Cybersécurité et PME

Cybersécurité et PME

Table of Contents

    L’un des facteurs régulièrement cités comme un frein à l’achat en ligne pour les consommateurs est l’absence de confiance quant à la sécurité des informations. La sécurité de l’information au sens large représente donc un enjeu majeur pour nos entreprises qui doivent veiller à rassurer les consommateurs afin d’augmenter le volume de transactions.

    Quelle que soit la taille de votre entreprise, les cyberattaques sont souvent synonymes de perturbations désagréables voire de pertes sévères que ce soit en termes :

    • d’atteinte à l'image et perte de confiance du monde extérieur ;
    • de destruction et/ou de vol d'informations commerciales clefs ;
    • d’indisponibilité de certains sites ou dégradation de l'outil de travail à la suite de certaines cyberattaques ;
    • de sanctions éventuelles en cas de fuite de données à caractère personnel...

    A chaque incident, les conséquences financières peuvent être très importantes et la continuité de l'activité peut, très rapidement, être remise en question. Il est donc primordial d’être bien informé des risques encourus par votre entreprise ainsi que des moyens pour l’en prémunir.

    Premières étapes : Entreprise 1.0

    La grande majorité des entreprises dispose de données  importantes (secrets de fabrication, fichiers de clientèle, facturation, comptabilité...) ainsi que d'outils de travail, tous deux indispensables.

    Protéger ces données et outils de manière adéquate doit être une priorité pour votre entreprise.

    Identifiez les mesures simples et rapides qui permettront de sensibiliser vos employés à la sécurité des outils et à la protection des données de votre entreprise. Leur identification dépendra naturellement du degré de maturité de votre entreprise mais pour vos premiers pas, vous pouvez par exemple commencer par :

    • cibler la gestion des mises à jour ;
    • conditionner l’accès au wi-fi de votre entreprise (via un code régulièrement modifié) ;
    • appliquer une véritable politique de gestion des mots de passe de vos employés ;
    • prévoir une gestion des back-up des données vitales à votre entreprise

    Etapes suivantes : Entreprise 2.0

    La première chose à faire ensuite est de réaliser une analyse de risques. Il s’agit d’une démarche qui vous permettra d’identifier rapidement quels sont vos actifs critiques afin de les protéger de manière plus efficace.

    L’analyse de risques peut être rudimentaire (sur la base de simples questions) :

    • Que se passerait-il si vous n’aviez plus accès à internet pendant 24 heures, un jour d’ouverture ? 
    • Quelles seraient les conséquences si l’un de vos concurrents devait entrer en possession d’informations sensibles (clients, produits, prix d’achat…) vous concernant ?

    L’analyse peut également être plus complexe (en ayant recours à  des méthodologies et outils spécifiques comme MEHARI, MONARC,…).

    L’analyse de risques part du principe que le risque est le résultat que la probabilité d’une menace exploite une vulnérabilité et inflige un impact.

    Si l’impact est considéré comme négligeable, le risque peut être considéré comme acceptable, ce qui peut s’exprimer de la sorte :

    Risque = Probabilité d’une Menace * Vulnérabilité * Impact

    Il est difficile d’agir sur les menaces car ces dernières évoluent sans cesse. Toutefois, il est possible de diminuer la probabilité que cette menace frappe votre entreprise en diminuant les vulnérabilités jusqu’à un niveau de risque acceptable. Les risques non acceptables devraient être traités en priorité.

    Ensuite,

    • identifiez les informations ayant de la valeur (voir « point 3.3.3. Principe 3. Identifiez les informations dont dispose votre entreprise et classifiez-les ! » de notre manuel Cybersécurité : votre entreprise est-elle prête ?).
    • établissez un registre des données à caractère personnel (voyez l’exemple du Parlement européen).
    • concevez un Incident Management Plan réaliste.
    • sensibilisez votre personnel à la sécurité de l’information.
    • organisez régulièrement des tests et des contrôles.
    • revoyez régulièrement vos procédures afin de vous assurer qu’elles sont toujours conformes à la réalité.

    Documentation

    Pour en savoir plus, consultez notre manuel Cybersécurité : votre entreprise est-elle prête ?, dans lequel vous trouverez également un glossaire des termes liés à la sécurité de l’information ainsi que le Trafic Light Protocol.

    Présentations de l'évènement "Cybersécurité - votre entreprise est elle prête" du 20 septembre 2016 (ZIP, 5.76 Mo)

    Dernière mise à jour
    30 juillet 2018

    Dernières actualités pour ce thème

    1. Entreprises

      European Enterprise Awards - Un projet belge a été retenu

    2. Entreprises

      Rapport sur la conjoncture économique dans les industries alimentaires et la fabrication de boissons

    3. Entreprises

      Entreprendre 2.0, le rendez-vous des entrepreneurs et start-up