Que faire en cas d’incident de cybersécurité dans votre PME ?

Que faire en cas d’incident de cybersécurité dans votre PME ?

Points clefs

  • En cas d’incident, suivez cinq étapes : maîtrisez l’incident, prenez des décisions en interne, évaluez l’obligation de notification, communiquez de manière transparente et procédez à une évaluation a posteriori.
  • Impliquez la direction ou la personne responsable dès le début. Un incident de sécurité n’est pas un problème informatique, c’est un enjeu de gestion.
  • Même si la Directive NIS2 ne s’applique pas directement à votre PME, vous pouvez être soumis à une obligation de notification en tant que maillon d’une chaîne.
  • Après l’incident, vous devez également procéder à une évaluation. C’est la seule façon de tirer des leçons de l’incident et de renforcer votre organisation.
  • Un plan d’action doit être rédigé avant que l’incident ne survienne, et non après.

Un employé peu averti ouvre un e-mail, clique sur un lien et, quelques instants plus tard, le système devient lent. Ou pire encore : certains fichiers deviennent soudainement inaccessibles. Pour de nombreuses PME, un incident de sécurité commence exactement de cette manière : de manière inattendue et, surtout, en plein milieu d’une journée de travail ordinaire. 

Un incident de sécurité est tout événement qui met en danger la sécurité de vos systèmes, de vos données ou de vos processus numériques. Cela peut aller d’un e-mail de phishing qui vole vos identifiants à un ransomware qui bloque tous vos fichiers. 

La première réaction est alors souvent la panique. C’est compréhensible. Mais sans plan d’action, on aggrave souvent le problème sans s’en rendre compte. Les systèmes sont alors déconnectés trop tard, les mauvaises personnes sont impliquées ou la communication déraille. Cela coûte à l’organisation du temps, de l’argent et, à terme, de la confiance.

Dans cet article, vous découvrirez les 5 étapes qui vous aideront à gérer un incident de sécurité de manière maîtrisée et à limiter les dégâts autant que possible. 

Pourquoi une approche structurée est-elle importante ?

Une cyberattaque est, par définition, source de stress. La pression est élevée, tout le monde veut savoir ce qui se passe et vous souhaitez communiquer sans provoquer de panique. Sans plan d’action, vous vous retrouvez rapidement dans une situation catastrophique.

Un plan d’action apporte une structure qui sert de repère et garantit qu’aucune étape n’est oubliée, même sous pression. Vous savez qui doit être contacté ou informé, à quel moment, dans quel ordre et dans quel but. Cela permet non seulement de limiter les dommages techniques, mais aussi de protéger votre réputation et la confiance de vos clients et partenaires.

Cinq étapes à suivre en tant que PME en cas d’incident de sécurité

Imaginez : c’est un mardi matin comme les autres. Un employé de votre service comptable ouvre un e-mail provenant d’un fournisseur de confiance, ou du moins c’est ce qu’il croit. Il clique sur une pièce jointe. Quelques minutes plus tard, son ordinateur devient lent. Une collègue remarque qu’elle ne parvient soudainement plus à ouvrir certains fichiers. Le dossier est toujours là, mais son contenu est devenu illisible.

Que s’est-il passé ? Une attaque par ransomware. Quelqu’un a réussi, via ce simple clic, à chiffrer tous vos fichiers. L’attaquant exige un paiement pour les débloquer.

Ce n’est pas un scénario imaginaire. Cela arrive à des PME de toutes tailles et dans tous les secteurs. La question n’est pas de savoir si cela peut vous arriver, mais si vous savez quoi faire lorsque cela se produit.

1. Maîtrisez l’incident

La priorité est toujours la même : empêcher que les dégâts ne s’aggravent. Cela signifie qu’il faut agir rapidement, mais de manière réfléchie.

Déconnectez les systèmes affectés du réseau le plus rapidement possible et désactivez également le Wi-Fi sur les appareils susceptibles d’être infectés. Bloquez aussi les comptes suspects. Chaque minute pendant laquelle un pirate a accès au système augmente le risque.

Faites-le de manière à perturber le moins possible les opérations de l’entreprise. Tous les systèmes ne doivent pas nécessairement être mis hors ligne immédiatement. L’objectif est d’isoler l’incident, pas de tout arrêter.

Veillez également à ne rien effacer ni écraser. Les traces sont précieuses, tant pour l’enquête a posteriori que pour une éventuelle notification à l’autorité de contrôle.

2. Prise de décision interne et escalade

Un incident de sécurité n’est pas un simple problème informatique. Il touche au cœur même de votre entreprise : vos processus, vos données clients et votre réputation. C’est pourquoi la direction ou la personne responsable doit être impliquée dès le début. Il est important de créer une culture qui le permette. La crainte d’impliquer la direction ne fait qu’accroître le risque.

De plus, les décisions doivent être prises rapidement. L’incident a-t-il un impact sur des processus critiques ? Des données à caractère personnel ou d’autres données sensibles ont-elles été compromises ? Faut-il faire appel à un conseiller externe, à un expert en informatique légale ou à un assureur ?

Dans le cadre de la Directive NIS2, la responsabilité de la cybersécurité incombe explicitement à la direction. Mais même en l’absence de cette obligation, le principe suivant s’applique : ceux qui prennent les décisions doivent être informés. Plus les bonnes personnes sont réunies rapidement, plus les action seront réfléchies et efficaces.

3. Évaluez l’obligation de notification

Tous les incidents ne doivent pas nécessairement être notifiés, mais il est important de savoir quand cela est obligatoire.

Les organisations directement soumises à la Directive NIS2 sont tenues de notifier les incidents graves à l’autorité de contrôle compétente. En Belgique, il s’agit du CCB (Centre pour la cybersécurité de Belgique). Des délais stricts s’appliquent : une première notification doit souvent être effectuée dans les 24 heures.

Quand un incident est-il considéré comme grave ? En résumé, tout incident survenant dans une entreprise relevant de la Directive NIS2 qui :

  • provoque une interruption des services, OU
  • entraîne des pertes financières, OU
  • affecte d’autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables.

Mais même si la Directive NIS2 ne s’applique pas directement à votre PME, vous pouvez être soumis à une obligation de notification. Si vous fournissez des services à une organisation qui relève de NIS2, vous pouvez en tant que maillon de la chaîne être également concerné.

De plus, même en l’absence d’obligation, il peut être judicieux de procéder à une notification. Le CCB peut apporter son soutien et la transparence protège votre réputation à long terme, y compris vis-à-vis de vos clients et partenaires. Ne pas notifier alors que cela est attendu peut gravement nuire à la confiance. 

4. Communiquez en toute transparence

Outre cette obligation formelle de notification, il existe une autre forme de communication souvent sous-estimée : la communication avec vos propres collaborateurs, vos clients, vos partenaires et, le cas échéant, les médias.

Toute personne susceptible d’être concernée a le droit d’en être informée. Une communication rapide et claire permet d’éviter que les rumeurs ne se propagent et empêche une histoire de prendre une ampleur incontrôlable sur les réseaux sociaux. Elle montre que vous gardez la situation sous contrôle.

Cette communication doit être rédigée avec soin. Elle doit être factuelle, sans divulguer de détails inutiles, mais aussi sans minimiser le problème. Trouver cet équilibre n’est pas toujours évident. Là encore, la responsabilité n’incombe pas au service informatique, mais à la direction.

5. Évaluer et améliorer

Une fois l’incident maîtrisé, le processus ne s’arrête pas. Au contraire, la Directive NIS2 attend des organisations qu’elles tirent les leçons des incidents. Indépendamment de cette obligation, une évaluation approfondie est une démarche essentielle. Qu’est-ce qui s’est mal passé ? Quelles mesures faisaient défaut ? Comment l’attaquant a-t-il pu s’introduire ?

Analysez votre approche étape par étape et déterminez où elle a fonctionné et où elle a échoué. Utilisez ensuite ces enseignements pour renforcer votre sécurité et ajuster votre plan. Un incident n’est jamais agréable, mais ceux qui en tirent les bonnes leçons en ressortent plus forts.

Ebook

Doing business securely without an IT department (EN)

Téléchargez l’ebook pour en savoir plus sur la cybersécurité en entreprise, même avec des budgets limités ou pour les PME.

Télécharger l'ebook

Qu’est-ce qui rend les PME particulièrement vulnérables ?  

Les cinq étapes décrites ci-dessus peuvent sembler logiques, mais dans la pratique, elles sont souvent plus difficiles à mettre en œuvre pour les PME que pour les grandes entreprises (malgré leurs structures plus importantes).

La raison est simple : les PME disposent tout simplement de moins de personnel, de moins de ressources et ont rarement un responsable dédié à la sécurité. Le fonctionnement quotidien est très rapide. Les décisions sont prises rapidement, les responsabilités ne sont pas toujours clairement définies et il n’existe souvent pas de plan formel de gestion des incidents.

À cela s’ajoute le fait que les PME font de plus en plus souvent partie de la chaîne d’approvisionnement de grandes organisations. En vertu de la Directive NIS2, ces grandes organisations sont tenues de contrôler leurs fournisseurs et de les interpeller sur leur sécurité. En tant que PME, vous pouvez donc être soumis à une obligation de notification ou être évalué sur votre politique de sécurité, même si la Directive NIS2 ne s’applique pas directement à vous.

Mieux vaut prévenir que guérir  

Un incident de sécurité ne peut pas toujours être évité, mais il est possible de s’y préparer.

Savoir ce qu’il faut faire, qui prend les décisions et comment communiquer permet de limiter considérablement les dégâts. Cela ne commence pas au moment de l’incident, mais bien avant. Documentez tout cela avant que l’incident ne se produise. Vous disposerez ainsi d’un plan, ou d’un manuel d’intervention lorsque la pression sera forte.

Chez Cingulum, nous aidons les PME à concrétiser cette préparation. De l’évaluation initiale de votre sécurité actuelle à un plan d’action clair, en passant par l’accompagnement pour sa mise en œuvre. Ainsi, vous n’aurez pas à improviser lorsque cela compte vraiment.

Vous souhaitez savoir où vous en êtes aujourd’hui ? Contactez-nous pour un entretien sans engagement.

FAQ

En tant que PME, suis-je tenu de signaler un incident de cybersécurité ?

Oui, en tant que PME en Belgique, vous êtes légalement tenu de signaler un incident de cybersécurité dans plusieurs situations. Il y a d’abord le RGPD (GDPR) qui s’applique (quelle que soit la taille de votre PME) et qui exige que toute violation de données soit signalée lorsque des données à caractère personnel (de clients, de membres du personnel ou de tiers) ont été divulguées, perdues ou consultées par des personnes non autorisées, et qu’il existe un risque pour les droits et libertés des personnes concernées.

Plus récemment, la Directive NIS2 est entrée en vigueur. Elle exige que tout incident de sécurité significatif soit signalé si votre PME entre dans son champ d’application ou si, en tant que maillon d’une chaîne d’approvisionnement, vos clients vous demandent de signaler les incidents de sécurité.

Subscribe op onze nieuwsbrief

Ontvang updates rond onze blogs, events en meer.

Cingulum doet er alles aan om je privacy te beschermen en te respecteren. Je kunt je op elk moment afmelden voor onze mailings. Voor meer informatie over hoe wij jouw gegevens verwerken, lees ons privacybeleid.

More To Explore

Maak kennis met ons.

Plan een vrijblijvend kennismakingsgesprek in met een van onze experts. Samen zoeken we naar de beste securityoplossing voor jouw organisatie.

Contacteer ons
Consultants working together
Contact