuvent également être concernées. En réalité, il n'y a rien de nouveau : les mesures exigées par la directive NIS2 sont en grande partie des principes de sécurité généralement admis que toute organisation devrait déjà appliquer aujourd'hui. Certaines organisations ne pensent cependant à la cybersécurité que lorsqu’elles sont confrontées à un incident. J'espère que le NIS2 leur donnera l'impulsion dont elles ont désespérément besoin.