Cybersécurité et PME

L’un des facteurs régulièrement cités comme un frein à l’achat en ligne pour les consommateurs est l’absence de confiance quant à la sécurité des informations. La sécurité de l’information au sens large représente donc un enjeu majeur pour nos entreprises qui doivent veiller à rassurer les consommateurs afin d’augmenter le volume de transactions.

Quelle que soit la taille de votre entreprise, les cyberattaques sont souvent synonymes de perturbations désagréables voire de pertes sévères que ce soit en termes :

  • d’atteinte à l'image et perte de confiance du monde extérieur ;
  • de destruction et/ou de vol d'informations commerciales clefs ;
  • d’indisponibilité de certains sites ou dégradation de l'outil de travail à la suite de certaines cyberattaques ;
  • de sanctions éventuelles en cas de fuite de données à caractère personnel...

A chaque incident, les conséquences financières peuvent être très importantes et la continuité de l'activité peut, très rapidement, être remise en question. Il est donc primordial d’être bien informé des risques encourus par votre entreprise ainsi que des moyens pour l’en prémunir.

Premières étapes : Entreprise 1.0

La grande majorité des entreprises dispose de données  importantes (secrets de fabrication, fichiers de clientèle, facturation, comptabilité...) ainsi que d'outils de travail, tous deux indispensables.

Protéger ces données et outils de manière adéquate doit être une priorité pour votre entreprise.

Identifiez les mesures simples et rapides qui permettront de sensibiliser vos employés à la sécurité des outils et à la protection des données de votre entreprise. Leur identification dépendra naturellement du degré de maturité de votre entreprise mais pour vos premiers pas, vous pouvez par exemple commencer par :

  • cibler la gestion des mises à jour ;
  • conditionner l’accès au Wi-Fi de votre entreprise (via un code régulièrement modifié) ;
  • appliquer une véritable politique de gestion des mots de passe de vos employés ;
  • prévoir une gestion des back-up des données vitales à votre entreprise

Etapes suivantes : Entreprise 2.0

La première chose à faire ensuite est de réaliser un Risk Assessment : Il s’agit d’une démarche qui vous permettra d’identifier, analyser et évaluer vos risques afin de vous protéger de manière plus efficace.

Le Risk Assessment peut être :

  •  Rudimentaire (sur la base de simples questions) :
    • Que se passerait-il si vous n’aviez plus accès à internet pendant 24 heures, un jour d’ouverture ? 
    • Quelles seraient les conséquences si l’un de vos concurrents devait entrer en possession d’informations sensibles (clients, produits, prix d’achat…) vous concernant ?
  • Plus complexe
    • Le Risk Assessment peut également être plus complexe (en ayant recours à  des méthodologies et outils spécifiques d’analyse de risques tels que MEHARI, MONARC,…). Pour vous aider, nous vous proposons un template gratuit de Risk Assessment sur Digital Reaction Plan.

Le Risk Assessment part du principe que le risque est le résultat que la probabilité d’une menace exploite une vulnérabilité et inflige un impact.

Si l’impact est considéré comme négligeable, le risque peut être considéré comme acceptable, ce qui peut s’exprimer de la sorte :

Risque = Probabilité d’une Menace * Vulnérabilité * Impact

Une fois vos risques identifiés, analysés et évalués, il vous faudra encore les traiter (Risk Treatment), c’est à dire prendre une decision par rapport à ces risques.  Nous vous proposons un template gratuit de Risk Treatment sur Digital Reaction Plan.

Dans le cadre de vos démarches, n’oubliez pas de :

  • identifier les informations ayant de la valeur (voir « point 3.3.3. Principe 3. Identifiez les informations dont dispose votre entreprise et classifiez-les ! » de notre manuel Cybersécurité : votre entreprise est-elle prête ?).
    • dans le cadre du Digital Reaction Plan, des templates gratuits vous permettront d’identifier, d’analyser et d’évaluer vos risques avant de pouvoir les traiter.
  • établir un registre des données à caractère personnel (voyez l’exemple du Parlement européen).
  • gérer vos incidents de manière efficace en fonction de la taille de votre entreprise  :découvrez les templates gratuits de Gestion des incidents, Incident Response Plan, Crisis Management Plan et Disaster Recovery Plan  sur Digital Reaction Plan
  • sensibiliser votre personnel à la sécurité de l’information. Un kit de sensibilisation est disponible sur le site « Cyber Security Coalition ».
  • organiser régulièrement des tests et des contrôles.
  • revoir régulièrement vos procédures afin de vous assurer qu’elles soient toujours conformes à la réalité.

Documentation

Pour en savoir plus, consultez notre manuel Cybersécurité : votre entreprise est-elle prête ?, dans lequel vous trouverez également un glossaire des termes liés à la sécurité de l’information ainsi que le Trafic Light Protocol.

Découvrez tous les templates de gestion de la continuité des activités de l’entreprise (Business Continuity Management) sur Digital Reaction Plan. Ces templates sont gratuits et établis dans 3 langues (FR, NL, DE).

Des webinaires sont à votre disposition sur le site du Centre for Cybersecurity Belgium. Ces capsules vidéos vous expliquent comment vous préparer et vous prémunir contre les principaux dangers.

Dernière mise à jour
19 octobre 2021