Par manque de temps,
les dirigeants de PME, les responsables d’établissements publics, les élus
locaux confient bien volontiers la cybersécurité à des experts.
Patrowl,
l’éditeur français leader de la sécurité offensive, du test d’intrusion
automatisé et de la gestion continue de l’exposition aux menaces, publie le
quiz cyber de l’été afin que les dirigeants évaluent leurs connaissances
pratiques fondamentales en cybersécurité.
Les
dirigeants de PME et d’ETI, les responsables d’établissements publics, les élus
locaux ont certes beaucoup à faire. Ils confient donc bien volontiers la
cybersécurité à des experts. Sans formellement s’en laver les mains, il faut
bien reconnaître qu’ils n’éprouvent que peu d’intérêt pour ces sujets, trop
complexes à leurs yeux. Si la mise en œuvre des processus de sécurité
informatique exige évidemment du savoir-faire et de l’expérience, la
méconnaissance générale des enjeux de base cyber chez les dirigeants peut avoir
des conséquences fâcheuses.
On ne
saurait les en blâmer complètement. D’une part, les petites structures ont
longtemps été ignorées des éditeurs de cybersécurité. La petite taille de leurs
établissements a pu également leur laisser croire qu’ils ne représentaient pas
une cible de choix pour les attaquants. Enfin, le coût de la cybersécurité,
quoi qu’on en dise et malgré sa mise en balance avec les risques réputationnels
et économiques, contribue à reléguer la question loin des préoccupations
quotidiennes.
Pourtant,
tous les décideurs ont compris qu’en tant que partie prenante d’une chaine
économique, ils étaient susceptibles de faire courir un risque à leurs
partenaires. Ils ont pu opter alors pour des assurances cyber sécurité,
lesquelles ont malheureusement eu pour effet d’augmenter les tentatives
d’attaques. Ils ont aussi tenté de mieux sécuriser leur système d’information,
sans forcément bien comprendre ce que cela impliquait.
Après
tout, que représente exactement le système d’information de l’entreprise ?
L’équipe informatique est-elle suffisamment dotée en personnel comme en moyens
? Quels sont les risques les plus courants dont je dois me méfier ? Que
signifient vraiment les notions de surface d’attaque externe ? Savoir répondre
à toutes ces questions, c’est, en tant que dirigeant, faire de bons choix et
accompagner correctement mon équipe sécurité.
1. On
commence par une question facile. Qu’est-ce qu’un système d’information
d’entreprise ?
a. Un ensemble organisé de ressources permettant
de collecter, traiter, stocker et diffuser des informations au sein de
l’entreprise
b. Un logiciel utilisé pour la comptabilité de
l’entreprise
c. Un réseau informatique dédié à la navigation
sur Internet
d. Un ensemble de règles de gestion des employés
2.
Qu’est-ce que la surface d’attaque externe ?
a. La zone physique autour des locaux de
l’entreprise où les attaques peuvent être lancées
b. L’ensemble des actifs numériques exposés sur
Internet et accessibles aux attaquants potentiels
c. Un logiciel utilisé pour simuler des attaques
informatiques internes
d. Un réseau privé virtuel (VPN) utilisé pour
sécuriser les connexions des employés
3. En
moyenne, combien d’actifs numériques une PME expose-t-elle sur Internet ?
a. Entre 50 et 100
b. Moins de 10
c. Entre 500 et 1000
d. Plus de 2000
4.
Qu’est-ce qu’un scan de vulnérabilités ?
a. Un processus automatisé qui identifie les
failles de sécurité potentielles dans un système ou un réseau.
b. Un logiciel qui bloque automatiquement toutes
les attaques en temps réel.
c. Une méthode pour effacer toutes les données
sensibles d’un système.
d. Un outil utilisé pour surveiller les
performances réseau en continu.
5. En
moyenne, quel pourcentage de faux positifs est généré par les solutions de scan
de vulnérabilités ?
a. Entre 5% et 15%
b. Moins de 10%
c. Entre 30% et 50%
d. Plus de 70%
6. En
moyenne, combien de temps les équipes sécurité perdent-elles chaque semaine à
analyser les résultats d’un scan de vulnérabilités ?
a. Moins d’une heure
b. Entre 20 et 30 minutes
c. Entre 5 et 10 heures
d. Plus de 20 heures
7. En
moyenne, dans une PME, combien de personnes travaillent-elles à la
cybersécurité de l’entreprise ?
a. Moins de 1 personne
b. Entre 5 et 10 personnes
c. Plus de 20 personnes
d. Entre 10 et 15 personnes
8.
Qu’est-ce que le « shadow IT » ?
a. Une technologie d’espionnage chinoise
b. Une extension obscure de ChatGPT
c. L’utilisation de systèmes ou logiciels sans
validation de la DSI par les collaborateurs (dev et métiers)
d. Une faille liée à l’absence d’ombre portée
dans le cloud
9.
Pourquoi les établissements hospitaliers ont-ils, comme priorité réglementaire
cyber,
la maîtrise des risques d’exposition sur Internet ?
a. Parce que les patients veulent regarder
YouTube sans pub
b. Parce que le personnel hospitalier ne devrait
pas surfer pendant les soins
c. Parce qu’ils n’ont que ça à faire
d. Parce que les équipements connectés des
établissements hospitaliers peuvent être sujets à d’importantes vulnérabilités
10. Un
pentest, ou test d’intrusion, est une simulation d’attaque informatique.
Pourquoi dit-on que les pentests traditionnels ne correspondent plus au besoin
?
1. Parce qu’ils ne fournissent qu’une évaluation
ponctuelle de la sécurité, sans prise en compte des changements continus dans
les systèmes
2. Parce qu’ils sont uniquement réalisés par des
robots sans intervention humaine
3. Parce qu’ils se concentrent uniquement sur les
failles physiques des bâtiments
4. Parce qu’ils seront bientôt interdits par la
réglementation européenne sur la cybersécurité
Réponses
: 1a /
2b / 3a / 4a / 5c / 6c / 7a / 8c / 9d / 10a
Résultats
- Entre
0 et 4 bonnes réponses, vous courez le risque de voir votre responsable de la
sécurité des systèmes d’information (RSSI) présenter sa démission dans les mois
à venir.
- Entre
5 et 7 bonnes réponses, vous êtes à l’écoute de votre RSSI et prenez la mesure des
actions à engager. Bravo.
- Entre
8 et 10 bonnes réponses, vous avez déjà adopté Patrowl, non ?
Les
systèmes évoluent si vite que les entreprises et leur responsable de la
sécurité des systèmes d’information (RSSI) ne peuvent plus suivre. Patrowl automatise la cartographie en continu
des actifs exposés, fournit des rapports détaillés et contextualisés, supprime
le risque de faux positifs grâce à l’analyse humaine et accompagne les équipes
dans la progression de leurs connaissances cyber.