Attendez-vous à l’inattendu
Publié le 29/09/2021 dans Inspiration
“Nous devons faire plus attention à ce que nous utilisons sur nos réseaux”, déclare Jaya Baloo, CISO d’Avast Software. Pour elle, tester différents scénarios et en tirer des leçons sont les fers de lance de toute politique de sécurité.
Toute organisation est une cible potentielle pour les cybercriminels. C’est pourquoi l’élaboration d’une stratégie de cybersécurité est essentielle. Selon Jaya Baloo, celle-ci doit reposer sur trois piliers : stimuler la prise de conscience, créer une visibilité et une compréhension des risques et développer ses propres capacités. Cette stratégie sert ensuite de base pour élaborer des plans concrets assortis d’un budget.
“Sans plan, on ne va nulle part.” Jaya Baloo explique que la cybersécurité doit reposer sur une stratégie.
“Il est important de laisser vos plans évoluer avec le contexte de votre entreprise”, indique-t-elle. “Un plan sur trois ans est idéal car il offre des perspectives à suffisamment long terme, mais il vaut mieux l’adapter chaque année.” Jaya Baloo préconise une approche très pragmatique : “Partez des trois principaux objectifs de votre stratégie de sécurité et traduisez-les en dix étapes concrètes. Faites-en une liste de priorités. Et veillez à donner chaque année la priorité à ce top dix. Ainsi, tous les paramètres importants seront pris en compte.”
Les entreprises doivent prendre davantage conscience de leur place dans la chaîne d’approvisionnement
Jaya Baloo, CISO d’Avast Software
Examinez l’ensemble de la chaîne d’approvisionnement
Pour établir ce top dix, une entreprise doit considérer différents éléments : d’une part, l’état des lieux interne, comme le niveau de maturité en matière de sécurité des collaborateurs ou le degré de sécurité du réseau, et d’autre part, le contexte dans lequel l’entreprise est active et les menaces qui s’y profilent. Et, bien évidemment, il faut mettre de l’ordre dans sa cuisine interne. Mais, dans le même temps, Jaya Baloo préconise aussi de se tourner davantage vers l’extérieur.
“Les entreprises doivent prendre davantage conscience de leur place dans la chaîne d’approvisionnement. Chaque entreprise dépend d’autres parties, qui sont à leur tour liées à d’autres entreprises, etc.” D’où le risque majeur qu’impliquent les attaques ciblées sur une chaîne d’approvisionnement. “Le monde des entreprises dépend largement des technologies. Nous devons donc réfléchir davantage à celles que nous utilisons.”
Selon Jaya Baloo, ce principe ne vaut pas seulement pour les entreprises, mais aussi pour les institutions publiques et les infrastructures critiques en général. “Aujourd’hui, l’architecture informatique est globalement la même partout. Quand les cybercriminels parviennent à attaquer ou désactiver une composante critique de cette infrastructure, tout peut s’effondrer : banques ou centrales électriques comprises.” Davantage de prudence est donc de mise. “En tant qu’entreprise ou gestionnaire d’infrastructure critique, il faudrait pouvoir tester chaque logiciel avant de le mettre sur le réseau. Mais la plupart des fournisseurs s’y opposent encore. C’est quand même fou.”
Préparez-vous aux incidents. Quand on est bien entraîné, on ne panique pas en cas de vraie attaque.
Jaya Baloo, CISO d’Avast Software
Une demande de rançon ? Ne payez pas !
Mais la vigilance et la prévention ne permettent pas d’éviter tous les incidents, comme en témoignent les innombrables attaques de ransomware l’an dernier. “Nous recommandons vivement aux victimes de ransomware de ne pas payer”, affirme Jaya Baloo. Le paiement semble pourtant souvent la solution la plus simple, “mais ce n’est qu’une impression. La rançon ne constitue en effet généralement qu’une fraction des dommages que subirait votre entreprise si votre usine était longtemps à l’arrêt ou si vous perdiez vos données pour de bon. Mais pouvez-vous faire confiance aux cybercriminels ?”
Pour Jaya Baloo, la solution est ailleurs. Elle commence longtemps avant que l’attaque ne se produise : avec une gestion sûre des patchs, des mises à jour ponctuelles, des investissements dans le renforcement et la segmentation du réseau et une bonne stratégie de sauvegarde. “Veillez à vous sentir à l’aise, même face à l’incertitude et à l’inconnu qui planent toujours au-dessus de votre tête. C’est la base pour gérer les risques en matière de cybersécurité.”
Testez différents scénarios
Cela n’a toutefois rien de naturel. “Il faut préparer ses collaborateurs. Quand on est bien entraîné, on ne panique pas en cas de vraie attaque.” La formation consiste en grande partie à élaborer et tester toutes sortes de scénarios. “Coupez vous-même une partie du réseau. Observez ce qui se passe et tirez des leçons de chaque comportement inhabituel.” Autre bon conseil partagé par Jaya Baloo : miser sur différentes équipes de sécurité.
“Ne mettez pas toute la pression sur une seule équipe”, explique-t-elle. “Répartissez la pression et les tâches. Vous éviterez ainsi d’épuiser vos équipes. Nous assurons la continuité de la sécurité 24h/24 et 7j/7 grâce à des équipes ‘follow the sun’ réparties sur trois continents.”
Renforcez votre approche en matière de cybersécurité.
Jaya Baloo est CISO chez Avast Software, fournisseur de logiciels de sécurité. Avant, elle était CISO chez KPN Telecom. Elle fait partie de la liste des ‘100 Women Founders In Europe To Follow’ de Forbes.
One
Le magazine IT de Proximus qui s’adresse aux CIO et professionnels IT actifs dans les PME.