Stratégie cyber

10+ Conseils d’experts cybersécurité pour les dirigeants

Quel est LE conseil que les experts cyber donneraient à un décideur (CEO ou DSI) pour la sécurité de leur Système d'Information ? Nous leur avons posé la question.
1 min

Les dirigeants sont-ils le maillon faible en matière de cyber ?

C’est en tout cas ce que révèle une étude réalisée par SoSafe en 2023 : “60% des dirigeants sont plus enclins à cliquer sur des liens malveillants, un taux significativement supérieur par rapport aux autres groupes d’utilisateurs.”

La sensibilisation fait partie des piliers en matière de sécurité, mais alors qu’il est souvent question de sensibilisation des salariés, les décideurs méritent aussi la plus grande attention !

Une dizaine d’experts partagent des conseils et bonnes pratiques essentielles pour sécuriser un Système d’Information. Alors, quel serait LE conseil cyber qu’ils donneraient à un CEO ou un DSI ?


« Le meilleur moyen de concevoir un dispositif de cyber défense, c’est de penser sa protection en partant de la remédiation. C’est-à-dire qu’il faut toujours se demander ce qui peut être mis en place pour réagir à ce qui est détecté. En somme, il faut pouvoir identifier ce qu’on peut mettre en place en lien avec le type de menaces ou de risques prioritaires pour l’organisation, et ensuite définir sa stratégie et choisir les outils adaptés. »

Guillaume-Djourabtchi
Guillaume Djourabtchi CMO des Services Managés - Advens

« Mon conseil principal pour un décideur en entreprise, qu’il s’agisse d’un CEO ou d’un DSI, serait de prioriser la sensibilisation à la cybersécurité à tous les niveaux de l’organisation : investir dans des solutions efficaces, sensibiliser le personnel aux dernières menaces, et encourager une culture de sécurité où chacun se sent responsable de la protection des données de l’entreprise. Cette approche impliquant des ressources techniques et humaines augmente significativement le niveau de sécurité de l’entreprise. »

sofiane-benou
Sofiane Benou CRO - Scalair

« Il ne faut pas réfléchir solution ou produit, mais plutôt penser à l’accompagnement et à la prestation de service, avec un acteur qui comprend véritablement les enjeux et le contexte de son client. La sensibilisation reste également cruciale, dans la mesure où la faille humaine est le premier vecteur d’attaque. Au-delà des outils et des technologies, la pédagogie est un des piliers de la cybersécurité. »

Jonathan-Meraoubi
Jonathan Meraoubi Responsable Cybersécurité - Atheo

« Avoir un bon contrôle sur son SI permet de minimiser les risques cyber. L’EDR permet à la fois d’avoir une excellente visibilité sur son SI, et il a aussi la capacité de bloquer en temps réel les menaces. Mais attention, il faut garder en tête que ce n’est pas de la magie : l’EDR nécessite une équipe sécurité formée autour de la solution. »

Florian-Ledoux
Florian Ledoux Principal Security Engineer – Advens

« Il faut aller bien au-delà de la sensibilisation. Evidemment, il faut continuer d’en faire, mais on touche aux limites. On le voit avec l’IA qui va rendre de plus en plus difficile la séparation entre le vrai et le faux, et c’est la raison pour laquelle il faut reprioriser la surveillance. Les organisations s’entraînent à gérer des crises, c’est essentiel. Mais si on peut s’entraîner à sortir d’un bâtiment en cas d’incendie, il faut aussi s’équiper du système d’alarme qui sonne avant que le bâtiment ne soit dévasté par le feu, au moment de l’incident et non de la crise. Dans ce sens, la surveillance est clé pour un dispositif de défense adapté aux attaques d’aujourd’hui et de demain. »

benjamin-serre
Benjamin Serre CDO - Orange Cyber Défense

« Mon conseil principal est de considérer la sécurité de l’entreprise comme un sujet prioritaire et non pas un projet annexe. Les entreprises ont plus à perdre si elles se font attaquer que ce qu’elles peuvent avoir besoin d’investir dans leur sécurité. »

Valentin-Paolicelli
Valentin Paolicelli Analyste Micro SOC - Orange Cyberdéfense

« Peu importe le niveau d’investissement pour sécuriser une organisation, les incidents et les crises surviendront. La définition d’une stratégie d’entreprise pour y faire face est primordiale.
La résilience en entreprise n’est pas dans l’ADN des salariés bien que certains secteurs disposent d’une culture offrant certaines prédispositions.
Les incidents et les crises se gèrent efficacement grâce à des équipes bien formées qui connaissent les plans mais qui ne les consultent que rarement et lorsque des situations telles viennent à se présenter.
Il faut ainsi garder en tête qu’il n’est pas raisonnable de penser que seule l’expertise des équipes suffira à faire face à tous les aléas.
Il n’est pas non plus raisonnable de croire que la rédaction de stratégies et de plans sans formation auprès de ceux supposés les appliquer suffira à appréhender toutes les situations redoutées.
La résilience et la gestion de crise sont deux thèmes qui présentent de fortes adhérences et qui partagent la caractéristique de devoir être pensées en amont, intégrées au fil de l’eau auprès des équipes, et surtout testées. »

Thales
Rémy Dutartre Responsable du Conseil en Résilience et Gestion de crise - Thales Cyber Solutions

« Mon conseil : externaliser la gestion des outils cyber ! Certains acteurs font exclusivement de la cyber au quotidien, et atteignent un niveau d’expertise très poussé. Pour protéger efficacement un SI, il y a tout intérêt à s’appuyer sur cette expertise en externalisant la gestion des solutions de cybersécurité. »

damien-vignault
Damien Vignault CEO – Scalair

« Les décideurs IT doivent se doter des moyens de superviser les équipements de sécurité. La cybersécurité n’est pas qu’une affaire de déploiement mais bien d’un suivi de ces outils mis en place. »

monaco cyber
Anasse Ghira Responsable SOC - Monaco Cyber Sécurité

« La protection du SI est indispensable, mais il faut aussi superviser l’externe et avoir une approche holistique de la sécurité pour anticiper les risques d’où qu’ils viennent.
Cette démarche de prévention globale passe par l’exploitation optimale des solutions choisies par l’organisation, ainsi que par le recrutement et la formation des équipes cyber, au-delà des outils. »

Abicom
Florent Grosso Manager Cybersécurité - Abicom

« Il faut varier les techniques de défense. Aucune protection n’est inviolable. Aucun moyen de détection n’est infaillible. Seule la combinaison intelligente de mesures de sécurité adaptées permet de se protéger efficacement contre les principaux risques cyber. Cette défense en profondeur associée à une bonne hygiène informatique vous permettra de dormir (presque) tranquille. »

stephane-locatelli
Stéphane Locatelli Directeur de la Sécurité Informatique – Hexanet

« Aujourd’hui, le B.A-BA de la sécurité, ce ne sont plus les antivirus, mais les EDR. Si l’investissement dans une solution devient incontournable, il faut pouvoir l’opérer ensuite. S’il y a le moindre doute sur les capacités à gérer un EDR en interne, il faut impérativement s’appuyer sur un service managé. Aujourd’hui, les EDR font le job en remontant les alertes, mais je vois encore trop d’équipes qui, elles, ne peuvent les traiter à temps faute de ressources ou d’expertise.
C’est la même chose pour les pentests, ces tests essentiels, mais qui passent encore trop souvent à l’as faute de temps ou de ressources. Là encore, il ne faut plus hésiter à faire appel à des professionnels externes !
Enfin, pour limiter les risques, la sensibilisation des salariés reste cruciale. »

Nicolas-Zisswiller
Nicolas Zisswiller Dirigeant et associé - Aktea

« Mon conseil cyber, c’est avant tout de revenir à la base et prendre du temps pour maîtriser son périmètre, notamment :
– déployer des solutions de protection cyber ;
– activer l’authentification multi-facteurs sur l’ensemble des solutions logicielles déployées ;
– établir un schéma réseau ;
– identifier les solutions logicielles utilisées ;
– mettre en place une CMDB ;
– mettre en place une solution de patch management afin de garantir le déploiement des mises à jour de sécurité. »

filhet_allard
Cédric Maurugeon Head of SOC & CSIRT – Filhet Allard

Besoin d’aide pour convaincre votre board en matière de stratégie cyber ?
Voici un cas pratique pour vous aider à combattre les idées reçues sur la cybersécurité :

Les mythes cyber à déconstruire