Comment piloter la cybersécurité de son entreprise ou association : 10 points d’attention
Fiche pratique | Publié le 06 mars 2024 | Mis à jour le 07 mars 2024
Les attaques informatiques représentent une menace croissante pour les organisations, qu’elles soient grandes ou petites. Les dirigeants d'entreprise ou d'association doivent prendre des mesures pour se protéger contre les menaces en ligne. Cybermalveillance fait le point dans une fiche pratique sur les 10 principaux points d’attention.
Cybersécurité : un enjeu stratégique pour les dirigeants d'entreprise ou d'association
Face au risques croissants de cyberattaque auquels font face les TPE, PME et associations, leurs dirigeants doivent mettre en place une stratégie de cybersécurité. Les conséquences des attaques cyber sont souvent importantes, tant sur le plan technique que financier ou réputationel voire juridique et peuvent impacter jusqu’à la survie des plus petites structures
La cybersécurité passe par un ensemble de mesures techniques et organisationnelles destinées à protéger les organisations des cyberattaques.
Ce guide synthétique, réalisé par Cybermalveillance.gouv.fr, partenaire de France Num, vise à répondre à ces questions en fournissant aux dirigeants un support méthodologique des 10 principaux points d’attention à piloter à leur niveau, pour assurer la cybersécurité de leur organisation.
Plus vous augmenterez votre niveau de cybersécurité, plus vous diminuerez vos risques d’être attaqués : il n’est jamais trop tard pour agir afin d’éviter le pire.
Gestion de la cybersécurité : 10 points d'attention
1. Faites un état des lieux
Dans un premier temps, il convient de dresser un inventaire le plus exhaustif possible de l’ensemble de vos actifs numériques (réseaux internes, sites Internet, messageries, réseaux sociaux, applications et services externalisés…), et de leurs responsables (support informatique interne ou externe).
2. Prenez conscience du risque
Pour chaque système recensé, évaluez sa criticité pour le fonctionnement de votre organisation s’il venait à être piraté ou détruit, voire si les données qu’il contient étaient dérobées par des cybercriminels.
3. Évaluez votre niveau de protection
Interrogez votre support informatique interne et/ou externe sur la pertinence des mesures de sécurité techniques, organisationnelles voire contractuelles appliquées au regard des enjeux, telles les politiques de mots de passe, de sauvegardes, de mises à jour ou encore de filtrage des accès externes.
4. Définissez un plan d’action
80 % des cyberattaques pourraient être évitées par l’application de mesures simples et à faible coût comme une bonne gestion des mots de passe, des sauvegardes, des mises à jour de sécurité ou des droits d’accès. Priorisez les actions à entreprendre en fonction du rapport criticité/coût/efficacité.
5. Faites-vous accompagner
Si aucun collaborateur n’est assigné à ce rôle, désignez une personne en charge de vous assister dans le pilotage du plan de cybersécurité de votre organisation. Pour l’évaluation technique du niveau de protection sur vos systèmes critiques, faites appel à un prestataire spécialisé en cybersécurité que vous pourrez trouver sur Cybermalveillance.gouv.fr.
Vous pouvez aussi faire appel à un Activateur France Num spécialisé en cybersécurité.
6. Sensibilisez vos collaborateurs
Vos collaborateurs sont un maillon essentiel de votre cybersécurité, qu’il s’agisse d’appliquer de bonnes pratiques de cybersécurité ou même de détecter voire de réagir à une tentative de cyberattaque. De nombreuses ressources gratuites de sensibilisation sont disponibles sur Cybermalveillance.gouv.fr ainsi que sur le site France Num.
7. Préparez-vous au pire
Il n’y a pas de cybersécurité absolue : le risque d’une cyberattaque réussie est
malheureusement toujours possible. Il convient donc de préparer des plans de secours pour affronter une crise : annuaire de crise, fonctionnement dégradé, communication… et de réaliser des exercices pour s’assurer de leur efficacité.
8. Impliquez-vous
Pour vous assurer que le plan d’action cybersécurité est bien conduit, vous devez en tant que dirigeant vous impliquer, en le pilotant par des points de situation et d’avancement réguliers à son niveau. Vous devez également montrer l’exemple et exiger de vos cadres et collaborateurs qu’ils ne dérogent ou ne contournent pas les mesures de sécurité décidées pour protéger leur organisation.
9. Contrôlez
Il est en effet important de vérifier que les mesures décidées ont bien été mises en place. Pour les systèmes les plus critiques, un audit technique et organisationnel peut s’avérer nécessaire : il est recommandé de faire appel à un prestataire spécialisé en cybersécurité que vous pourrez trouver sur Cybermalveillance.gouv.fr.
10. Itérez
Les services numériques des organisations évoluent en permanence, tout comme les moyens permettant de les attaquer. Pour intégrer cette évolution de la surface d’attaque des organisations, il est recommandé de réappliquer cette méthode de manière globale tous les deux à trois ans, en intégrant dans son plan de cybersécurité tout nouveau service numérique avant sa mise en œuvre.
Consultez l'infographie sur les mesures opérationnelles à appliquer
Cybermalveillance.gouv.fr a résumé les mesures opérationnelles à appliquer, présentées dans sa fiche "Comment piloter sa cybersécurité ? (Dirigeants)" dans une infographie. Découvrez-là !
Julien Karachehayas | Tous droits réservés