Paysage luxembourgeois de la Cybersécurité au cours des dernières années (provenant du Diagnostic NC3)

Contexte historique

Le revers de la médaille de l’évolution des technologies et des systèmes d’information est l’augmentation des cyberattaques, l’intensification des risques et des menaces auxquelles nous devons faire face. De telles menaces sont présentes depuis l’aube de cette nouvelle ère technologique, pourtant leur nature et capacité à causer du tort étaient alors différentes. Les cyberattaques d’aujourd’hui sont plus sophistiquées et destructives que jamais.

Méthodes utilisées dans cette étude

Cette étude compile les résultats de 149 Diagnostics NC3 qui ont étés faits entre juin 2016 et décembre 2019. Durant cette période, 1774 recommandations ont été proposées, et 434 d’entre elles ont été jugées comme urgentes à implanter, ce qui représente environ 2,91 recommandations urgentes par diagnostic. Au total, 4768 questions ont été posées, et seulement 452 des réponses données ont été jugées comme matures, ce qui démontre la méconnaissance globale des sujets abordés.

Explications des métriques

  • Pourcentage de succès: Une réponse optimisée compte comme 1 succès, alors qu’une réponse basique compte pour 0,5.
  • Indicateur de dangerosité: Les réponses fragiles combinées avec le coefficient d’importance des menaces du Diagnostic NC3.
  • Pourcentage de recommandations: Le pourcentage des recommandations données.

Les 10 facteurs de danger les plus importants des dernières années

Les années précédentes, NC3 a collecté beaucoup de données sur les facteurs de risques les plus importants dans les startups et les PME. Durant ces analyses rapides, différents points et catégories ont été évalués et examinés. Le tableau ci-dessous montre les 10 facteurs de danger les plus importants identifiés par le Diagnostic NC3 ces dernières années.

Tableau 1 - Les 10 indicateurs de dangers les plus importants remarqués par les Diagnostics NC3

“Création et gestion des mots de passe” comprend la complexité et le type de mot de passe des utilisateurs, alors que la catégorie “Réseaux sans fil” comprend la configuration, la gestion et la protection des réseaux sans fil. “Gestion des sauvegardes” implique la périodicité, la localisation et la restauration des données redondantes. Ce qui se réfère aux “Accords de non-divulgation (NDA)” est les clauses de contrat sur la confidentialité des échanges, tandis que la catégorie “Règles concernant le “Bring Your Own Device” a pour sujet les différentes pratiques autorisées et/ou interdites en ce qui concerne l’apport et l’usage de matériel personnel dans un contexte professionnel.

Ces facteurs sont des sujets nécessitant une attention particulière. La gestion et la création de mots de passe est un sujet qui est très souvent rappelé, et l’indicateur de dangerosité en montre bien l’importance, que ce soit ceux des utilisateurs comme ceux utilisés pour protéger les réseaux internes. Les règles, les formations et les sauvegardes sont des sujets qui ne doivent pas être négligés.

Évolution de 3 facteurs importants entre 2016 et 2019

Le tableau ci-dessous montre l’évolution de l’“Indicateur de dangerosité” de trois facteurs importants différents entre 2016 et 2019. Ces nombres sont particulièrement significatifs, et spéciaalement dans le domaine de la création et la gestion des mots de passe. Les mots de passe restent une des menaces les plus importantes et indétrônées selon l’étude faite sur le Diagnostic NC3.

Tableau 2 - Évolution des facteurs importants entre 2016 et 2019

Le graphique ci-dessous démontre le tableau ci-dessus de façon bien plus visuelle. L’abscisse représente la période entre 2016 et 2019, alors que l’ordonnée représente l’indicateur de dangerosité.

Graphique 1 - Évolution de 3 facteurs importants sur une période de 4 ans

“Création et gestion des mots de passe” a toujours eu la valeur la plus importante, commençant à 87,12% en 2016, tombant à 75,40% en 2017 avant de grimper en 2018 jusqu’à avoir un indicateur de dangerosité de 95,53% en 2019.

Les valeurs de la “Gestion des sauvegardes” sont significativement moins importantes avec un indicateur de dangerosité de 68,18%, 75,40%, 65,59% et 57,19% respectivement en 2016, 2017, 2018 et 2019. Si un pic est notable en 2017, il y a eu une légère baisse lors des deux années suivantes. Il est possible d’espérer que cette tendance se poursuive dans le futur.

La menace liée à la gestion des données personnelles (RGPD) est un phénomène plus récent, et doit donc être traitée avec précaution. La valeur de son indicateur de dangerosité était bas en 2017 (avec un pourcentage de 28,57%). Cependant, cette tendance est à l’opposé de celle de la gestion des sauvegardes. Car cette menace a doublé en 2018 (51,28%) et a continué son ascension en 2019 (58,54%).

Conclusion

Si les choix techniques sont les premiers auxquels nous sommes confrontés, les choix organisationnels sont trop souvent oubliés malgré leur meilleure efficacité en termes de maturité de sécurité de l’information. De bonnes pratiques et des règles bien définies sont bien plus efficaces que les moyens techniques, qui restent cependant essentiels. Voici quelques pistes qui peuvent aider sur des points importants en sécurité de l’information :

  • Mots de passe :
    • https://www.NC3.lu/knowhow/glossary/Password_fr.
    • https://www.youtube.com/watch?v=ml5N2U1GDdI
  • Règles de sécurité :
    • https://www.NC3.lu/knowhow/glossary/SecurityCharter_fr.html
  • Phishing :
    • https://www.NC3.lu/knowhow/glossary/Phishing_fr.html
    • https://www.youtube.com/watch?v=p6-7vQBqzkQ
  • Sauvegardes :
    • https://www.NC3.lu/knowhow/glossary/DataBackups_fr.html
    • https://www.youtube.com/watch?v=RpMOixANNLM
    • https://www.youtube.com/watch?v=g9Ypgan4rmE

Comment NC3 peut aider ?

NC3 (Cybersecurity Awareness and Security Enhancement Services) propose plusieurs services disponibles pour tous. Le but est de donner à chaque organisation les outils nécessaires pour définir leur maturité en sécurité de l’information, mais aussi pour l’améliorer.

  1. Fit4Cybersecurity: Un outil d’auto-évaluation aidant les propriétaires d’entreprise à implémenter de meilleures stratégies en cybersécurité. L’objectif de ce questionnaire gratuit en ligne est d’évaluer la maturité d’une entreprise selon les bonnes pratiques réalisées en cybersécurité. Il est également un prérequis pour faire un Diagnostic NC3 ; un score minimal de 65/100 est demandé.

  2. NC3 Diagnostic: Un expert NC3 visite votre entreprise (au Luxembourg) et vous pose des questions pendant environ 2 heures. L’expert identifiera les vulnérabilités et évaluera le niveau de votre maturité dans le domaine de la sécurité de l’information, et vous donnera des recommandations pour vous améliorer. Une évaluation Fit4Cybersecurity est obligatoire avant d’accéder à ce service.

  3. Monarc (Méthode Optimisée d’aNAlyse de Risques NC3): Un outil est une méthode permettant la réalisation d’évaluation de risque optimisée, précise et répétable. MONARC est une application qui a été et est encore développé par NC3. MONARC vous permet de réaliser une analyse de risque de façon optimisée, en vous permettant d’avoir plusieurs automatisations et outils pour créer et présenter les risques trouvés.

  4. Formations: La cybersécurité nécessite comme ciment un bon travail d’équipe. Les formations NC3 apportent les connaissances et les réflexes que votre équipe a besoin. S’adaptant pleinement à votre environnement, elles encouragent les utilisateurs à communiquer et à suivre les bonnes pratiques pour lutter plus efficacement contre les cybermenaces.

  5. TACOS (TrustApp NC3 for Obvious Security): Une application de sensibilisation à la cybersécurité. Elle a pour but de former les utilisateurs aux risques de cybersécurité à l’aide d’articles, de vidéos, des trucs et astuces.