Avec le temps, l'infrastructure informatique des entreprises est devenue de plus en . L’augmentation considérable des services en ligne, l’adoption massive du télétravail et des appareils connectés depuis mars dernier pèsent lourdement sur les structures informatiques des entreprises. Pour autant, la saturation des réseaux et le faible débit sont-ils les seules perturbations à craindre ? La réponse par la positive ne sera malheureusement pas pour aujourd’hui. La réorganisation couplée à la transition numérique de nombreuses entreprises offrent en effet un tout nouveau terrain de jeu aux acteurs malveillants.
Cyberattaques, un combat sans fin ?
Les entreprises étaient confrontées bien avant la pandémie à des attaques toujours plus violentes sur leur environnement, ce qui rendait déjà la protection complexe. Une étude menée par Carbon Black montre que, si le télétravail a augmenté d'environ 70 % entre mars et juin, le nombre d'attaques aurait, lui, grimpé de 148 % sur la même période. Toutefois, les risques ne se limitent pas aux dispositifs et aux solutions de sécurité. Il est de rigueur de veiller à ce que les employés soient informés des menaces potentielles et qu’ils suivent scrupuleusement le processus recommandé pour les contrer.
Les cyberattaques ont aussi des conséquences plus tangibles puisque le coût moyen de la cybercriminalité en Europe est passé à 50 000 euros par incident. À une époque où les ressources sont précieuses et où les entreprises travaillent dur pour traverser la crise financière, de telles pertes peuvent être catastrophiques. Les entreprises doivent donc trouver des moyens d'intégrer les employés, les processus et les technologies dans une approche unifiée de la sécurité afin de protéger leurs réseaux en toute circonstance.
Sensibilisation et vigilance des employés sont de mise
Si certains pensent que les équipes InfoSec sont les seuls gardiens de la sécurité, c’est au contraire l’ensemble des employés qui jouent un rôle crucial pour assurer la sécurité d'une entreprise. Selon une étude d’IBM, l’erreur humaine est impliquée dans plus de 90 % des incidents de sécurité. La cybersecurité repose donc aussi sur la sensibilisation et la formation à l'échelle de l'entreprise. Une récente étude menée par Vitreous World en juillet 2020, a par ailleurs souligné que 40 % des responsables informatiques considèrent la formation des employés à la sécurité comme l'un des plus grands défis informatiques des années à venir.
Pour autant, la protection des infrastructures informatiques ne figure pas encore en tête des priorités des DSI et RSSI mais se concentrent plutôt sur la nécessité de déployer tous les outils et applications nécessaires pour le travail à distance. Selon Vitreous World, pour 35 % des décideurs informatiques, les menaces d'initiés ont augmenté cette année en raison du désengagement des employés et plus de la moitié ont convenu que le télétravail aurait rendu leurs entreprises plus vulnérables en raison de dispositifs non sécurisés. Les cybercriminels ont rusé de nouvelles techniques pour arriver à leur fin et ont exploité la crise sanitaire COVID-19 notamment à travers des e-mails frauduleux adressés aux travailleurs pour ainsi violer les systèmes de sécurité de leurs entreprises.
Tout comme l’adoption d'une approche Zero Trust
L'amélioration de la sécurité n'est pas une chose sur laquelle les entreprises peuvent faire l’impasse. Non seulement les cyberattaques perturbent la productivité, ternissent la réputation de l’entreprise mais nuisent également à la confiance des clients. Si l'éducation et la formation des salariés sont bien sûr importantes, il existe d'autres mesures que les entreprises peuvent adopter. L'adoption d'une approche de la sécurité basée sur l’approche Zero trust peut être une solution pour renforcer la protection.
À une époque où la confiance n'est pas implicite, la méthode Zero Trust peut contribuer à renforcer la protection. Elle a le potentiel d'atténuer les menaces telles que l'erreur humaine, ainsi que l'ignorance et le désengagement des employés. Une fois de plus, la technologie seule ne suffit pas, Zero Trust n'est pas un produit plug-and-play, mais un état d'esprit. L’étude Vitreous World souligne que près de 30 % des responsables informatiques ont déclaré que le soutien des employés est fondamental pour se lancer dans une approche Zero Trust.
Dans le paysage actuel de la cybermenace, rendu plus complexe par la réorganisation du travail, les risques se cachent à chaque coin de rue. Avec autant de facteurs qui peuvent compromettre la sécurité des infrastructures et entraîner des conséquences dévastatrices, s'en remettre à une seule solution n'est pas recommandé. Les entreprises ont tout intérêt à appliquer une approche globale et complète, en couplant l’approche Zero Trust avec la sensibilisation des employés pour protéger leurs réseaux et faire face aux défis de demain.
Par Pascal Beurel, Senior SE France chez Gigamon