Le risque de cyberincidents ne cesse de croître, tout comme le besoin de protection. L’élaboration concrète d’une politique de sécurité nécessite une feuille de route. « Vous ne pouvez de toute façon jamais tout faire en même temps. » Et aussi parce que toutes les divisions de l’entreprise doivent participer à la réflexion.
Le maillon le plus faible
La principale évolution de ces dernières années a été la disparition du périmètre classique, en partie due à l’utilisation d’appareils mobiles et au travail à domicile. « Tout et tout le monde est en ligne », explique Bart Loeckx. « Il ne s’agit pas seulement du smartphone dans notre poche, mais aussi du réseau WiFi à la maison, du système d’alarme, etc. De ce fait, le périmètre proprement dit devient le maillon le plus faible. » En plus de l’utilisateur, naturellement, qui est classiquement considéré comme le maillon faible. Et il l’est toujours.
Dans le monde numérique actuel, les collaborateurs d’une entreprise sont constamment connectés aux applications et aux données de l’entreprise, quel que soit l’endroit où ils travaillent. De même, les organisations sont interconnectées les unes avec les autres. Cela montre que chaque entreprise appartenant à une telle chaîne doit prendre ses responsabilités.
En effet, en piratant une entreprise, les cybercriminels tentent de pénétrer dans d’autres organisations. C’est, entre autres, ce que NIS-2, la directive européenne sur la cybersécurité pour les entreprises essentielles, vise à éviter. Bart Loeckx : « Chaque maillon de la chaîne doit être correctement armé contre les cyberrisques. Et en tant que fournisseur de télécommunications, et donc entreprise essentielle, Telenet est également un maillon de cette chaîne. »
Auparavant, le budget de la sécurité était réservé à l’IT. Aujourd’hui, il est ventilé au sein de toute l’organisation.
Bart Loeckx
Director Networking et Security chez Telenet Business
Comment diminuer le niveau de risque ?
Un terme qui revient souvent dans le contexte de la cybersécurité est le zero trust : une réglementation très stricte de l’accès aux données et aux applications. Selon Bart Loeckx, nous devons considérer le zero trust comme un point de départ. « Les principes du zero trust contribuent certainement à la sécurité : comme la limitation des privilèges et la vérification continue, par exemple via l’utilisation de l’authentification à deux facteurs. »
Mais est-il possible, et souhaitable, d’appliquer le zero trust partout ?
Cette question est évidemment liée à l’essence même de la sécurité. En effet, il s’agit d’un compromis que chaque organisation doit faire à chaque fois : quel budget est-elle prête à dépenser pour écarter un certain niveau de risque ? Et le budget disponible est-il suffisant ? « Auparavant, le budget de la sécurité était réservé à l’IT », explique Bart Loeckx. « Aujourd’hui, il est ventilé au sein de toute l’organisation. »
On peut dans tous les cas affirmer que le budget – même pour la sécurité – n’est pas illimité. « C’est pourquoi il est judicieux de commencer par une feuille de route en matière de sécurité. On ne peut de toute façon jamais tout faire en même temps, notamment parce que chaque division de l’entreprise doit participer à la réflexion. »