"Renforcer la sécurité de votre entreprise en prenant en compte tout votre écosystème"
Pourquoi faut-il penser la cybersécurité de l'entreprise comme un tout, en intégrant son écosystème (clients, partenaires) dans sa stratégie cybersécurité ?
Les entreprises sont aujourd'hui confrontées à de gros risques sécuritaires, avec des cyberattaques multiples et de plus en plus sophistiquées, ainsi qu'à de nouvelles exigences règlementaires, comme le RGPD. Elles évoluent aussi au sein d'un écosystème en mouvement : des clients, des fournisseurs, des partenaires.
La sécurité de ces entreprises, leur exposition aux risques, dépend souvent du maillon le plus faible de cet écosystème : vous pouvez adopter les meilleures pratiques, les meilleures stratégies de sécurité… mais voir la sécurité de vos systèmes d'information compromises par un partenaire moins rigoureux.
Dès lors, comment intégrer cet écosystème dans sa stratégie cybersécurité ?
Avec vos partenaires, vous pouvez – et devez - être exigeants. Il faut prendre en compte toutes les organisations avec qui vous collaborez. C'est le cas, par exemple, quand votre entreprise missionne une entreprise de communication ou de marketing pour une opération spécifique, ou collabore à long terme avec une agence de publicité… Autant d'entreprises souvent moins habituées à gérer des problématiques de risque élevé, et qui ont pourtant accès à vos informations confidentielles.
Avoir conscience de ces fragilités et de cette exposition est vraiment essentiel, d'autant qu'aucun contrat (et plan d’assurance sécurité) ne peut vous protéger totalement. Quand une entreprise subit une attaque qui lui cause un préjudice de plusieurs centaines de millions d'euros, ce n'est pas un "petit" partenaire, une PME dont le chiffre d'affaires ne dépasse pas quelques millions d'euros, qui va pouvoir combler ou compenser ce préjudice… Il faut donc s'assurer soi-même du niveau de sécurité de ses partenaires.
Comment ?
Le plus efficace est d'auditer directement la sécurité de vos partenaires. Les procédures et les exigences dépendront bien sûr du contexte et du métier (entreprise de services, sous-traitant industriel, société financière, etc.). Il faut s'assurer qu'il n'y aucun sujet laissé de côté, que ce soit par exemple dans les flux de connexion, l'accès à l'information ou le stockage des données.
On peut s'en assurer, contrôler techniquement des machines, mener des tests en aveugle pour vérifier la protection de l'entreprise. On procèdera au cas par cas, en adaptant son approche en fonction du risque et du contexte. On peut aussi faire œuvre de pédagogie, en se rappelant que l’humain constitue le premier rempart contre les attaques. D'où l'importance, pour les entreprises, des formations à la cybersécurité.
La situation est différente quand il s'agit de s'assurer de la solidité et de la maturité sécuritaire de vos clients. Le "rapport de force" étant inversé, on ne peut plus exiger des mesures, mais plutôt se positionner en force de proposition, de conseil. Donnez des garanties sur la sécurité que vous allez apporter aux informations de votre client, informez-le des mesures de protection mises en place, des incidents qui ont eu déjà lieu et de la manière dont ils ont été traités, des mesures prises, etc.
La cybersécurité est bien sûr indispensable, mais elle représente et apporte aussi une valeur ajoutée qualitative à votre entreprise, donc autant le faire savoir. Si votre niveau de sécurité est élevé, n'hésitez pas à capitaliser dessus pour le transformer aussi en argument concurrentiel.