« La clé d'une bonne sécurité, sans friction, est de comprendre les besoins et les opérations de l'entreprise afin de mettre en place des contrôles efficaces autour d'eux. La sécurité doit être intégrée dès la conception, et non ajoutée par la suite. »
Ingénieur principal en sécurité - Dan Perry
Qu'est-ce que l'infosec ?
Souvent intégrée à la gestion des risques liés à l'information, la sécurité de l'information (souvent abrégée en « Infosec ») est le processus visant à réduire et à éliminer le risque d'accès, d'utilisation, de divulgation, de perturbation, de suppression, de corruption, de modification, d'inspection ou d'enregistrement non autorisés.
Afin de protéger les informations, et dans le contexte actuel une grande quantité de données personnelles, les entreprises doivent suivre ces principes pour gérer au mieux le stockage de leurs données :
La « Triade CIA »
Confidentialité
Le principe de confidentialité vise à garantir que les informations privées le restent et qu'elles ne peuvent être consultées ou accessibles que par les personnes qui en ont besoin pour accomplir leurs tâches professionnelles.
Intégrité
Le principe d'intégrité est conçu pour garantir que les données sont fiables, exactes et qu'elles n'ont pas été modifiées de manière inappropriée.
Disponibilité
Protéger la fonctionnalité des systèmes de support et garantir que les données sont entièrement disponibles au moment (ou pendant la période requise) où les utilisateurs en ont besoin. L'objectif de la disponibilité est de s'assurer que les données sont accessibles pour être utilisées lorsqu'elles sont nécessaires à la prise de décision.
Découvrez les qualifications en sécurité de l'information de Purple à la fin de cet article !
« Il faut 20 ans pour bâtir une réputation et quelques minutes d'un cyber-incident pour la ruiner. »
Types de failles de sécurité
L'attaque de l'homme du milieu (MitM)
Une attaque MitM se produit lorsqu'un pirate relaie secrètement et modifie éventuellement les communications entre deux parties qui croient communiquer directement l'une avec l'autre.
Un exemple d'attaque MitM est l'« écoute clandestine » active, dans laquelle l'attaquant établit des connexions indépendantes avec les victimes et relaie les messages entre elles pour leur faire croire qu'elles se parlent directement via une connexion privée.
Hameçonnage (Phishing)
Le phishing se produit lorsque des attaquants tentent de piéger les utilisateurs pour qu'ils fassent « la mauvaise action », comme cliquer sur un lien malveillant qui téléchargera un malware, ou les diriger vers un site Web frauduleux.
Le phishing peut être mené par SMS, sur les réseaux sociaux ou par téléphone, mais le terme « phishing » est principalement utilisé pour décrire les attaques qui arrivent par e-mail.
Déni de service (DoS)
Une attaque par déni de service (DoS) est une attaque destinée à bloquer une machine ou un réseau, le rendant inaccessible à ses utilisateurs prévus. Les attaques DoS y parviennent en inondant la cible de trafic ou en lui envoyant des informations qui provoquent un plantage. Dans les deux cas, l'attaque DoS prive les utilisateurs légitimes (c'est-à-dire les employés, les membres ou les titulaires de compte) du service ou de la ressource qu'ils attendaient.
Les victimes des attaques DoS sont souvent les serveurs Web d'organisations de premier plan telles que les banques, les entreprises de commerce et de médias, ou les organisations gouvernementales et commerciales. Bien que les attaques DoS n'entraînent généralement pas le vol ou la perte d'informations importantes ou d'autres actifs, elles peuvent coûter beaucoup de temps et d'argent à la victime pour y faire face.
« La sécurité n'est pas quelque chose que l'on achète, c'est quelque chose que l'on fait, et il faut des personnes talentueuses pour bien le faire. »
Conséquences d'une faille de sécurité
Perte de revenus
Cette conséquence peut être fortement influencée par le type de cyberattaque qu'un pirate a choisi d'utiliser. Cependant, les fuites de données entraîneront des coûts de sécurité supplémentaires, une perte de valeur de la part de marché, ainsi que des coûts pour indemniser les clients concernés.
Réputation
Bien qu'une baisse à court terme des revenus d'une entreprise puisse ne pas sembler trop dommageable, le véritable coût se fait sentir au fil du temps. Une fois qu'une faille de sécurité est rendue publique, les partenaires et les clients (prospects ou existants) n'hésiteront pas à « quitter le navire », amputant ainsi une part encore plus importante des revenus de l'entreprise.
Poursuites judiciaires
Des amendes, des amendes et encore des amendes.
Il existe de nombreuses réglementations à travers le monde que les entreprises doivent respecter, par exemple :
- Europe - GDPR (le GDPR est un règlement de l'UE et il ne s'applique plus au Royaume-Uni )
- Royaume-Uni - Data Protection Act
- Chine - Loi sur la protection des informations personnelles
En vertu du GDPR britannique et du DPA, l'amende maximale applicable est de 17,5 millions de livres sterling ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Les entreprises opérant sous le GDPR de l'UE et le DPA peuvent cependant se voir infliger une amende maximale de 20 millions d'euros (18 millions de livres sterling).
Perturbation des opérations
Lors de toute tentative ou faille réussie, toutes les entreprises subiront un impact sur leurs opérations en raison des enquêtes approfondies menées pour évaluer les dommages, déterminer la cause et trouver la source.
Dans certains cas, les entreprises s'arrêtent complètement pour limiter les dégâts et concevoir un plan de reprise. Pendant ce temps, tous les points mentionnés ci-dessus s'aggravent.
La plus grande violation de données du 21e siècle
En 20 13, Adobe a été piraté et plus de 153 millions de dossiers d'utilisateurs ont été compromis, y compris des identifiants cryptés, des mots de passe et des informations de cartes de débit et de crédit.
Adobe a dû payer 1,1 million de dollars de frais de justice et, en novembre 2016, le montant versé aux clients a été évalué à 1 million de dollars.
https://www.youtube.com/watch?v=zYfx4cdFCVA
« Si vous n'avez pas les moyens de payer pour la sécurité, vous n'avez pas les moyens de subir une faille. »
La certification infosec de Purple
ISO/IEC 27001
Purple est conforme à la norme ISO/IEC 27001 pour la conception et le développement de logiciels WiFi basés sur le cloud pour le traitement et le stockage des données personnelles. Notre certification ISO est maintenue depuis plusieurs années et garantit que nous disposons des processus, des personnes et des technologies adéquats pour assurer la livraison sécurisée de notre produit, conformément à nos obligations envers nos clients et les personnes concernées par leurs données. La norme ISO 27001 définit un cadre de contrôles couvrant l'ensemble de l'entreprise, de la gestion de nos ressources humaines à la cryptographie.
En prenant cette base de référence et en l'élargissant pour intégrer nos objectifs commerciaux (exigences internes) et les attentes de nos clients (exigences externes), nous avons mis en place un mode de fonctionnement sécurisé, reproductible et adapté à nos besoins.
CyberEssentials+
Le programme Cyber Essentials est un dispositif relativement récent soutenu par le gouvernement britannique et le NCSC, qui vise à permettre aux PME (petites et moyennes entreprises) de garantir un niveau de sécurité de base à leurs clients et de postuler aux marchés publics.
La certification Cyber Essentials est un outil d'auto-évaluation. Cependant, en raison de la confiance que nous accordons à nos contrôles, notamment après avoir déjà mis en œuvre le cadre plus robuste de la norme ISO 27001, nous sommes allés plus loin et avons obtenu la certification Cyber Essentials Plus en faisant valider nos contrôles par un partenaire de sécurité indépendant accrédité CE+.
Envie d'en savoir plus ? Découvrez Comment protéger votre entreprise en ligne - Lire ici
