Depuis des mois, les PME et ETI subissent deux feux nourris : celui des attaques de cybercriminels et celui des messages de prévention sécurité des fournisseurs de services et produits IT. En tant qu’opérateur de services et d’infrastructures j’ai aussi cette obligation d’alerter sur les risques. Et de sensibiliser aux bonnes pratiques de cybersécurité. Mais j’entends aussi que beaucoup d’entreprises ont atteint un point de saturation. Alors je vous propose de regarder le problème sous un autre angle. Au-delà de la sécurité informatique, quels sont les risques amenés par le faux sentiment de sécurité ? Et si l’on regardait en dehors de la « boîte » pour renforcer la sécurité des PME et ETI ?
Une IT complexifiée par l’empilement de boîtes technologiques
Beaucoup d’entreprises, en particulier les PME et ETI, ont fait le choix d’externaliser tout ou partie de leur infrastructure IT. Pour se concentrer sur leur cœur de métier, elles font confiance à leurs prestataires de services IT. Leur système d’information est donc désormais un empilement de « boîtes » : des entreprises et des « briques technologiques » plus ou moins interconnectées.
Cette notion de boîte est pratique pour représenter la complexité du système d’information. On retrouve aussi cette analogie dans d’autres métiers de l’entreprise, de la logistique à la comptabilité, pour représenter des flux complexes.
Certaines de ces boîtes qui constituent le SI sont plus ou moins transparentes, voire opaques. Mais l’entreprise n’a pas le temps ou la volonté de plonger dans la complexité des processus de son prestataire pour vérifier comment ce service est fourni.
On pourrait se dire que tant que le résultat est conforme, alors le service rendu par le prestataire informatique est conforme. Mais cette idée de résultat conforme et la confiance en cet empilement de briques technologiques peut aussi être un piège.
Pourquoi la boîte peut amener un faux sentiment de sécurité
Car un résultat peut être conforme en conditions normales de fonctionnement. Mais que se passe t’il en conditions “imprévues”? Comment se comporte l’infrastructure informatique de l’entreprise, sa messagerie, ses bases de données face à un évènement exceptionnel ? En positif : face à une augmentation soudaine des commandes ou des requêtes. Et en négatif : face à une attaque de ransomware par cryptolocker.
Or on sait que 90% des organisations mondiales ont été impactées par les ransomwares en 2022 (Estimations Spycloud). Et que les PME et ETI sont des cibles de choix car leurs ressources sont plus contraintes. La question n’est donc plus de savoir « si » elles seront attaquées par des cybercriminels mais « quand ». En conséquence, les situations « anormales » sont désormais un paramètre du fonctionnement « normal » de l’entreprise.
C’est pourquoi il est important d’ouvrir la boîte. Pour comprendre comment le service externalisé est fourni, avec quels outils, et méthodes. Pour savoir si une boîte en encapsule d’autres et déterminer quel maillon est le plus faible de la chaîne. Par exemple les risques amenés par des services cloud mal maitrisés ou du shadow IT (logiciels ou matériels installés par les utilisateurs).
Car 80 % des entreprises qui ont perdu des données suite à une cyberattaques risquent de faire faillite dans les 12 mois (source Hiscox Assurance). Mais 76% des entreprises françaises s’en relèvent grâce à la restauration de leur données (Cybersecurity Ventures Report 2021). C’est pourquoi l’ensemble de la chaîne doit être prête à reprendre et continuer l’activité immédiatement après un incident. Avec un PRA/PCA (Plan de reprise d’activité / continuité d’activité) testé, validé, et évolutif. Car l’idée n’est pas d’être prêt seulement “si” un incident se produit mais “quand” il se produira. La résilience de l’entreprise dépend de cette première étape d’anticipation.
Comment penser en dehors de la boîte pour renforcer la sécurité ?
Avec l’empilement de technologies parfois très avancées, comme des solutions d’IA, les décideurs Business et IT de PME-ETI cherchent à diminuer les risques et trouver des certitudes. Ils confient les clés de leur infrastructure informatique dans une relation de confiance, comparable à celle qui les lie à l’expert-comptable qui certifie leurs comptes. Et en cas d’erreur, les conséquences sur les finances et la réputation de l’entreprise sont tout aussi dommageables.
Mais ce serait une erreur de penser qu’une fois la boîte choisie l’entreprise n’a plus à entendre parler de ce périmètre d’activité. L’accompagnement, le conseil et un plan d’amélioration continue doivent être prévus. De la même façon, le cabinet d’expertise comptable rend des états conformes et alerte l’entreprise sur les évolutions économiques et réglementaires.
Ainsi, le fournisseur d’infrastructure informatique doit lui aussi assurer une veille et anticiper les risques notamment de cyberattaques. Enfin, il doit aider l’entreprise à adopter des bonnes pratiques qui renforcent sa résilience.
Comment Naitways intègre la sécurité dans son approche
Par exemple les clients de Naitways ont chaque mois un « bilan de santé » lors d’un comité de pilotage dédié. Nous maîtrisons de bout en bout la chaîne d’infrastructure pour éviter un empilement de boîtes technologiques qui deviendrait opaque.
Nous anticipons les incidents de sécurité avec une démarche de PRA/PCA qui s’appuie sur deux datacenters distincts. La sécurité n’est ainsi pas une option mais un prérequis de fonctionnement. Elle est intégrée nativement dans l’ensemble de nos offres d’hébergement, dans notre ADN et la formation de nos équipes.
Enfin le dialogue et nos process sécurité permettent à nos clients de gagner en sérénité. Ainsi Naitways est certifié ISO 27001 depuis le 4 mai 2022. L’idée est aussi de transmettre les bons réflexes de sécurité à toute l’équipe IT. Et de l’accompagner pour développer sa maturité sécuritaire et qu’à son tour elle transmette ces réflexes aux utilisateurs finaux. Car les utilisateurs sont encore le vecteur principal de transmission des attaques informatiques, en particulier par phishing. Mais aussi avec des comportements à risque, comme explorer les réseaux darknet depuis leur poste de travail.
Conclusion
Cette proximité, ce dialogue et des process certifiés expliquent que nos clients aient le réflexe de nous appeler immédiatement en cas d’attaque par ransomware. Car cette réactivité nous permet de déclencher immédiatement leur plan de sauvegarde et restauration. C’est une grande responsabilité d’être ainsi les garants de la continuité d’activité d’une entreprise. Car cette anticipation des risques permet à nos clients d’être sereins et de s’épanouir en dehors de la “boîte”.
