Introduction
La transformation numérique a connu un succès exponentiel au cours des dernières années et est une tendance pour les chefs d’entreprise dans presque tous les secteurs. L’amélioration de l’expérience utilisateur, de l’agilité et de la commodité, ainsi que la réduction des frais généraux la rendent particulièrement attrayante pour les petites et moyennes entreprises. Les PME sont de plus en plus nombreuses à adopter la transformation numérique pour améliorer leur activité et éviter une transition plus importante à mesure que leur organisation se développe.
La transformation numérique sera toujours un équilibre délicat entre l’amélioration des processus et l’augmentation des risques. Les PME sont particulièrement exposées aux violations de données et aux risques de voir leurs informations compromises au cours de leur transformation numérique si elles ne parviennent pas à renforcer leur sécurité en parallèle. Les services de sécurité gérés offrent la possibilité de protéger les informations sensibles grâce aux meilleures solutions fournies à partir de l’informatique dématérialisée avec une protection totale.
La première étape pour assurer une sécurité complète consiste à identifier les faiblesses inhérentes aux méthodes de sécurité traditionnelles afin de répondre à la transformation numérique prévue. Une fois les problèmes potentiels identifiés, l’étape suivante consiste à trouver les meilleurs outils pour assurer un niveau de protection optimal. Un niveau de protection adéquat permet de limiter les vulnérabilités, tout en respectant le budget et les procédures d’une organisation de petite taille. Ce livre blanc aborde les risques actuels de la transformation numérique qui rendent les PME particulièrement vulnérables aux attaques, ainsi que les trois étapes essentielles que doivent suivre les services de sécurité gérés pour les atténuer. Le niveau adapté de sécurité et de surveillance proactive évitera aux clients de dépenser trop pour sa sécurité ou de subir le coût élevé d’une violation de données. Cet article aborde les sujets suivants :
- Pourquoi la transformation numérique fait des PME une cible attrayante pour les pirates informatiques
- Les vulnérabilités critiques des différents aspects de la technologie élargie
- Comment protéger les données de vos clients, ainsi que vos appareils et votre personnel
Pourquoi la transformation numérique rend les entreprises vulnérables
Chaque année, de plus en plus d’entreprises consacrent leurs ressources et une grande partie de leur budget à leur transformation numérique. Cependant, cela ne suffit pas à atteindre les objectifs fixés. Les recherches montrent que 70 % des transformations numériques n’atteignent pas les objectifs fixés.
Alors que certains articles se plaisent à pointer du doigt les problèmes d’organisation ou l’état d’esprit des employés pour expliquer leurs échecs, les entreprises elles-mêmes signalent que c’est la sécurité qui cause bon nombre de leurs problèmes. Dans une étude portant sur plus de 270 entreprises, les dirigeants ont indiqué que les problèmes de sécurité constituaient l’obstacle le plus important à une transformation numérique réussie. Cependant, seulement 34 % de ces organisations ont déclaré avoir pris en compte les questions de cybersécurité au cours de la phase de développement. Les organisations qui ne prennent pas en compte la sécurité lors de leur transformation numérique risquent de voir l’ensemble de leur stratégie compromise avant d’avoir atteint les objectifs visés.
Les cybercriminels ont tendance à s’attaquer aux PME parce qu’elles ont généralement des normes de sécurité insuffisantes et moins de budget que les grandes entreprises pour protéger leurs données. Ils peuvent cibler un grand nombre d’entre elles en même temps, ce qui permet d’exploiter des données souvent aussi précieuses que celles des grandes entreprises. Les PME se tournent vers la transformation numérique pour être plus rentables, mais elles peuvent finir par perdre de l'argent si elles sont victimes d’une violation de données. Le rapport « Cost of a Data Breach » d’IBM a révélé que le coût moyen d’une violation de données aux États-Unis s’élevait à 8,19 millions de dollars. Le rapport indique également que les PME finissent par payer plus cher en moyenne que les grandes entreprises : Les entreprises de 500 à 1 000 employés ont payé 3 533 dollars par employé en cas de violation de données, contre 204 dollars par employé pour les entreprises de plus de 25 000 employés.1
Les PME qui subissent une transformation numérique sont particulièrement vulnérables aux attaques, car leur sécurité n’est pas toujours à la hauteur de leur expansion technologique. En outre, les attaques sont de plus en plus sophistiquées, et les PME ne sont peut-être pas prêtes à se défendre. Les PME sont victimes d’attaques de ransomware, de phishing, de déni de service distribué et d’ingénierie sociale. L’évolution des attaques et les conséquences financières qui en découlent devraient alarmer toutes les PME.
Les risques liés à la transformation numérique
Le terme de transformation numérique a été décrié par les experts et les dirigeants, car il manque de précision et qu’il englobe un trop large éventail de technologies. Dans ce livre blanc, nous aborderons les technologies les plus couramment adoptées dans le cadre de la transformation numérique des PME.
Les aspects communs de la transformation numérique pour les PME sont les suivants :
IoT (Internet des objets)
L’Internet des objets (IoT) fournit des avantages importants aux PME. La capacité des capteurs à effectuer des tâches, à analyser et à communiquer sans intervention humaine offre aux entreprises des moyens de créer de la valeur pour leurs clients. Toutefois, nombre d’entre eux ne sont pas conçus dans un souci de sécurité et exposent les organisations à d’éventuelles violations de données.
La capacité de l’IoT à connecter des dispositifs à faible risque et à haut risque peut entraîner des problèmes de cybersécurité importants pour les entreprises qui n’ont pas adapté leur sécurité en conséquence. Ce qui était auparavant une partie à faible risque de votre système est désormais lié à vos données les plus sensibles. Il suffit aux pirates de trouver un point d’entrée pour avoir accès à tout.
Selon le National Institute of Standards and Technology2, les trois principaux problèmes de sécurité liés aux appareils IoT sont les suivants :
- Les appareils IoT interagissent les uns avec les autres pour apporter des changements aux systèmes physiques, ce que ne permet pas de la même manière la technologie traditionnelle.
- L’IoT n’est pas accessible ou contrôlable de la même manière que la technologie traditionnelle.
- La disponibilité et l’efficacité de la cybersécurité sont différentes pour l’IoT et pour l’informatique traditionnelle
L’IoT ne fonctionnant pas de la même manière que les technologies de l’information, il nécessite une approche différente de la cybersécurité. Si les PME n’adaptent pas leur sécurité en conséquence, elles s’exposent à une violation potentielle de leurs données.
PAP
Afin de réduire les frais généraux et d’améliorer la satisfaction des employés, l’utilisation d’appareils personnels (PAP) est une pratique de plus en plus répandue dans les PME. Elle permet aux employés de travailler à partir de leurs appareils personnels, tels que leurs smartphones, leurs tablettes ou leurs ordinateurs portables.
Les entreprises qui n’ont pas établi de politique officielle en matière de PAP peuvent constater que leurs employés utilisent de toute façon leurs appareils personnels. Avec la prolifération des appareils Internet, une entreprise aurait du mal à trouver des employés qui n’apportent pas leur téléphone portable au travail. Si les téléphones utilisés uniquement à des fins personnelles ne constituent pas une menace pour la sécurité, le fait de travailler à partir de ces appareils peut compromettre la sécurité de l’ensemble de l’entreprise.
Le PAP rend les organisations particulièrement vulnérables aux attaques DDoS. Le vol de données est un autre risque associé au PAP. Si un employé envoie un fichier sur un réseau non sécurisé, par exemple dans un café ou un aéroport, il est facile pour des personnes mal intentionnées de compromettre ces informations. L’infiltration de malware est également un problème. Les employés peuvent télécharger un jeu mobile contenant des malwares et s’attaquer à vos informations par le biais de leur appareil.
Les anciens employés mécontents peuvent également poser un problème pour la sécurité de l’entreprise. Ils peuvent utiliser les informations chargées sur leur appareil pour saboter vos relations avec vos clients et nuire à la réputation de votre entreprise.
Télétravail
Avant même que le travail à distance ne devienne obligatoire dans certaines régions, sa popularité explosait. Désormais, le travail à distance est une nécessité. Les organisations qui s’y opposaient auparavant se voient contraintes de mettre au point des méthodes permettant à leurs employés de travailler à domicile.
Les employés qui ne connaissent pas les pratiques sûres en matière de travail à distance peuvent rendre une entreprise vulnérable à une violation de données. Le partage d’appareils avec des personnes non autorisées, l’accès à des informations via des réseaux non sécurisés, tels que les réseaux Wi-Fi publics, et la négligence lors de l’ouverture d'e‑mails peuvent également compromettre des informations sensibles et mettre votre organisation en danger.
Applications cloud
Les applications cloud permettent aux PME d’accéder plus facilement à leurs données. Elles leur permettent de prendre des décisions fondées sur des données et d’obtenir des informations essentielles pour développer leur activité. Cependant, les organisations peuvent être vulnérables aux attaques si elles ne prennent pas les précautions nécessaires.
Les applications cloud exposent les entreprises au risque de détournement de compte, où les pirates peuvent accéder à des informations sensibles en utilisant des identifiants de connexion volés. Les groupes de menaces avancées et persistantes ciblent les environnements cloud et utilisent les services cloud publics pour mener leurs attaques. Les API non sécurisées peuvent également servir de point d’entrée aux attaquants.
Les pertes de données peuvent également être un problème important pour les PME. Un accident ou une catastrophe peut entraîner la perte définitive d’informations sur les clients si les sauvegardes adéquates ne sont pas mises en place. Google et Amazon sont deux exemples qui montrent que même les entreprises les plus avancées sur le plan technique peuvent perdre des données si elles ne les sauvegardent pas.
Comment protéger votre entreprise lors de votre transformation numérique
Un service de sécurité géré qui comprend les complexités à la fois d’une transformation numérique et des PME devrait être en mesure de repérer les vulnérabilités potentielles, de fournir le niveau de sécurité nécessaire pour tenir compte de tout changement de technologie, et de continuer à assurer la surveillance de votre organisation.
Identifiez les vulnérabilités de votre stratégie de transformation numérique
La cybersécurité commence dès que le plan de transformation numérique prend forme. Elle doit faire partie du plan initial et être prise en compte à chaque étape. Les PME sont une cible particulière, car leur sécurité n’est pas toujours en adéquation avec leur croissance, ce qui laisse apparaitre des failles et des vulnérabilités. La transformation numérique et la sécurité doivent être coordonnées pour éviter cette erreur potentiellement catastrophique.
IBM a mené une étude sur les transformations les plus réussies et a constaté que les entreprises qui comprenaient mieux et mettaient davantage l’accent sur l’importance de la sécurité aboutissaient à un résultat plus satisfaisant.3 Les entreprises qui réussissent le mieux étaient moins susceptibles de subir une violation de données au cours de leur processus.
Identifiez les transformations numériques que votre organisation souhaite accomplir. Référencez les domaines dans lesquels vous souhaiteriez développer l’IoT, le PAP, le travail à distance ou davantage d’applications cloud. Veillez à inclure les détails de vos différentes stratégies pour voir où se trouvent les vulnérabilités potentielles.
Dressez également une liste des dispositifs informatiques physiques et virtuels de l’entreprise. Les postes de travail, les ordinateurs portables, les imprimantes, les appareils mobiles, les serveurs d’applications en réseau, les pare-feu d’entreprise et les serveurs de fichiers en réseau doivent être inclus dans cette évaluation.
Déterminez le niveau de sécurité nécessaire
Une fois que vous avez compris ce que vous voulez accomplir et les vulnérabilités potentielles, vous pouvez déterminer le niveau de sécurité nécessaire. Voici les services de sécurité essentiels pour une transformation numérique réussie.
Surveillance continue
Une grave erreur commise par de nombreuses PME est de consacrer trop d’argent à la prévention au détriment des capacités de détection et de réaction. Si la prévention est essentielle pour la protection des informations sensibles, les attaques évoluent et peuvent frapper à tout moment. Plus une entreprise peut réagir rapidement à une attaque, plus il sera facile de la contenir et de limiter les dégâts.
Le maintien d’une base de sécurité solide grâce à une surveillance et une gestion à distance permanentes, la recherche et le maintien de nouveaux correctifs et mises à jour des logiciels, ainsi que l’actualisation des mesures de sécurité en fonction des nouvelles menaces, garantissent une protection continue contre les cybercriminels.
IoT (Internet des objets)
Antivirus
Installation et surveillance d’un antivirus sur tous les appareils afin de sécuriser chaque point d’entrée
Analyses de vulnérabilités régulières
Les analyses régulières assurent que les antivirus, les mots de passe et tous les logiciels sont à jour.
Prévention des pertes de données
Empêche les utilisateurs de partager des données sensibles et réglemente les données qui peuvent être transférées.
PAP
Chiffrement des e‑mails
Le chiffrement de bout en bout, directement sur les appareils des utilisateurs, garantit que les informations ne se retrouvent qu’entre de bonnes mains.
Déchiffrement SSL
La passerelle Internet sécurisée inspecte tous les ports et protocoles pour vous assurer que les menaces ne peuvent pas atteindre votre réseau et combler les lacunes de sécurité laissées par les appliances traditionnelles.
Authentification sécurisée
Il y a plusieurs façons d’y parvenir, mais les politiques de mots de passe et l’authentification multifactorielle (AMF) constituent une première étape.
Télétravail
Sécuriser les employés à tout moment et en tout lieu
Fournissez une connexion VPN aux collaborateurs à distance pour sécuriser l’accès aux données et aux applications de l’entreprise.
Sensibilisation et formation à la sécurité
Sensibilisez les employés aux pratiques qui les protègent et protègent votre entreprise, comme la reconnaissance des escroqueries et la création de mots de passe forts.
Processus et politiques applicables
Vos employés doivent savoir comment assurer la sécurité de l’entreprise. Vous devez établir des directives claires concernant les données à protéger et la manière de le faire.
Applications cloud
Sauvegarde et récupération après incident
Évite la perte de données sensibles et précieuses en cas d’accident ou d’urgence.
Passerelle web sécurisée
Agissant comme un gardien de sécurité virtuel, toute détection provenant du cloud bloque immédiatement toutes les menaces pour tous les clients au sein du réseau.
Gestion des correctifs
L’installation de correctifs et leur mise à jour peuvent contribuer à résoudre les vulnérabilités inhérentes aux applications cloud.
Sommaire
Les transformations numériques sont inévitables pour les PME. Cependant, cela rend les organisations vulnérables à des menaces plus récentes et plus sophistiquées. L’IoT, le PAP, le travail à distance et les applications cloud présentent tous des défis uniques dont les entreprises doivent être conscientes. Les services de sécurité gérés peuvent aider les PME à identifier les risques potentiels et à réduire les vulnérabilités tout en améliorant leurs processus pour une entreprise plus forte. Ces services peuvent vous aider à faire face au changement et à profiter de la technologie, tout en sachant que vous êtes protégés, vous et vos clients.
1 Ponemon Institute. Cost of a Data Breach Report, rapport de juillet 2019.
2 National Institute of Standards and Technology (NIST). Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. Juin 2019.
3 Ponemon Institute. Bridging the Digital Transformation Divide: Leaders Must Balance Risk and Growth. Mars 2018.