Technologies

Cybersécurité: 4 astuces d'expert pour limiter les risques

Daniella Gorbunova
Publié jeudi 13 février 2025
Lien copié

#Cybersécurité Quatre conseils en matière de cybersécurité pour les entreprises.

 

Les sujets liés à la cybersécurité peuvent être effrayants de complexité. Y compris pour les patrons, qui doivent suivre les évolutions d’un univers numérique changeant à toute vitesse, notamment avec l’arrivée de l’intelligence artificielle, qui pose de nouveaux défis. Les petites et moyennes entreprises, surtout, ne peuvent pas toujours investir de grosses sommes dans des dispositifs et une équipe informatique dédiés à ces questions. C’est la raison pour laquelle la FER Genève propose à ses membres des services pour protéger les données et contrer les attaques en ligne1. Si cybersécurité rime, pour les entreprises, avec casse-tête, mais qu’elles tentent tant bien que mal de s’y intéresser, elles sont déjà sur la bonne voie, selon Stéphane Koch. Ce spécialiste en stratégie numérique et en sécurité de l’information identifie pour Entreprise romande les quatre réflexes clé qu’il faudrait acquérir pour minimiser les risques de cyberattaques au sein de son entreprise sans s’arracher les cheveux.

«Le risque zéro n’existe pas», précise celui qui est aussi vice-président chez ImmuniWeb SA. À chaque mise à jour de logiciel, par exemple, «de nouvelles vulnérabilités apparaissent. Et puis, il y a l’erreur humaine. Il est très important d’avoir conscience de cette fragilité, tout en essayant de réduire les risques autant que possible», a-t-il précisé lors d’une conférence sur cette thématique, donnée en janvier à l’Ecole de management et de communication genevoise ESM. Voici ses quatre conseils.

  1. Encourager les régulations Souvent, dans le monde de l’entreprise, on a tendance à penser que la régulation est forcément l’ennemie de l’innovation. Ce n’est pas le cas de la cybersécurité, qu’il est extrêmement important de réguler pour garantir la pérennité des activités économiques, des emplois, du pouvoir d’achat et de la confiance des employés et des clients, surtout à l’heure de la dématérialisation des données. Nous devons non seulement encadrer les conditions dans lesquelles l’information se dématérialise, mais aussi les conditions de la production des outils et des logiciels qu’on utilise au quotidien. L’Europe va dans ce sens avec le Cybersecurity Act, qui veut imposer une conception du numérique basée sur la sécurité dès les premières lignes de code. Le texte se veut aussi un processus d’identification des vulnérabilités en termes de sécurité avant que des produits informatiques ne soient mis sur le marché. Il s’agit, enfin, de pouvoir tenir Microsoft ou Apple responsables des failles sécuritaires que peuvent présenter leurs logiciels plutôt que les entreprises doivent assumer à elles seules les coûts des dysfonctionnements de ces outils. Cela vaut aussi pour l’intelligence artificielle: on devrait pouvoir faire confiance aux produits qu’on utilise!
     
  2. S’éduquer et éduquer ses employés Beaucoup de problèmes de cybersécurité que connaissent les entreprises sont liées à des failles humaines. D’où l'importance de la formation pour toutes et tous dans ce domaine. La formation à la cybersécurité est aujourd’hui essentielle, elle devrait être assurée de manière continue, avec plusieurs axes d’approche. Il faut inculquer aux dirigeants d’entreprise, aussi bien qu’à leurs équipes, une culture et une hygiène numériques axées sur la cybersécurité.
     
  3. Comprendre que (presque) tout est interconnecté Les entreprises doivent avoir conscience de l’interconnexion des outils numériques qu’elles utilisent et de leur dépendance vis-à-vis de ces derniers. Les patrons devraient évaluer ce que j’appelle le «patrimoine informationnel» de leur société, et les risques éventuels qu’il comporte. OpenAI, par exemple, a connu un certain nombre de dysfonctionnements - dont des pannes qui ont duré plusieurs heures. Lorsqu’une entreprise n’utilise qu’OpenAI comme intelligence artificielle, par exemple, elle doit avoir conscience du fait que cela risque de poser un problème à terme. Autre exemple: si la société qui héberge vos données connaît une cyberattaque, l’image de votre entreprise en pâtira également. Quelques conseils pratiques: utiliser une stratégie multicanale pour ne pas être trop dépendant d’un seul outil qui pourrait dysfonctionner. Et utiliser si possible des intelligences artificielles hébergées en Suisse.
     
  4. Être proactif Les entreprises doivent gérer leur cybersécurité de manière proactive. Il y a des normes légales en la matière, mais la Suisse est un peu laxiste lorsqu’il s’agit de les expliquer ou d’en édicter de nouvelles. C’est donc plutôt aux entreprises elles-mêmes que revient la responsabilité d’adopter une démarche proactive en matière de cybersécurité. Concrètement, cela veut dire: faire des audits de sécurité et d'évaluation des risques de manière régulière; identifier, à l'avance, l'entreprise de cybersécurité avec laquelle on collaborera en cas d'incident; élaborer des plans de gestion des incidents et de communication de crise; maintenir une politique de transparence en cas de cyberattaque. Pour les PME qui disposent de ressources limitées, plusieurs options existent pour optimiser les coûts tout en maintenant un niveau de sécurité adéquat. Elles peuvent notamment mutualiser certaines démarches visant à renforcer la sécurité informatique de leur système et la formation de leurs employés. Une autre approche consiste à faire appel à des MSSP (Managed Security Service Providers), qui proposent des services de sécurité mutualisés, afin d’optimiser les coûts.

    1www.fer-ge.ch/services-cybersécurité
insérer code pub ici