awsmtech.ch

Cybersécurité en entreprise : les 5 fausses certitudes qui exposent les métiers sensibles

Cybersécurité en entreprise : les 5 fausses certitudes qui exposent les métiers sensibles


Étude d’avocats, fiduciaire, clinique privée, banque privée, ONG internationale : dans les métiers que nous accompagnons au quotidien en Suisse romande, la donnée n’est pas un simple actif informatique. C’est un secret professionnel, un dossier patient, un mandat client, une information financière sensible. Or, une analyse récente publiée par Swisscom sur la sécurité informatique des PME met en évidence un constat que nous observons nous-mêmes sur le terrain, audit après audit : la plupart des structures qui subissent un incident de sécurité étaient convaincues, jusqu’au jour de l’attaque, qu’elles étaient correctement protégées.

Ce décalage entre le sentiment de sécurité et la réalité du niveau de protection est le véritable angle mort de la cybersécurité en entreprise. Il ne s’agit presque jamais d’un manque de bonne volonté, mais d’un manque de vérification, de responsabilités mal réparties entre l’entreprise et son prestataire IT, et d’hypothèses jamais remises en question.

Voici les cinq fausses certitudes les plus fréquentes, et comment nous les traitons chez AWSMTECH pour les clients qui, par la nature de leur activité, n’ont pas droit à l’erreur.

1. « Nos données sont sauvegardées »

C’est la certitude la plus répandue, et la plus dangereuse. Un backup existe dans la quasi-totalité des structures que nous rencontrons. Mais un backup n’a de valeur que s’il a été testé en conditions réelles de restauration, s’il est isolé du réseau principal pour résister à un ransomware qui chiffrerait aussi les sauvegardes, et si le délai de restauration est compatible avec la réalité de l’activité.

Pour une étude d’avocats ou une étude notariale, perdre l’accès à ses dossiers pendant trois jours n’est pas seulement gênant : cela peut engager la responsabilité professionnelle envers des clients et des délais légaux. Pour une clinique privée, cela peut affecter directement la continuité des soins.

Ce que nous vérifions systématiquement : la fréquence des sauvegardes, leur isolement, le temps de restauration réel testé en conditions réelles, ainsi que la couverture de l’ensemble des systèmes critiques — pas seulement les fichiers, mais aussi les messageries, les bases de données métier et les configurations serveurs.

2. « Nos mots de passe sont solides »

Un mot de passe complexe reste inutile s’il est volé par hameçonnage, réutilisé sur un service tiers compromis, ou intercepté sur un poste infecté. La robustesse d’un mot de passe ne protège pas contre le vol d’identifiants. Seule l’authentification multifacteur permet de renforcer efficacement cette protection.

Dans les secteurs à haute confidentialité — gestion de patrimoine, banque privée, fiduciaire — l’accès à la messagerie ou aux outils de gestion documentaire constitue souvent la porte d’entrée la plus directe vers l’ensemble du système d’information.

Ce que nous déployons : une authentification multifacteur obligatoire sur l’ensemble des accès critiques, une politique stricte de gestion des accès à privilèges, ainsi qu’une détection des connexions suspectes en temps réel.

3. « Les droits d’accès protègent nos données »

Beaucoup d’organisations appliquent des droits d’accès génériques, hérités de l’historique de l’entreprise plutôt que d’une logique de sécurité. Résultat : un collaborateur peut avoir accès à des dossiers clients, des données RH ou des informations financières qui ne concernent pas son rôle.

En cas de compromission d’un seul poste de travail, c’est potentiellement l’ensemble du périmètre auquel ce collaborateur a accès qui se retrouve exposé. Pour une ONG ou une organisation internationale opérant dans plusieurs pays, avec des équipes distantes et une rotation de personnel parfois importante, cette question devient centrale.

Notre approche : application du principe du moindre privilège, revue périodique des droits d’accès, et séparation stricte des environnements sensibles — finance, RH, dossiers clients — via une architecture pensée dès l’évaluation IT initiale.

4. « On fait les mises à jour régulièrement »

Le mot « régulièrement » cache souvent une réalité disparate : certains postes sont à jour, d’autres oubliés, des logiciels métier ne sont jamais patchés par crainte d’une incompatibilité, et des équipements réseau tournent parfois depuis des années sans mise à jour de firmware.

Or, les vulnérabilités connues sont exploitées par des attaquants automatisés en quelques jours seulement après leur publication. L’enjeu n’est donc pas uniquement de faire des mises à jour, mais de savoir précisément ce qui doit être corrigé, dans quel délai, et avec quel niveau de priorité.

Ce que nous mettons en place : un inventaire exhaustif du parc, un patch management automatisé et supervisé, ainsi qu’un suivi des vulnérabilités critiques avec des délais de correction définis contractuellement — et non laissés à la bonne volonté de chacun.

5. « On a un firewall »

Un firewall protège efficacement un périmètre réseau bien défini, typiquement un bureau. Mais le travail hybride, les déplacements professionnels et l’usage d’appareils mobiles ont largement dissous ce périmètre.

Un notaire qui consulte ses dossiers depuis son domicile, un gestionnaire de fortune en déplacement, ou une équipe ONG répartie sur plusieurs continents : dans tous ces cas, le firewall du bureau ne protège plus grand-chose à lui seul.

Notre réponse : une sécurité pensée au niveau de l’identité et de l’appareil, et non plus seulement du réseau local, via nos solutions de poste de travail sécurisé et de mobilité managée.

Le vrai problème n’est presque jamais technique

Ce que ces cinq points ont en commun, c’est qu’ils ne relèvent presque jamais d’un manque d’outils, mais d’un manque de clarté sur qui est responsable de quoi. Beaucoup d’entreprises pensent, à tort, que la souscription d’un contrat avec un prestataire informatique transfère automatiquement la responsabilité de la conformité.

Ce n’est pas le cas. Selon la nLPD, comme selon le RGPD pour les organisations traitant des données de résidents européens, la responsabilité de la protection des données reste entre les mains de la direction de l’entreprise, quel que soit le niveau de délégation opérationnelle vers un partenaire IT.

Un prestataire peut exécuter, sécuriser et documenter. Mais la gouvernance reste celle du client.

C’est précisément pour combler cet écart que nous avons construit notre approche autour de trois piliers : la cybersécurité et la conformité, l’évaluation et l’audit IT, ainsi que le CTO / CISO externalisé.

Ces trois dimensions permettent de sécuriser techniquement l’infrastructure, de mesurer objectivement le niveau réel de protection, et de piloter la sécurité avec une vision stratégique claire.

Cinq questions à poser dès aujourd’hui à votre partenaire IT

Vous n’avez pas besoin d’être expert technique pour évaluer votre exposition réelle. Quelques questions simples suffisent souvent à ouvrir la conversation et à identifier les zones d’incertitude.

Quand notre backup a-t-il été testé pour la dernière fois — pas simplement sauvegardé, mais réellement restauré ?

L’authentification multifacteur est-elle activée sur 100 % de nos accès critiques ?

Qui, précisément, a accès à quoi dans notre organisation — et cette liste a-t-elle été revue au cours des 12 derniers mois ?

Existe-t-il un inventaire complet de nos équipements et logiciels, avec un suivi formel des mises à jour ?

Notre sécurité protège-t-elle l’utilisateur et l’appareil, où qu’ils se trouvent — ou seulement le bureau ?

Si l’une de ces questions reste sans réponse claire et immédiate, c’est le signal qu’un audit s’impose.

Notre conviction chez AWSMTECH

Les organisations que nous accompagnons — études d’avocats, études notariales, fiduciaires, cliniques et santé privée, banques privées et gestion de patrimoine, ONG et organisations internationales — partagent un point commun : elles n’ont pas droit à l’erreur.

Une fuite de données, une interruption de service ou une non-conformité ne sont pas de simples incidents techniques. Ce sont des risques réputationnels, juridiques et parfois humains.

C’est pourquoi notre rôle ne se limite pas à installer des outils. Nous clarifions les responsabilités, nous documentons ce qui est en place, nous testons ce qui est censé fonctionner, et nous donnons à nos clients une visibilité réelle — et non supposée — sur leur niveau de protection.

Vous voulez savoir où se situent réellement vos angles morts ? Nos experts peuvent réaliser un audit de votre infrastructure et de votre conformité nLPD/RGPD, puis vous remettre un plan d’action clair, priorisé selon les risques réels de votre activité.

Retour en haut