Méthodologie synthétique de gestion de la cybersécurité pour les dirigeants des entreprises, associations, collectivités, administrations.
Cybersécurité : un enjeu stratégique
La cybersécurité peut se définir comme l’ensemble des mesures techniques et organisationnelles destinées à protéger les organisations des cyberattaques. Face à une cybercriminalité en pleine expansion, la cybersécurité est aujourd’hui devenue un enjeu stratégique qui doit être pris en compte au plus haut niveau des organisations. En effet, chaque entreprise, association, administration ou collectivité, quelle qu’en soit leur taille, peut être la cible d’une cyberattaque dont les conséquences techniques, mais également financières, réputationnelles, voire juridiques peuvent impacter jusqu’à la survie des plus petites structures. Mais comment procéder et par où commencer lorsqu’on n’est pas un spécialiste dans ce domaine ?
Ce guide synthétique vise à répondre à ces questions en fournissant aux dirigeants un support méthodologique des 10 principaux points d’attention à piloter à leur niveau, pour assurer la cybersécurité de leur organisation. Plus vous augmenterez votre niveau de cybersécurité, plus vous diminuerez vos risques d’être attaqués : il n’est jamais trop tard pour agir afin d’éviter le pire.
Gestion de la cybersécurité : comment procéder ?
1. Faites un état des lieux
Dans un premier temps, il convient de dresser un inventaire le plus exhaustif possible de l’ensemble de vos actifs numériques (réseaux internes, sites Internet, messageries, réseaux sociaux, applications et services externalisés…), et de leurs responsables (support informatique interne ou externe).
2. Prenez conscience du risque
Pour chaque système recensé, évaluez sa criticité pour le fonctionnement de votre organisation s’il venait à être piraté ou détruit, voire si les données qu’il contient étaient dérobées par des cybercriminels.
3. Évaluez votre niveau de protection
Interrogez votre support informatique interne et/ou externe sur la pertinence des mesures de sécurité techniques, organisationnelles voire contractuelles appliquées au regard des enjeux, telles les politiques de mots de passe, de sauvegardes, de mises à jour ou encore de filtrage des accès externes.
4. Définissez un plan d’action
80 % des cyberattaques pourraient être évitées par l’application de mesures simples et à faible coût comme une bonne gestion des mots de passe, des sauvegardes, des mises à jour de sécurité ou des droits d’accès. Priorisez les actions à entreprendre en fonction du rapport criticité/coût/efficacité.
5. Faites-vous accompagner
Si aucun collaborateur n’est assigné à ce rôle, désignez une personne en charge de vous assister dans le pilotage du plan de cybersécurité de votre organisation. Pour l’évaluation technique du niveau de protection sur vos systèmes critiques, faites appel à un prestataire spécialisé en cybersécurité que vous pourrez trouver sur Cybermalveillance.gouv.fr.(https://securisation.cybermalveillance.gouv.fr/).
6. Sensibilisez vos collaborateurs
Vos collaborateurs sont un maillon essentiel de votre cybersécurité, qu’il s’agisse d’appliquer de bonnes pratiques de cybersécurité ou même de détecter voire de réagir à une tentative de cyberattaque. De nombreuses ressources gratuites de sensibilisation sont disponibles sur Cybermalveillance.gouv.fr.
7. Préparez-vous au pire
Il n’y a pas de cybersécurité absolue : le risque d’une cyberattaque réussie est malheureusement toujours possible. Il convient donc de préparer desplans de secours pour affronter une crise : annuaire de crise, fonctionnement dégradé, communication… et de réaliser des exercices pour s’assurer de leur efficacité.
8. Impliquez-vous
Pour vous assurer que le plan d’action cybersécurité est bien conduit, vous devez en tant que dirigeant vous impliquer, en le pilotant par des points de situation et d’avancement réguliers à son niveau. Vous devez également montrer l’exemple et exiger de vos cadres et collaborateurs qu’ils ne dérogent ou ne contournent pas les mesures de sécurité décidées pour protéger leur organisation.
9. Contrôlez
Il est en effet important de vérifier que les mesures décidées ont bien été mises en place. Pour les systèmes les plus critiques, un audit technique et organisationnel peut s’avérer nécessaire : il est recommandé de faire appel à un prestataire spécialisé en cybersécurité que vous pourrez trouver sur Cybermalveillance.gouv.fr.(https://securisation.cybermalveillance.gouv.fr/).
10. Itérez
Les services numériques des organisations évoluent en permanence, tout comme les moyens permettant de les attaquer. Pour intégrer cette évolution de la surface d’attaque des organisations, il est recommandé de réappliquer cette méthode de manière globale tous les deux à trois ans, en intégrant dans son plan de cybersécurité tout nouveau service numérique avant sa mise en œuvre.
Comment piloter sa cybersécurité ? (Dirigeants)
Téléchargez les mesures opérationnelles à appliquer au format PDF.
Bonjour ! Je m'appelle Cédric, auteur et éditeur basé à Arles. J'écris et publie des ouvrages sur la désinformation, la sécurité numérique et les enjeux sociétaux, mais aussi des romans d'aventure qui invitent à l'évasion et à la réflexion. Mon objectif : informer, captiver et éveiller les consciences à travers mes écrits.
Pour offrir les meilleures expériences, nous utilisons des technologies telles que les cookies pour stocker et/ou accéder aux informations des appareils. Le fait de consentir à ces technologies nous permettra de traiter des données telles que le comportement de navigation ou les ID uniques sur ce site. Le fait de ne pas consentir ou de retirer son consentement peut avoir un effet négatif sur certaines caractéristiques et fonctions.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
