Comment piloter sa cybersécurité ? (Dirigeants)

Méthodologie synthétique de gestion de la cybersécurité pour les dirigeants des entreprises, associations, collectivités, administrations.

Cybersécurité : un enjeu stratégique

La cybersécurité peut se définir comme l’ensemble des mesures techniques et organisationnelles destinées à protéger les organisations des cyberattaques. Face à une cybercriminalité en pleine expansion, la cybersécurité  est aujourd’hui devenue un enjeu stratégique qui doit être pris en compte au plus haut niveau des organisations. En effet, chaque entreprise, association, administration ou collectivité, quelle qu’en soit leur taille, peut être la cible d’une cyberattaque dont les conséquences techniques, mais également financières, réputationnelles, voire juridiques peuvent impacter jusqu’à la survie des plus petites structures. Mais comment procéder et par où commencer lorsqu’on n’est pas un spécialiste dans ce domaine ? 

Ce guide synthétique vise à répondre à ces questions  en fournissant aux dirigeants un support méthodologique des 10 principaux points d’attention à piloter à leur niveau, pour assurer la cybersécurité de leur organisation. Plus vous augmenterez votre niveau de cybersécurité, plus vous diminuerez vos risques d’être attaqués : il n’est jamais trop tard pour agir afin d’éviter le pire. 

Gestion de la cybersécurité : comment procéder ?

• 1. Faites un état des lieux

  Dans un premier temps, il convient de dresser un inventaire le plus exhaustif possible de l’ensemble de vos actifs numériques (réseaux internes, sites Internet, messageries, réseaux sociaux, applications et services externalisés…), et de leurs responsables (support informatique interne ou externe).

• 2. Prenez conscience du risque

  Pour chaque système recensé, évaluez sa criticité pour le fonctionnement de votre organisation s’il venait à être piraté ou détruit, voire si les données qu’il contient étaient dérobées par des cybercriminels.

• 3. Évaluez votre niveau de protection

  Interrogez votre support informatique interne et/ou externe sur la pertinence des mesures de sécurité techniques, organisationnelles voire contractuelles appliquées au regard des enjeux, telles les politiques de mots de passe, de sauvegardes, de mises à jour ou encore de filtrage des accès externes.

• 4. Définissez un plan d’action

  80 % des cyberattaques pourraient être évitées par l’application de mesures simples et à faible coût comme une bonne gestion des mots de passe, des sauvegardes, des mises à jour de sécurité ou des droits d’accès. Priorisez les actions à entreprendre en fonction du rapport criticité/coût/efficacité.

• 5. Faites-vous accompagner

  Si aucun collaborateur n’est assigné à ce rôle, désignez une personne en charge de vous assister dans le pilotage du plan de cybersécurité de votre organisation. Pour l’évaluation technique du niveau de protection sur vos systèmes critiques, faites appel à un prestataire spécialisé en cybersécurité que vous pourrez trouver sur Cybermalveillance.gouv.fr.(https://securisation.cybermalveillance.gouv.fr/).

• 6. Sensibilisez vos collaborateurs

  Vos collaborateurs sont un maillon essentiel de votre cybersécurité, qu’il s’agisse d’appliquer de bonnes pratiques de cybersécurité ou même de détecter voire de réagir à une tentative de cyberattaque. De nombreuses ressources gratuites de sensibilisation sont disponibles sur Cybermalveillance.gouv.fr.

• 7. Préparez-vous au pire

  Il n’y a pas de cybersécurité absolue : le risque d’une cyberattaque réussie est
  malheureusement toujours possible. Il convient donc de préparer des plans de secours pour affronter une crise : annuaire de crise, fonctionnement dégradé, communication… et de réaliser des exercices pour s’assurer de leur efficacité.

• 8. Impliquez-vous

  Pour vous assurer que le plan d’action cybersécurité est bien conduit, vous devez en tant que dirigeant vous impliquer, en le pilotant par des points de situation et d’avancement réguliers à son niveau. Vous devez également montrer l’exemple et exiger de vos cadres et collaborateurs qu’ils ne dérogent ou ne contournent pas les mesures de sécurité décidées pour protéger leur organisation.

• 9. Contrôlez

  Il est en effet important de vérifier que les mesures décidées ont bien été mises en place. Pour les systèmes les plus critiques, un audit technique et organisationnel peut s’avérer nécessaire : il est recommandé de faire appel à un prestataire spécialisé en cybersécurité que vous pourrez trouver sur Cybermalveillance.gouv.fr.(https://securisation.cybermalveillance.gouv.fr/).

• 10. Itérez

  Les services numériques des organisations évoluent en permanence, tout comme les moyens permettant de les attaquer. Pour intégrer cette évolution de la surface d’attaque des organisations, il est recommandé de réappliquer cette méthode de manière globale tous les deux à trois ans, en intégrant dans son plan de cybersécurité tout nouveau service numérique avant sa mise en œuvre.

Comment piloter sa cybersécurité ? (Dirigeants)

Téléchargez les mesures opérationnelles à appliquer au format PDF.

Publié le 22/05/2023PDF 199 KoTéléchargerLire

Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour  comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre cybersécurité.
> Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.

1. Demander de l’assistance

   Vous êtes victime de cette cybermalveillance et souhaitez vous faire aider par un prestataire spécialisé ?

   Être mis en relation

2. Diagnostiquer un incident

   Vous pensez être victime d’un piratage ou d’une attaque informatique ?

   Démarrer un diagnostic

3. Faire une demande de sécurisation

   Vous êtes un professionnel et vous souhaitez sécuriser votre système d’information ?

   Faire une demande de sécurisation