Liste des articles
IESF
Partager sur :
Vue 84 fois
10 décembre 2020

Cyber-risques : les bonnes pratiques pour les PME

Publié par Comité Maîtrise des Risques Opérationnels | Entreprises

 

Depuis sa création, le Comité « Maîtrise des Risques Opérationnels » a toujours orienté ses travaux sur le thème de la sécurité industrielle, thème qui concerne l’ensemble des ingénieurs et leurs organismes de formation. Le Comité souhaite poursuivre dans cette direction, en développant des thèmes d’actualité ayant une incidence directe ou indirecte sur les risques opérationnels des entreprises.

Les grandes entreprises industrielles étant généralement dotées de compétences internes ou externes leur permettant de maîtriser ces sujets, les Cahiers du Comité ont pour objectif d’aider les PME-PMI qui n’ont pas toujours les mêmes capacités internes, car le quotidien empêche souvent le chef d’entreprise de consacrer le temps nécessaire à la maîtrise des vulnérabilités de son entreprise.

Dans ses travaux, le comité cherche à promouvoir une démarche de connaissance des risques opérationnels adaptée à leurs besoins et à leur permettre d’appliquer, dans le cadre de la stratégie de leurs dirigeants, des principes de maîtrise de ces risques.

Dans un précédent cahier n° 4, daté du 24 octobre 2011, ce comité proposait des conseils aux dirigeants de PMI/PME concernant la protection des entreprises face aux fraudes, négligences ou malveillances ; la sécurité des systèmes d’information avait été citée en annexe 5 du fait de l’émergence de ce nouveau risque.

Alors que ce risque était encore sous-estimé en 2013 (aux dires des experts consultés) c’est en janvier 2017 que le rapport ALLIANZ RISK BAROMETER positionnait les incidents « cyber » au 3e rang des préoccupations des dirigeants des entreprises. Il devient dans le rapport suivant, en janvier 2018, le risque n° 1 dans les pays anglo-saxons (USA, UK et Commonwealth) devant le risque de perte d’exploitation et d’interruption de la chaîne logistique, risque pourtant prépondérant dans le monde depuis plus de 5 ans.

Dans cette conjoncture où il est devenu une des préoccupations majeures, ce cahier a été rédigé afin d’actualiser la prise de conscience de chacun et de proposer les bonnes pratiques face au besoin d’améliorer dans les entreprises, mais aussi dans la vie privée, la maîtrise opérationnelle d’un cyber-risque omniprésent.

Ce cahier n° 34 a été élaboré en collaboration avec deux experts issus respectivement du Comité Numérique et du Comité Intelligence Économique et Stratégique de IESF.
En stimulant une prise de conscience des vulnérabilités de votre entreprise face aux cyber-attaques, il vous guidera dans la nécessité d’adopter une démarche d’analyse des risques encourus dans le but vous protéger.


 

La transformation numérique est devenue un élément clé de la croissance des PME/PMI, car elle leur permet de gagner en efficacité et de satisfaire aussi bien ses clients que ses collaborateurs.
Ce serait donc aujourd’hui une erreur stratégique de ne pas saisir ces multiples opportunités de productivité et de développement commercial.

Toutefois, ce déploiement du digital conduit à mettre en place un système d’information de plus en plus décentralisé et étendu à des centaines de services interconnectés par le biais de programmes informatisés, le déploiement de milliers d’IOT (internet pour objet)... Les PME/PMI sont alors confrontées à de nombreux risques liés à la sophistication et la diversité des modes d’attaques, à la mobilité des collaborateurs et des appareils...

Ces aspects négatifs imposent aux entreprises d’adopter une nouvelle approche de la sécurité focalisée en particulier sur les identités, les accès et les données.

Désormais, la sécurité doit être pensée comme un élément dynamique et sans cesse adaptée et ajustée en fonction des contextes. La confiance que vous pouvez accorder est fondamentalement une vulnérabilité dans tout système numérique. Aussi, l’un des principes clés à adopter est de considérer toute délégation comme une prise de risque à limiter en n’attribuant aux appareils et aux personnes que les droits dont ils ont besoin en fonction de ce qu’ils ont à réaliser et au moment où ils doivent le réaliser. Pensez également que votre personnel qui maîtrise plus ou moins bien les potentialités du numérique ne possède peut-être pas les réflexes nécessaires vis-à-vis des e-mails frauduleux de type hameçonnage.

Il est donc important d’évaluer vos risques afin de les traiter correctement dans le but de mettre votre entreprise à l’abri de ces multiples attaques qui prennent des formes de plus en plus sophistiquées.

En insistant sur les facteurs influents, ce cahier a aussi l’objectif de vous alerter et vous sensibiliser sur :
- les attaques venant de l’extérieur, car aucune entreprise n’est à l’abri d’actes de malveillance de la part de concurrents nationaux ou internationaux, d’agressivité de personnes à la recherche de rançons,

- et aussi, les vulnérabilités internes de votre entreprise, car le facteur humain est l’un des points les plus sensibles dans une gestion des risques, que ce soit au niveau de vos services informatiques ou des utilisateurs.

A ce stade, nous avons donc pensé utile de vous éclairer sur les recommandations qui paraissent les plus efficaces, aussi bien pour prévenir le risque d’attaques que pour se protéger et tenter de les maîtriser.

Aussi, dans l’esprit de ce que nous sommes en train de vivre avec la pandémie de la Covid, nous vous proposons d'appliquer, à ces virus du digital, l’ensemble des« gestes barrières » décrits dans ce Cahier.

Le dossier complet est dans le pdf joint

pdf icon iesf-cyber-risque.pdf

Auteur

Comité Maîtrise des Risques Opérationnels

Articles liés

Commentaires

1 Commentaire

Frédéric CLAVÉ (TARBES 26)
Il y a 3 ans
Pour les PME/PMI soucieuses d'identifier, prioriser et neutraliser les Cyber-menaces, la société PROXIMIT, dont je dirige la création de l'Agence à Dax (40), propose un Test (gratuit) de vulnérabilités de votre Système d'Information (Système & Réseau).

Vous souhaitez réduire votre Surface d'Attaques : Contactez-moi !

Frédéric CLAVÉ (Développeur MSSP),
Mail: frederic.clave@proximit.fr
Tél. 06 32 67 78 74
www.proximit-itservices.fr

Vous devez être connecté pour laisser un commentaire. Connectez-vous.