Cybersécurité : 5 conseils pour limiter les dégâts

La semaine dernière, la salle du Tank était pleine pour parler de cybersécurité dans le cadre des BeFor Jeunes Femmes & Numérique de Social Builder. Si vous avez raté ça, voici les 5 enseignements clés à retenir pour vous protéger au mieux, ainsi que vos entreprises.

1. Sachez que de toutes façons, vous serez attaqués

Nacira Salvan, Directrice CyberSécurité chez PwC, Présidente de l’association Le cercle des Femmes de la Cybersécurité commence par un constat difficile : “ Aujourd’hui, on assiste à une forme d’échec de la cybersécurité, peut importe les moyens mis en place, tout le monde se fait attaquer. L’important, c’est la résilience et la capacité à réagir. ”

Avec les données externalisées sur Dropbox, le Google Drive, et l’usage des ordinateurs professionnels à domicile sur des réseaux personnels moins sécurisés, le périmètre à défendre a changé et est devenu immense.

En effet, les risques sont nombreux : ces logiciels téléchargeables gratuitement d’apparence si pratiques peuvent être des portes d’entrée vers votre ordinateur et vos données. Julie Gommes, Consultante en sécurité de l’information chez Econocom, en atteste : “ J’ai fait le test de télécharger un logiciel gratuit et de voir les adresses IP qui passaient sur une machine sur laquelle je faisais de la recherche forensic : plusieurs connections à Paris, en Chine, en Afrique, en Europe de l’Est… même si vous êtes bien au chaud chez vous, vos données, elles, voyagent ! ”

De gauche à droite : Lucile Coupez, Julie Gommes, Veromanitra Andriamandroso, Nacira Salvan

2. Le plus souvent, la faille de sécurité se trouve entre l’ordinateur et la chaise

La faille du système, c’est malheureusement souvent l’humain, selon Nacira Salvan : “ 7 personnes sur 10 ouvrent une pièce-jointe même s’ils ne connaissent pas l’expéditeur. C’est un constat assez triste, mais qui montre que même des techniques simples comme le phishing ont de beaux jours devant elles.”

Il y a quand même des exceptions, une imprimante non sécurisée mais reliée au réseau Wifi d’une entreprise peut par exemple être un point d’entrée pour entrer dans un réseau.

3. L’important est d’identifier l’attaque le plus rapidement possible…

L’un des chiffres clés de la soirée est rappelé par Julie Gommes, “ Ce qu’il faut savoir, c’est que la durée moyenne pour se rendre compte qu’une attaque a eu lieu est de … 6 mois ! ”

Donc autant vous dire que si les services de cybersécurité ne font pas le point très régulièrement, ils risquent de se retrouver dans cette situation (et d’avoir du mal à évaluer les données qui ont été piratées) :

4. … et de bien préparer les réponses

L’important est donc de travailler sa résilience : avoir identifié les risques en amont pour pouvoir s’organiser très rapidement en cas d’attaque en sachant qui mettre autour de la table et quelles actions mener dans quel ordre.

Pour Lucile Coupez, Information System Security Project Coordinator, Essilor International : “ Ce qui marche plutôt bien, c’est de s’affûter à attaquer, car c’est la meilleure façon d’apprendre. Les entreprises créent aujourd’hui des laboratoires où elles testent des attaques, essaient de rentrer dans les failles de leur système, font évoluer un virus auto-apprenant (machine learning) dans des systèmes fermés pour étudier son comportement. ”

5. La clé, la sensibilisation des managers et des salariés

Pour Veromanitra Andriamandroso, Chef de projet SI, chez Altran France, la clé est la sensibilisation des salariés et des managers. Pousser les décideurs à envisager la cybersécurité comme un investissement pour se prémunir contre des dommages potentiellement très coûteux pour l’entreprise (à l’image de l’attaque de type “ ransomware ” qui a bloqué un hôpital de Los Angeles pendant plusieurs jours et a coûté 17 000 $ de rançon, ou un autre exemple plus près de chez nous à Épinal). Sensibiliser les collaborateurs afin qu’ils diminuent leurs pratiques à risques en renouvelant régulièrement leurs mots de passe, en ne les divulguant pas et en évitant d’ouvrir des mails ou de télécharger des logiciels dont ils ne sont pas certains de la provenance. Ce sujet sera d’ailleurs le cheval de bataille du CEFCYS (Le Cercle des Femmes de la Cybersécurité) l’année prochaine.

En guise de conclusion, la chose à retenir nous est rappelée par Lucile Coupez : “ La cybersécurité évolue, c’est une source d’opportunités professionnelles et de nouveaux métiers ”. Alors si vous aimez les défis, comprendre les comportements humains et que vous avez un esprit expérimental, vous savez ce qu’il vous reste à faire !

Retour sur les intervenantes de choc de la soirée :

Photo d’Olivier Ezratty pour QFDN

Animé par Veromanitra Andriamandroso, Chef de projet SI, Altran France

Lucile Coupez, Information System Security Project Coordinator, Essilor International

Julie Gommes, Consultante en sécurité de l’information chez Econocom, Iso 27001 Lead Auditor @jujusete

Nacira Salvan, Directrice CyberSécurité chez PwC, Présidente de l’association Le Cercle des Femmes de la Cybersécurité @NaciraSALVAN

Pour en savoir plus de façon assez ludique, regardez les vidéos de la Hack Academy du Cigref.

Merci encore à nos partenaires de l’événement : Le Tank, Le Cercle des Femmes de la Cybersécurité et Quelques Femmes du Numérique

et à tous ceux/celles qui ont suivi l’event et ont manifestement apprécié (#JFNum)!

Pour tout savoir sur nos prochains events Jeunes Femmes & Numérique, cliquez ici !

A propos de Social Builder :

Social Builder est une startup sociale fondée par Emmanuelle Larroque dédiée à concrétiser la mixité femmes-hommes. Elle porte le programme Jeunes Femmes et Numérique, un accélérateur de carrières pour les talents féminins du numérique.

Isabelle Pestourie pour l’équipe Social Builder