Thierry van Delden est responsable de la conformité et de la protection de la vie privée chez Infoland depuis plus de trois ans. Dans le cadre de ses fonctions, il est quotidiennement confronté à la technologie, à la vie privée et à la protection des données. Il comprend mieux que quiconque à quel point il est crucial de prendre la cybersécurité au sérieux en tant qu'organisation, quelle que soit sa taille. Cela va plus loin que l'acquisition d'un bon logiciel, surtout si l'on considère que 88 % des incidents de cybersécurité sont dus à des actions humaines. Comment garantissez-vous le comportement de votre organisation en matière de sécurité de l'information ? Et quelles sont vos attentes vis-à-vis des fournisseurs en matière de sécurité ? Dans cette interview, Thierry aborde les quatre principales tendances actuelles en matière de cybersécurité et donne des conseils sur la manière d'impliquer les employés et les fournisseurs dans cette démarche en tant qu'organisation.
"La sensibilisation à la sécurité pose des problèmes aux responsables. Après tout, les employés sont déjà suffisamment occupés par leurs propres tâches et ils supposent souvent que la sécurité est quelque chose dont le département informatique s'occupe. Comment s'assurer que les comportements sécuritaires deviennent des pratiques courantes ? Il est essentiel d'impliquer les employés et d'ouvrir le dialogue".
- Thierry van Delden, Compliance & Privacy Officer chez Infoland
Lors d'une attaque par ransomware, les systèmes informatiques d'une entreprise ou d'un particulier sont infectés par un logiciel malveillant qui crypte les données du système. Malheureusement, les ransomwares restent le choix préféré des pirates. Pourquoi ? Parce qu'il est relativement simple et efficace. Entre 2021 et 2022, le nombre d'attaques par ransomware a augmenté de 70 %. Au niveau mondial, 37 % des entreprises ont été touchées l'année dernière. Thierry : "Les ransomwares ne sont pas nouveaux, mais ces chiffres montrent que les organisations doivent les prendre au sérieux. On s'attend à ce que ces chiffres augmentent chaque année."
Si, en tant qu'organisation, vous êtes victime d'un ransomware, les conséquences peuvent être désastreuses. En effet, vous ne pourrez récupérer vos données professionnelles qu'en payant une rançon, mais même cela n'est pas garanti. Bien que 31 % des victimes paient la rançon, elles ne récupèrent en moyenne que 65 % de leurs données. "Pourtant, nous voyons souvent des reportages dans les médias où de grandes organisations paient la rançon", déclare Thierry.
Outre cette forme d'extorsion, d'autres coûts peuvent être considérables si vous êtes victime d'une attaque par ransomware, comme le remplacement des systèmes TIC ou l'embauche de spécialistes TIC pour limiter les dégâts. En outre, une attaque par ransomware entraîne souvent une perte de chiffre d'affaires, car vous êtes temporairement dans l'incapacité de travailler à pleine capacité. Thierry : "Mieux vaut donc prévenir que guérir. 74 % des attaques par ransomware sont déclenchées par des actions humaines. Vos mesures de sécurité peuvent être aussi bonnes qu'elles le sont... Si vous ne sensibilisez pas vos employés, tôt ou tard, les choses tourneront mal."
Pour en savoir plus sur la prévention des attaques de ransomware, cliquez ici.
Ce qui nous amène directement à la deuxième grande tendance en matière de sécurité : la sensibilisation. C'est la "tendance" la plus importante de toutes", déclare Thierry. "Les cybercriminels savent que les gens sont le maillon faible. Ils appliquent avec succès des techniques telles que le phishing ou l'ingénierie sociale. Dans le cas de l'ingénierie sociale, par exemple, vous recevez un courriel de votre patron vous demandant d'effectuer un virement bancaire. Tout cela peut sembler très réaliste". Les cybercriminels exploitent des techniques de plus en plus sophistiquées.
De nombreuses études montrent également que le risque augmente en raison du travail à domicile massif. Thierry : "Parce que pendant la période corona, de nombreuses entreprises ont dû prendre des mesures hâtives pour passer au travail en ligne, le nombre d'incidents de sécurité a augmenté de 238%." Le travail à distance est risqué en raison de la "pollinisation croisée" entre les appareils personnels et professionnels et vice versa. Par exemple, 70 % des employés de bureau utilisent des appareils professionnels pour des tâches personnelles, et 37 % utilisent leurs ordinateurs personnels pour accéder à des applications professionnelles.
En sensibilisant les employés aux dangers, vous pouvez prévenir de nombreux incidents humains. La sensibilisation peut aller de la compréhension de l'importance de la sécurité de l'information à la connaissance de ce qu'il faut faire dans des situations suspectes et surtout de ce qu'il ne faut pas faire. "La sensibilisation pose des défis aux responsables", explique Thierry. "Après tout, les employés sont déjà bien assez occupés par leurs propres tâches, et ils supposent souvent que la sécurité est une chose dont le département informatique s'occupe. Comment s'assurer que les comportements sécurisés deviennent des pratiques courantes ?
Il est important de fournir une formation de sensibilisation à la sécurité, par exemple, mais surtout de s'assurer que les gens restent engagés. Comment faire ? Thierry nous donne quelques conseils :
Dans cet article, vous pouvez en savoir plus sur la sensibilisation à la sécurité et les conseils ci-dessus sont décrits plus en détail.
Imaginez : vos employés sont maintenant bien formés à la sensibilisation à la sécurité, votre sécurité est en ordre... et puis ? Qu'en est-il des entreprises avec lesquelles vous travaillez en Europe ? Vous devrez également comprendre les mesures de cybersécurité de votre chaîne de fournisseurs. C'est l'un des éléments décrits dans la nouvelle directive européenne NIS2 qui entrera en vigueur le 17 octobre 2024. Thierry explique : "L'Union européenne a introduit la directive sur la sécurité des réseaux et de l'information en 2016. Il y aura désormais une directive renouvelée - la ligne directrice NIS2 - pour protéger et améliorer la cybersécurité et la résilience des entreprises et des services clés dans l'UE." Vous êtes une entreprise basée au Royaume-Uni et vous avez des partenariats en Europe ? Vous êtes donc également concerné !
La directive NIS2 renforce les exigences de sécurité pour les organisations essentielles ou importantes pour la société. "Ainsi, alors que l'ancienne directive ne concernait que les secteurs essentiels, tels que les soins de santé, d'autres secteurs ont été ajoutés. Pensez aux fournisseurs d'accès à Internet et aux agences gouvernementales", explique Thierry. Si votre organisation fait partie de la catégorie "essentielle" ou "importante", vous devez non seulement vous conformer à la directive NIS2, mais aussi identifier les risques liés à la sécurité des fournisseurs.
Un exemple : si vous êtes producteur d'énergie, votre organisation est essentielle pour la société. Si vous commandez des éoliennes à un fournisseur externe et que celui-ci est victime d'une attaque par ransomware, vous, en tant que service essentiel, ne pouvez pas augmenter votre capacité. Vous devez donc également vérifier les mesures de sécurité prises par ce fournisseur. Thierry : "Qu'attendez-vous des fournisseurs ? Demandez-vous simplement leur certificat ISO 27001 chaque année, et c'est bon ? Ou bien leur rendez-vous visite chaque année pour les auditer ? Envoyez-vous un questionnaire deux fois par an et interrogez-vous ainsi sur la politique de sécurité ? Avec un système de gestion d'audit intelligent, tel que Zenya CHECK, vous sécurisez ce processus. Vous pouvez vous concentrer sur une norme spécifique, telle que la directive NIS2, et être ainsi conforme de manière optimale.
Vous travaillez avec des entreprises européennes et vous souhaitez en savoir plus sur le NIS2 ? Découvrez ce que vous devez faire pour vous mettre en conformité ; lisez tout ici.
L'IA et la sécurité... Qu'en est-il vraiment ? Thierry : "L'intelligence artificielle (IA) est un sujet incontournable, bien qu'il ne s'agisse pas d'une tendance en matière de sécurité. Si votre organisation n'utilise qu'occasionnellement des outils d'IA comme ChatGPT pour s'en inspirer, la sécurité intégrée d'un tel outil est souvent suffisante. Vous devez l'évaluer vous-même et déterminer si elle est suffisante pour votre organisation. Si l'IA est véritablement le cœur de métier de votre entreprise, c'est bien sûr une autre histoire. Par exemple, si vous développez vous-même l'IA et qu'elle implique des données personnelles, des mesures de sécurité très strictes sur le plan juridique sont attendues.
Si l'IA devient un élément crucial de vos opérations commerciales, la sécurité adéquate de vos outils liés à l'IA devrait également être un aspect important de votre stratégie de sécurité. Une nouvelle loi européenne sur l'IA se profile également à l'horizon : l'AI Act. Il établira les règles de base pour le développement et l'utilisation de l'IA. Ne manquez pas de la suivre de près si votre organisation est impliquée dans l'IA !
Après avoir lu cet article, êtes-vous curieux de savoir comment Zenya peut aider votre organisation, par exemple, à sécuriser les directives de sécurité telles que le NIS2 ? Ou souhaitez-vous savoir comment mettre en place une campagne de sensibilisation à la sécurité efficace avec Zenya BOOST?
Demandez la brochure pour avoir toutes les informations à portée de main.
Vous voulez voir ce que Zenya peut faire pour votre organisation ? Demandez une démonstration gratuite.
Contactez nos experts sans engagement ! Nous nous ferons un plaisir de réfléchir avec vous.
