Deloitte identifie 10 étapes pour combattre les cyber-menaces

Commuhiqué Deloitte

La cyber-sécurité : une résolution prioritaire des entreprises en 2014

Neuilly-sur-Seine, mardi 21 janvier 2014 – A l’occasion du 6ème Forum International de la Cyber-sécurité (FIC) à Lille, Deloitte publie dix recommandations aux organisations visant à les aider à lutter contre les cyber-attaques.  

Face aux menaces croissantes pesant sur la cybersécurité des organisations, qui dépassent largement à présent les frontières traditionnelles des DSI et se focalisent sur des directions métiers ou fonctionnelles, lutter contre les attaques n’est plus uniquement l’affaire de la DSI mais devient le problème de tous. Il est plus que jamais nécessaire de mettre en place des actions de prévention pour éviter toute cyber-attaque et ce, à tous les échelons de l’organisation.

Deloitte, nommé leader du conseil en cyber-sécurité par Kennedy dans son rapport récemment publié et intitulé Cyber Security Consulting 2013, propose plusieurs recommandations à destination des organisations. Tester régulièrement la capacité des systèmes à détecter les intrusions et à résister aux attaques, ou bien encore s’assurer que des procédures suffisantes sont adoptées pour réagir face à des cyber-attaques, et ce, du point de vue technique, commercial, organisationnel et des relations publiques, figurent parmi les points clés à prendre en considération.

« La cybercriminalité représente aujourd’hui une véritable menace pour les organisations. L’année dernière elles étaient 92 % à estimer que le niveau de menace émanant de tiers était moyen ou élevé1. Nous avons identifié 10 points clés pour les accompagner dans la sécurisation de leur système d’information afin de les protéger des risques de cyber-attaques. Il s’agit d’une décision stratégique qui doit être gérée dans sa globalité et dans le temps, et non de façon ponctuelle» explique Marc Ayadi, Associé responsable IT Advisory chez Deloitte.

Voici les 10 préconisations de Deloitte aux entreprises pour faire face aux cyber-menaces. Ces étapes clés sont classées par ordre croissant, de l’étape de base à la plus avancée :

1. Se concentrer sur l’essentiel

Identifier et documenter les fonctions et informations métiers critiques cibles des cyber-attaques ainsi que les scénarios éventuels de compromission.

2. Etre réaliste face aux risques

Quel que soit l’efficacité actuelle de vos mesures de sécurité, tout porte à croire que les cyber-criminels seront à même d’en venir à bout. C’est pour cette raison que, dans le cadre de votre cyber-sécurité, vous devez adopter une approche basée sur les risques ; en les hiérarchisant en fonction de leur probabilité et de leur impact, vous pouvez gérer efficacement les plans de traitement.

3. Connaitre ses amis

Pour se protéger de la menace émanant des tiers, il est important que vous recensiez l’intégralité de vos relations : les sous-traitants, les partenaires, les clients, les fournisseurs, les prestataires, etc. Et surtout, vous devez prendre garde à ne pas oublier tous les acteurs ayant accès à votre infrastructure SI et s’assurer que tous sont mobilisés dans la gestion des cyber-menaces.

4. Renforcer ses capacités d’investigation

Vous devez développer des capacités de détection des menaces pesant sur vos fonctions métiers critiques, vos actifs informationnels et la continuité de vos activités. En procédant à une supervision  de vos systèmes, vous pourrez détecter des cyber-menaces en temps réel et ainsi y répondre au plus vite pour en limiter les retombées préjudiciables.

5. Etablir des plans d’urgence

En matière de cyber-attaques, la prévention n’est qu’une facette de la guerre. Même les systèmes les plus aboutis et les entreprises les plus vigilantes peuvent être mis à rude épreuve. C’est la raison pour laquelle, il est essentiel d’élaborer des procédures spécifiques à suivre en cas de cyber-attaque, et ce des points de vue juridique, technique, commercial, organisationnel et de la marque.

6. Eprouver ses capacités

Des simulations de cyber-attaque peuvent vous permettre d’éprouver l’efficacité de vos réponses d’urgence ainsi que la capacité de vos systèmes à détecter les intrusions et à répondre aux attaques. De cette manière, vous parviendrez non seulement à parfaire votre résilience et  vos stratégies de défense mais également à reprendre le cours normal de vos activités dans les meilleurs délais.

7. Protéger les éléments vulnérables

Afin de cibler les applications vulnérables, les cyber-criminels contournent de mieux en mieux les contrôles de sécurité existants. Pour protéger ses systèmes-clés, vous devez ainsi veiller à appliquer rapidement des correctifs et à procéder à des mises à jour de votre système d’information.

8. Faire preuve de discernement

Il est important d’améliorer votre capacité à détecter et à atténuer en amont les cyber-menaces imminentes et émergentes en tirant profit  des connaissances d’organisations spécialisées en cyber-sécurité, ainsi que des sources de renseignement libres et commerciales. Que ces compétences soient développées en interne ou sous-traitées, l’essentiel est de se doter de capacités de renseignement proactives en termes de cyber-menaces.

9. Préserver soigneusement sa réputation 

Les pertes des organisations victimes d’une cyber-attaque ne sont pas uniquement financières, elles peuvent également entacher leur image et entamer la confiance du public et de ses clients à leur égard. En vue de préserver leur réputation, elles doivent donc identifier les personnes qui communiquent sur l’organisation. Superviser régulièrement leur marque sur l’Internet peut souvent leur permettre d’anticiper sur les attaques planifiées sur leur système d’information, sur les campagnes de dénigrement et sur les atteintes aux droits de propriété intellectuelle.

10. Renforcer la sensibilisation aux cyber-attaques

Votre technologie n’est pas nécessairement le maillon le plus faible de votre cyber sécurité : en réalité, votre personnel constitue une cible de choix. Les attaques par ingénierie sociale, qui reposent, entre autres techniques, sur des e-mails de phishing ciblés, trompent souvent les utilisateurs afin qu’ils révèlent des informations confidentielles ou qu’ils téléchargent des logiciels malveillants. Les cyber-criminels ont ainsi toute latitude pour pénétrer votre réseau, et ce, sans même avoir recours à des méthodes sophistiquées. D’où l’importance pour vous de sensibiliser et de former votre personnel et de s’assurer que celui-ci est conscient de ces risques et menaces.

A propos de Deloitte

Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited, société de droit anglais (« private company limited by guarantee »), et à son réseau de cabinets membres constitués en entités indépendantes et juridiquement distinctes. Pour en savoir plus sur la structure légale de Deloitte Touche Tohmatsu Limited et de ses cabinets membres, consulter www.deloitte.com/about. En France, Deloitte SA est le cabinet membre de Deloitte Touche Tohmatsu Limited, et les services professionnels sont rendus par ses filiales et ses affiliés.

Deloitte fournit des services professionnels dans les domaines de l’audit, de la fiscalité, du consulting et du financial advisory à ses clients des secteurs public et privé, quel que soit leur domaine d’activité. Fort d’un réseau de firmes membres dans plus de 150 pays, Deloitte allie des compétences de niveau international à un service de grande qualité afin d’aider ses clients à répondre à leurs enjeux les plus complexes. Nos 200 000 professionnels sont animés par un même objectif, faire de Deloitte la référence en matière d’excellence de service. En France, Deloitte mobilise un ensemble de compétences diversifiées pour répondre aux enjeux de ses clients, de toutes tailles et de tous secteurs – des grandes entreprises multinationales aux microentreprises locales, en passant par les entreprises moyennes. Fort de l’expertise de ses 7 950 collaborateurs et associés, Deloitte en France est un acteur de référence en audit et risk services, consulting, financial advisory, juridique & fiscal et expertise comptable, dans le cadre d’une offre pluridisciplinaire et de principes d’action en phase avec les exigences de notre environnement.

© 2014 Deloitte SA

Etude de Deloitte réalisée auprès d’entreprises du secteur des TMT (Technologies, Média et Télécoms) en 2013

 

Poster un commentaire

Classé dans Uncategorized

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s