Les 5 lois de la cybersécurité pour protéger son entreprise


Il faut bien comprendre que la cybersécurité est un domaine complexe, et tout moyen de simplifier ses nombreux aspects en maximes courtes et faciles à retenir est toujours le bienvenu. Les cinq lois constituent un très bon point de départ pour développer un programme de sécurité solide pour son entreprise. Ces lois sont les suivantes :

  • Traitez tout comme si c’était vulnérable
  • Supposez que les gens ne respectent pas les règles.
  • Si vous n’avez pas besoin de quelque chose, débarrassez-vous-en.
  • Documentez tout et procédez à des audits réguliers.
  • Prévoyez l’échec.

Bien entendu, le respect de règles réelles n’est pas nécessairement synonyme de sécurité, mais ces « lois » générales sur la cybersécurité constituent une référence utile. Toutefois, comme pour les véritables réglementations, une certaine profondeur et un certain contexte peuvent apporter une valeur significative. Dans certains cas, l’origine de ces lois non officielles peut alimenter un débat animé, même chez le praticien le plus convaincu de la cybersécurité.

Traitez tout comme si c’était vulnérable

La première règle de la cybersécurité consiste à tout traiter comme s’il était vulnérable car, bien entendu, tout est vulnérable. Tous les cours de gestion des risques, les examens de certification en matière de sécurité et les audits insistent sur le fait qu’il n’existe pas de système 100 % sûr. On peut dire que tout le domaine de la cybersécurité est fondé sur ce principe.

Étant donné que de nombreuses entreprises ne parviennent pas à satisfaire pleinement à cette norme, l’essor de la sécurité de confiance zéro est devenu la nouvelle référence en matière de pratiques matures de cybersécurité. La confiance zéro, par sa conception, refuse l’accès à tout sans vérifier son autorité. Cela ressemble à ce que vous pouvez voir dans un film d’espionnage, où l’accès à toutes les pièces nécessite une autorisation. La confiance zéro va encore plus loin, en revérifiant cette autorisation à différentes étapes d’une session. La gestion de l’accès aux identités pour les utilisateurs et les dispositifs, ainsi que des étapes telles que la vérification des mises à jour, constituent la base d’un environnement de confiance zéro. Aucun dispositif, programme ou utilisateur ne doit avoir accès à quoi que ce soit sans vérification et revalidation.

Supposer que les gens ne suivront pas les règles

Je préfère reformuler cette règle en disant « Les gens peuvent contourner les règles », car sa formulation originale est trop accusatrice. Cet état d’esprit de contournement des règles en matière d’informatique remonte aux premiers cercles de « hackers », qui ont vu le jour au MIT Model Railroad Club. Étant donné qu’il est souvent difficile de se conformer à certains protocoles de sécurité, les employés peuvent trouver des moyens de contourner ces protections, ce qui entraîne des vulnérabilités.

Les statistiques confirment ce principe, puisque 94 % des organisations américaines et britanniques subiront des violations de données par des initiés en 2023. De même, 84 % des responsables informatiques citent l’erreur humaine comme la cause la plus fréquente d’incidents graves. Les attaques par ingénierie sociale étant de plus en plus courantes, cette règle est devenue de plus en plus pertinente. Les mesures anti-hameçonnage, les exigences en matière de mots de passe et les règles similaires ne sont efficaces que si les gens les suivent.

Les entreprises doivent aller au-delà de la mise en œuvre de politiques de cybersécurité plus strictes. Cela signifie qu’elles doivent faire appliquer ces règles tout en facilitant leur respect à l’aide d’outils tels que les gestionnaires de mots de passe. Toutefois, comme l’indique cette loi particulière, les professionnels de la sécurité doivent comprendre que des contrôles techniques sont également nécessaires pour renforcer la sécurité. Les restrictions d’accès et autres protections similaires sont nécessaires pour limiter les violations commises par des initiés.

Si vous n’en avez pas besoin, débarrassez-vous en

La troisième loi de la cybersécurité, popularisée à l’origine comme l’une des 3 règles de sécurité en ligne de Brian Krebs, vise à minimiser les surfaces d’attaque et à maximiser la visibilité. Si Krebs ne faisait référence qu’aux logiciels installés, l’idéologie qui sous-tend cette règle s’est étendue. Par exemple, de nombreuses entreprises conservent des données, des systèmes et des appareils qu’elles n’utilisent plus ou dont elles n’ont plus besoin, en particulier lorsqu’elles évoluent, se mettent à niveau ou se développent. C’est comme cette vieille paire d’espadrilles usées qui traîne dans un placard. Cet excès peut présenter des vulnérabilités inutiles, comme un exploit vieux de plusieurs décennies découvert dans certains logiciels open source.

La plupart des entreprises n’ont qu’une visibilité d’environ 75 % sur leurs opérations de télétravail. Conserver des actifs redondants ou non pertinents empêche une visibilité à 100 %. Si elles se débarrassaient des anciens systèmes et des anciennes données, elles pourraient avoir une meilleure vision de leurs opérations, ce qui pourrait accélérer la détection des vulnérabilités et des violations.

Tout documenter et auditer régulièrement

Cette règle est en fait deux règles en une. L’optimisation de la visibilité et la découverte des vulnérabilités passent en partie par un audit interne régulier et cohérent. Pour la plupart des professionnels de la sécurité, un audit est un processus fastidieux et pénible.

Malheureusement, trop d’entreprises n’y parviennent toujours pas, ce qui fait des audits un élément indispensable de la cybersécurité. Par exemple, certains attaquants contrôlent les machines de leurs victimes pendant des mois ou des années avant que quiconque ne s’en aperçoive en raison de processus de journalisation insuffisants. Le processus d’audit devrait inclure non seulement des examens de la configuration, mais aussi des tests actifs pour vérifier les vulnérabilités non atténuées ou nouvelles.

La documentation, souvent présentée comme l’une des tâches les plus ardues de la cybersécurité, est essentielle, tant pour le personnel actuel que pour la planification de la relève. Trop souvent, les ingénieurs sont pressés de mettre un système en service et de le faire fonctionner, laissant la documentation comme un événement « après coup ».

Malheureusement, cet événement ne se produit jamais, car le travail quotidien dépasse le temps nécessaire pour documenter avec précision chaque composant d’un système complexe. La gestion du changement relève également de cet élément. Plus les entreprises enregistrent, plus il est facile de suivre et de corriger les activités suspectes et de mettre en œuvre de nouveaux systèmes.

Prévoir l’échec

La dernière loi de la cybersécurité stipule que les organisations doivent se préparer au pire. C’est peut-être plus vrai que jamais, étant donné la rapidité avec laquelle la cybercriminalité évolue. Les risques d’une exploitation de type « jour zéro » sont trop élevés pour que les entreprises puissent supposer qu’elles ne seront jamais victimes d’une violation. Heureusement, la mentalité apocalyptique qui était autrefois véhiculée par le trope « deux types d’organisations. » a été remplacée par un esprit de résilience.

Tout cela indique que les organisations doivent adopter de solides mesures préventives, ainsi que des plans de récupération détaillés. Le coût moyen d’une attaque par ransomware est sept fois plus élevé que la rançon elle-même, de sorte qu’il vaut mieux prévenir que guérir. Les entreprises doivent trouver un équilibre entre les deux pour s’assurer qu’elles sont aussi sûres que possible.

Les sauvegardes et les plans d’intervention d’urgence doivent faire partie intégrante des pratiques de sécurité de chaque entreprise. Toutefois, il est important de s’assurer qu’il s’agit bien de plans de secours et que les entreprises ne lésinent pas sur leurs défenses périmétriques.

Les 5 lois de la cybersécurité ne sont pas une liste exhaustive

On peut se demander pourquoi il est nécessaire de reformuler et de reconsidérer ces cinq règles. Tout d’abord, les cinq lois de la cybersécurité restent plus pertinentes que jamais. En outre, il est important de reconnaître que la cybersécurité n’est jamais une activité statique ou une activité « à cocher ». Les organisations doivent continuellement et soigneusement examiner et appliquer ces pratiques.

La cybercriminalité évolue en permanence et les risques sont trop importants pour négliger les vulnérabilités potentielles. Ces cinq lignes directrices sont précisément cela : des lignes directrices. Si elles nous rappellent ce que doit comprendre un plan de sécurité fiable, les organisations doivent se souvenir des détails les plus subtils et les mettre en œuvre pour rester en sécurité.


More from Author

Les avantages d’acheter un mobil home dans un camping avec emplacement

L’achat d’un mobil home est devenu une solution prisée par ceux...

Créer une atmosphère relaxante dans la chambre grâce à la déco et à l’éclairage

Après une journée stressante, Sarah rentre chez elle. Elle rêve d'une...

- A word from our sponsors -

spot_img

Read Now

Les avantages d’acheter un mobil home dans un camping avec emplacement

L’achat d’un mobil home est devenu une solution prisée par ceux qui souhaitent profiter de vacances régulières sans les contraintes d’un logement secondaire classique. En optant pour un mobil home installé dans un camping avec emplacement, vous combinez confort, flexibilité et convivialité. Cette formule attire de plus...

Le resentéisme : un phénomène qui menace la culture organisationnelle sur le lieu de travail

Le départ discret a évolué vers une pratique bien plus dangereuse : le ressentiment. Il ne s'agit plus de se contenter du strict minimum. Nous sommes désormais confrontés à des employés physiquement présents, mais émotionnellement hostiles, qui ont développé un ressentiment actif envers l'organisation tout en conservant...

Créer une atmosphère relaxante dans la chambre grâce à la déco et à l’éclairage

Après une journée stressante, Sarah rentre chez elle. Elle rêve d'une chambre apaisante. Un cocon qui l'aide à décompresser. Créer une atmosphère relaxante dans la chambre devient essentiel. L'éclairage et la déco jouent un rôle clé. 73% des Français déclarent mal dormir à cause d'un environnement inadapté. Pourtant,...

De la conception à la diffusion : l’accompagnement complet d’une agence visuelle

Dans un monde où l’image occupe une place centrale, les entreprises doivent soigner leur communication visuelle pour se démarquer. C’est dans ce contexte qu’intervient une agence visuelle, capable d’accompagner ses clients à chaque étape d’un projet, de l’idée initiale jusqu’à la diffusion. Grâce à une expertise en...

Comment inciter son chat à boire plus d’eau au quotidien

Votre chat boude sa gamelle d'eau ? Cette situation inquiète de nombreux propriétaires de félins. Les chats domestiques boivent naturellement peu, héritage de leurs ancêtres du désert. Pourtant, une hydratation insuffisante expose votre compagnon à des troubles urinaires graves. Heureusement, des solutions simples existent pour inciter votre...

Pourquoi de plus en plus de propriétaires sortent leur chat en harnais

Le phénomène prend de l'ampleur dans nos villes. Chaque jour, davantage de propriétaires choisissent de sortir leur chat en harnais. Cette pratique, autrefois marginale, séduit aujourd'hui des milliers de maîtres urbains. Les chats d'appartement découvrent l'extérieur en sécurité. Les réseaux sociaux amplifient cette tendance émergente. Mais pourquoi...

Guide complet : Comment choisir la bâche idéale pour vos besoins ?

Choisir une bâche adaptée à ses besoins peut sembler simple, mais cette décision repose sur plusieurs critères essentiels. Que ce soit pour protéger des objets, couvrir une surface ou sécuriser un espace, chaque détail compte : le matériau, la résistance aux intempéries, la taille, le poids, et...

Quels critères prendre en compte pour bien choisir son tire-lait ?

L’allaitement maternel est une expérience unique qui renforce le lien entre la mère et son enfant. Toutefois, il arrive que certaines situations nécessitent l’utilisation d’un tire-lait : reprise du travail, besoin de déléguer une tétée, production de lait à stimuler ou tout simplement volonté de gagner en confort....

Comment les jeux en ligne influencent nos émotions au quotidien

Les jeux en ligne occupent aujourd’hui une place importante dans notre quotidien. Accessibles sur ordinateur, console ou smartphone, ils rassemblent des millions de joueurs dans le monde entier. Mais au-delà de leur aspect ludique, ils exercent une influence réelle sur nos émotions et notre état psychologique. Excitation,...

Comment les jeux en ligne rendent vos voyages en avion plus relaxants

Prendre l’avion est souvent synonyme d’excitation, mais aussi de contraintes. Entre les longues heures d’attente, l’espace limité et le bruit constant des réacteurs, le trajet peut rapidement devenir fatigant. Pour beaucoup de voyageurs, trouver une manière de s’occuper et de se détendre est essentiel. C’est là que...

Vivre autrement : pourquoi la yourte séduit de plus en plus de familles

Dans un contexte marqué par la recherche de simplicité, d’écologie et de solutions de logement alternatives, la yourte connaît un engouement croissant. Cet habitat nomade d’origine mongole, autrefois utilisé par les peuples des steppes, est aujourd’hui adopté en France et ailleurs par des familles désireuses de vivre...

Quels systèmes pour faciliter la mise à l’eau des personnes à mobilité réduite ?

Vous êtes au cœur d'un projet aquatique, l'échéance approche, tout prend forme. Et pourtant, sans un dispositif adapté à la mise à l'eau des personnes à mobilité réduite, l'ouvrage reste incomplet. L'accessibilité ne se décrète pas, elle se construit avec rigueur et justesse. Pensée en amont, intégrée...