Marc Vael (Digital Security Expert en Voorzitter SAI.be) : « De nombreuses PME pensent que ce sont surtout les grandes organisations qui sont visées et qu’elles n’intéressent pas les cybercriminels. Il n’en est rien. Les hackers ont le temps et cherchent toujours le maillon le plus faible de la chaîne. Ils utilisent parfois des fournisseurs plus petits comme “porte d’entrée”. Ils se fraient ainsi un chemin jusqu’aux grandes entreprises. 

Pour renforcer leur cybersécurité, toutes les entreprises, quelle que soit leur envergure, doivent dresser l’inventaire de leur infrastructure informatique et de leurs processus cruciaux. Pour ce faire, elles peuvent utiliser Lansweeper, une application belge qui collecte automatiquement des informations sur l’ensemble du matériel et des logiciels des appareils connectés à un réseau informatique. Les entreprises disposent ainsi d’une vue d’ensemble centrale et conforme à la réalité ; une vue globale qui leur permet de voir en un coup d’œil à quel niveau il faut renforcer la sécurité ou ce qu’il faut traiter en priorité en cas d’incident. Les entreprises ont également intérêt à dresser la liste de tous leurs fournisseurs, afin de pouvoir vérifier leur niveau de sécurité. » 

Il y a d’autres mesures à prendre pour renforcer votre protection de base. Effectuez par exemple régulièrement un audit de vos systèmes informatiques, en incluant les serveurs, les pare-feu et tous les composants réseau possibles et imaginables. Mettez aussi en œuvre un processus de gestion des changements afin de garantir que tous les changements liés à la cybersécurité se déroulent de manière optimale et contrôlée. 

Willem Janssens (CVP Product Manager Cybersecurity chez Telenet) :  « Les entreprises qui n’ont encore jamais fait l’objet d’une cyberattaque se trompent si elles pensent être dans le bon. La question n’est pas de savoir si, mais plutôt quand les hackers vont frapper. Les organisations ont besoin de solutions et de stratégies pour identifier et suivre les agissements suspects. Elles ont, certes, besoin d’une protection traditionnelle, composée d’un pare-feu, d’un antivirus et d’un anti-malware qui déclenchent des alarmes en cas d’événement suspect. Mais ce n’est pas suffisant. Il existe désormais des logiciels qui surveillent le comportement des appareils individuels. Si quelque chose de bizarre se produit, par exemple un logiciel de rançon (ransomware) qui se met à chiffrer un serveur, le logiciel le met en quarantaine et envoie une alerte à l’utilisateur. C’est alors à l’homme de décider si cette quarantaine est justifiée ou peut être levée. Ces alarmes, actes et décisions doivent bien sûr être enregistrés et consignés dans des rapports. »   

Bieke Luyckx (CVP Product Manager chez Telenet) : « Dans le domaine de la cybersécurité, l’humain est souvent le maillon le plus faible. Les hackers accèdent généralement à une entreprise ou à un réseau parce qu’une personne a cliqué par inadvertance sur un lien contaminé reçu par e-mail ou a saisi des informations sensibles sur un site web non fiable. Aujourd’hui, un travailleur sur quatre, en moyenne, clique sur un faux lien dans un e-mail de phishing. Les campagnes de sensibilisation et les actions qui donnent des conseils en matière de cybersécurité au travail et à domicile restent donc indispensables. 
C’est un processus continu : il est essentiel de mener régulièrement des actions de sensibilisation, assorties de simulations de piratage. Vous pouvez en organiser plusieurs fois par mois ou par trimestre. Plusieurs options, parfois ludiques, s’offrent à vous : pensez à la gamification, aux formations et aux scénarios pratiques. De quoi vous assurer que vos collaborateurs ne perdent jamais la cybersécurité de vue. »

Afin d’attirer encore plus l’attention de vos collègues sur la cybersécurité, vous pouvez établir un code de conduite pour l’utilisation des TIC. Vous pouvez également définir le rôle et la responsabilité de chacun en matière de cybersécurité. Veillez à impliquer suffisamment les cadres supérieurs dans la démarche, afin que l’importance de la cybersécurité soit largement mise en avant dans votre organisation. 

Marc Vael :  « Un scénario pour les cyberincidents, une sorte de plan d’urgence, est indispensable. L’organisation doit disposer d’une procédure concrète qui indique qui fait quoi en cas de problème, et qui contacter. Une fois cette procédure établie, il s’avère utile de la tester dans la pratique, via une sorte de stress test qui simule une situation d’urgence. On conseille de travailler avec un partenaire externe spécialisé, tant pour l’inventaire des systèmes informatiques que pour la détection des agissements suspects, la sensibilisation des collaborateurs et l’élaboration concrète du plan d’urgence. De quoi garantir une approche efficace, entièrement adaptée aux besoins et aux exigences des organisations. »