Faire en sorte que les cadres supérieurs prennent au sérieux la sécurité informatique est un problème dans de nombreuses organisations, malgré la fréquence des fuites de données et des piratages.
L’agence de sécurité informatique du gouvernement britannique, le Centre national de cybersécurité (NCSC), a dressé une liste de cinq questions visant à entamer des discussions « constructives » entre les dirigeants et leurs équipes de sécurité informatique.
Selon le NCSC, les deux tiers des conseils d’administration n’ont reçu aucune formation pour les aider à faire face à un incident informatique, et 10% n’ont aucun plan en place pour y répondre. Ces amorces de discussion visent à combler le fossé entre les cadres qui ne connaissent pas les problèmes de sécurité et le service IT qui peut éprouver des difficultés à faire entendre sa voix. Les boards doivent comprendre le cyber-risque de la même manière qu’ils comprennent les risques financiers ou les risques pour la santé et la sûreté, souligne le NCSC.
« Il n’y a pas de question idiote en matière de cybersécurité. L’acte insensé c’est de s’en détourner sans comprendre la réponse, car cela signifie que vous ne comprenez pas comment vous gérez ce risque central d’entreprise » juge Ciaran Martin, directeur général du NCSC.
Les cinq questions du NCSC sont énumérées ci-dessous, avec quelques suggestions sur les types de réponses attendues de leur équipe de sécurité informatique.
Comment défendons-nous notre organisation contre les attaques de phishing ?
Le phishing, qui consiste à envoyer de faux messages au personnel, reste l’un des moyens les plus couramment utilisés par les pirates pour accéder aux systèmes informatiques d’une entreprise. Les attaquants peuvent demander au personnel de cliquer sur des liens dans un courrier électronique pour installer des logiciels malveillants sur leurs ordinateurs, ou des liens pouvant les diriger vers de faux sites Web demandant des informations sensibles (telles que des coordonnées bancaires). L’arnaque au président est une méthode courante : les criminels envoient des emails de phishing prétendant émaner d’un cadre dirigeant de l’organisation et demandant au personnel de transférer de l’argent – qui termine ensuite dans les poches des fraudeurs.
Pour découvrir la suite de cet article, rendez-vous sur Zdnet.fr.