Depuis plusieurs années maintenant, les cyberattaques constituent l’un des plus grands risques commerciaux pour les entreprises allemandes. Par-dessus tout, les effets négatifs, tels que la perte de données ou les interruptions d’activité prolongées, posent des problèmes aux entreprises. Pour certains, une cyberattaque peut même menacer leur existence. Réduire son propre risque cybernétique et ainsi éviter les cyberattaques devrait être une priorité pour les entreprises, en particulier les petites et moyennes entreprises.

Pour minimiser ces risques, les organisations doivent adopter une approche globale. En plus des mesures préventives et de la gestion d’urgence établie, cela inclut également les évaluations des risques. Avec le Security Baseline Check (SBC), Perseus a développé une approche principalement adaptée aux besoins et exigences des petites et moyennes entreprises.

Dans l’entretien suivant avec Eugen Leikom, chef de produit pour l’évaluation des risques et le SBC, vous découvrirez les fonctions du SBC, les recherches spécifiques menées, comment les entreprises bénéficient de l’utilisation du SBC et quelle vision notre chef de produit Eugen a encore pour le SBC.

Eugen, pouvez-vous nous donner un aperçu de ce qu’est le Security Baseline Check et de son fonctionnement fondamental ?

Le Security Baseline Check est un examen des normes de sécurité de base dans les entreprises. Il est utilisé pour examiner l’infrastructure informatique des entreprises et pour mettre en avant le potentiel d’optimisation. C’est la première étape pour comprendre la conformité aux mesures de sécurité organisationnelles et techniques de base dans les entreprises. Le SBC convient particulièrement aux entreprises disposant d’un maximum de 100 postes de travail informatiques.

Le SBC se compose de deux parties : un questionnaire et un contrôle en direct. Lors de la vérification en direct, certains systèmes sont vérifiés pour vérifier si les normes de sécurité sont respectées. Sur cette base, des recommandations sont formulées pour améliorer et réduire les sources potentielles de danger. Si nécessaire, un examen des systèmes de l’extérieur est également effectué. Ainsi, d’autres failles de sécurité peuvent être identifiées et exploitées du point de vue des attaquants criminels.

Quelle a été la raison du développement du Security Baseline Check ? Y avait-il un vide spécifique sur le marché que Persée voulait combler ?

Un examen régulier de l’état actuel de la sécurité informatique est essentiel pour les entreprises. Ils veulent prouver qu’ils prennent activement des mesures pour sécuriser leurs systèmes et qu’ils s’améliorent continuellement. Cependant, il existe souvent une incertitude quant à la suffisance des normes de sécurité actuelles. Comme pour le TÜV pour les véhicules, les entreprises souhaitent qu’un expert externe confirme que leur informatique est toujours « en état de circuler ». Surtout en sécurité informatique, ce qui était considéré comme sûr hier pourrait ne plus suffire demain.

En quoi le Security Baseline Check diffère-t-il des autres outils d’évaluation de la cybersécurité sur le marché ?

Le Security Baseline Check se distingue des autres outils d’évaluation de la cybersécurité sur le marché par son approche unique. Alors que d’autres contrôles de sécurité se concentrent généralement sur des exigences techniques ou des mesures organisationnelles, le SBC propose les deux. Lors d’une conversation personnelle avec le client, nous vérifions les exigences techniques et discutons des mesures organisationnelles qui seront mises en œuvre dans l’entreprise. Notre approche est spécifiquement adaptée aux besoins des petites et moyennes entreprises (PME) afin de leur fournir des informations complètes sur l’état de leur infrastructure informatique.

Quels sont les arguments de vente uniques du Security Baseline Check qui, selon vous, attireront les clients et/ou les compagnies d’assurance ?

« Les arguments de vente uniques du Security Baseline Check, qui séduira à la fois les clients et les compagnies d’assurance, sont multiples. Tout d’abord, nous fournissons une vérification de sécurité indépendante qui instaure la confiance et la transparence. Deuxièmement, notre service est spécifiquement adapté aux besoins des petites et moyennes entreprises (PME), ce qui signifie que nous avons une compréhension approfondie de leurs défis et exigences spécifiques. Troisièmement, notre approche repose sur les causes réelles des incidents de sécurité affectant les PME. Cette approche pratique garantit que nos recommandations ciblent directement les véritables menaces et vulnérabilités des entreprises. »

Pouvez-vous décrire les principaux avantages qu’une entreprise peut attendre après avoir utilisé le Security Baseline Check ?

Grâce à un examen indépendant de la sécurité, les entreprises reçoivent une évaluation objective de leur niveau de sécurité actuel. Cela crée confiance et transparence, tant en interne qu’envers les clients et partenaires commerciaux.

Après avoir utilisé le Security Baseline Check, les entreprises reçoivent un rapport détaillé qui évalue dans quelle mesure elles respectent les normes minimales requises en matière de sécurité informatique. Cette présentation claire et compréhensible aide les entreprises à améliorer leurs mesures de sécurité de manière ciblée et à les tenir informées.

Examiner et ajuster régulièrement les mesures de sécurité favorise l’amélioration continue et aide les organisations à mieux se préparer face aux menaces futures.

Comment le Security Baseline Check s’intègre-t-il dans la stratégie globale de cybersécurité d’une entreprise ?

Le Security Baseline Check (SBC) s’intègre parfaitement à la stratégie globale de cybersécurité d’une organisation. C’est une partie essentielle du suivi et de la révision continus des normes de sécurité. En tant que partie intégrante de la gestion holistique des risques, où la sécurité informatique devient de plus en plus importante, la SBC contribue à améliorer continuellement la posture de sécurité de l’entreprise.

« Une stratégie globale de sécurité informatique se compose de quatre volets centraux : prévention, évaluation des risques, intervention d’urgence et protection des risques. Le Security Baseline Check joue un rôle crucial dans l’évaluation des risques. En examinant régulièrement et systématiquement les mesures de sécurité informatique, le SBC identifie les vulnérabilités et menaces potentielles, ce qui en fait un élément indispensable d’une stratégie efficace de sécurité informatique. »

Quels types d’entreprises ou d’industries peuvent le plus bénéficier du Security Baseline Check ?

Le Security Baseline Check offre des avantages significatifs, notamment pour les petites et moyennes entreprises (PME) qui ne dépendent pas entièrement de solutions cloud. Les entreprises dont la défaillance des systèmes entraîne des perturbations opérationnelles sont particulièrement bénéfiques, car la SBC contribue à garantir la fiabilité et la sécurité de leur infrastructure informatique. Cela touche les entreprises de tous secteurs, car presque tous dépendent d’un environnement informatique stable et sécurisé.

Pour les entreprises appartenant à des infrastructures critiques (KRITIS) ou relevant de la directive NIS2, des examens plus approfondis sont nécessaires. Cependant, le SBC offre une base solide et peut servir de première étape pour identifier les vulnérabilités de sécurité et prendre des mesures ciblées. Ainsi, la SBC garantit que les entreprises non seulement respectent leurs normes de sécurité actuelles, mais sont également prêtes à affronter les défis futurs.

Existe-t-il une histoire de réussite dans laquelle le Security Baseline Check a amélioré la posture de cybersécurité d’un client ?

Une réussite remarquable du Security Baseline Check montre comment il a considérablement amélioré la posture de cybersécurité d’un client. Souvent, les clients ne prennent conscience que lors du rendez-vous que leurs sauvegardes de données critiques pour l’entreprise sont exposées à un risque élevé. Le SBC couvre non seulement les vulnérabilités pouvant être exploitées par les pirates, mais aussi les dysfonctionnements techniques.

Un exemple particulièrement impressionnant est un cas où nous avons découvert lors de la vérification en direct que les sauvegardes n’avaient pas été effectuées pendant des semaines. Le fournisseur de services informatiques du client avait fermement affirmé qu’il y aurait des messages d’erreur en cas de sauvegardes infructueuses. Cette évaluation erronée aurait pu entraîner une perte significative de données.

Les clients qui réalisent via le SBC qu’ils n’ont pas pris en compte certaines éventualités reçoivent des informations précieuses. Ces réflexions leur donnent matière à réflexion et les aident à se positionner avec plus de confiance pour l’avenir. De tels succès montrent comment le Security Baseline Check aide à améliorer la posture de sécurité d’une organisation et à la préparer mieux face à diverses menaces.

Quelle est la vision pour l’avenir du Security Baseline Check ? Y a-t-il de nouvelles fonctionnalités ou améliorations qui devraient nous enthousiasmer ?

La vision pour l’avenir du Security Baseline Check (SBC) est d’améliorer continuellement la posture de cybersécurité des organisations et de s’adapter aux menaces en constante évolution. L’une de nos dernières fonctionnalités est l’intégration des scans externes avec Hacktor d’Enginsight, que nous proposons avec un rapport complet. Cette fonction révèle des vulnérabilités publiquement visibles qui peuvent également être détectées par les attaquants, telles que des serveurs non patchés ou des accès de maintenance ouverts.

À l’avenir, nous nous concentrerons davantage sur la sécurité des emails. Les attaques dans lesquelles les numéros de compte sur des factures numériques sont falsifiés entraînent de plus en plus des pertes financières importantes dans la fourchette des cinq chiffres. Ces attaques sont souvent dues à des normes de sécurité des e-mails faibles. Il y a encore beaucoup de besoins en matière de compréhension et d’amélioration, en particulier parmi les petites et moyennes entreprises (PME).

Nos améliorations continues et nos nouvelles fonctionnalités visent à protéger de manière proactive les organisations contre les menaces émergentes et à leur fournir les outils et connaissances nécessaires pour améliorer continuellement leur sécurité informatique. Avec ces mesures, nous voulons nous assurer que le SBC reste un outil indispensable pour la stratégie de cybersécurité des entreprises à l’avenir.

Pourquoi les organisations devraient-elles choisir le Security Baseline Check plutôt qu’un test d’intrusion plus approfondi ou d’autres évaluations détaillées ?

Le Security Baseline Check offre une alternative économique et chronophage. Surtout pour de nombreuses petites entreprises, ce type d’inspection régulière est déjà suffisant. Un test d’intrusion coûteux et chronophage est souvent surdimensionné et pas nécessaire pour vos besoins. Le SBC fournit des informations précises sur les normes de sécurité de base et permet aux organisations de surveiller et d’améliorer efficacement leur sécurité informatique sans dépasser le budget ni bloquer inutilement les ressources.

En ce qui concerne nos partenaires d’assurance : comment pouvez-vous tirer le plus de bénéfices de la SBC ? Quelles conclusions sont particulièrement pertinentes pour les assureurs ?

Nos partenaires d’assurance peuvent particulièrement bénéficier du Security Baseline Check (SBC) en motivant leurs clients à le remplir. Le SBC augmente considérablement la sécurité des clients, même si cela ne concerne que la sensibilisation aux mesures de sécurité.

Certaines conclusions sont également particulièrement pertinentes pour les assureurs : si la SBC est liée aux prestations en assurance, cela motive encore davantage les entreprises à faire davantage pour leur sécurité. Cela peut être compensé par des primes plus basses pour les compagnies assurées, ce qui peut démontrer un risque moindre d’incidents de sécurité via la SBC. Cette réduction ciblée des risques peut aider les assureurs à diminuer le risque global de leur portefeuille tout en améliorant les normes de sécurité de leurs clients.

Merci beaucoup pour l’interview, Eugen !

Obtenez plus d’informations sur le Security Baselie Check, ses composants et la manière de le réaliser ici.