L’été est là, et avec lui la saison des quiz. Une fois qu’ils auront découvert qu’ils se sentent plus proches des langoustines que des gambas, qu’ils préfèrent la pétanque au beach-volley, et la campagne au bord de mer, les dirigeants pourraient se pencher sur des sujets un peu moins légers, mais tout aussi cruciaux pour la protection de leur entreprise.
Mais les chefs d’entreprise sont-ils réellement conscients des enjeux liés à la cybersécurité ?
C’est dans cette optique que Patrowl propose son quiz cyber de l’été, une occasion pour les dirigeants d’évaluer leur compréhension des bases essentielles en cybersécurité.
Les responsables de PME, d’ETI, les dirigeants d’organismes publics ou encore les élus locaux ont des plannings bien remplis. Ils délèguent donc volontiers les questions de cybersécurité à des spécialistes. Sans pour autant s’en désintéresser totalement, il faut bien admettre qu’ils s’y impliquent peu, percevant le sujet comme trop technique et complexe. Or, si la gestion opérationnelle de la cybersécurité demande une expertise certaine, le manque de sensibilisation aux enjeux fondamentaux chez les décideurs peut engendrer des risques importants.
Ce désengagement s’explique en partie. Pendant longtemps, les petites structures n’étaient pas vraiment ciblées par les éditeurs de solutions de cybersécurité. Leur taille modeste leur donnait même parfois l’illusion d’être à l’abri. Et le coût des dispositifs de sécurité – bien qu’il doive être mis en perspective avec les conséquences potentielles d’une attaque – reste un frein non négligeable.
Pourtant, les dirigeants sont de plus en plus conscients que, faisant partie d’un écosystème économique interconnecté, ils peuvent devenir un maillon faible menaçant leurs partenaires. Certains ont ainsi souscrit à des assurances cybersécurité, ce qui, paradoxalement, a pu attirer davantage les cybercriminels. D’autres ont renforcé leur sécurité informatique, parfois sans bien cerner les implications réelles de leurs choix.
Mais au fond, savent-ils vraiment ce que recouvre le système d’information de leur entreprise ? L’équipe IT dispose-t-elle des moyens humains et techniques suffisants ? Quels sont les risques les plus fréquents ? Que signifie concrètement le concept de surface d’attaque externe ? Être capable de répondre à ces questions, c’est, pour un dirigeant, faire des choix éclairés et jouer pleinement son rôle aux côtés de l’équipe cybersécurité.
1. On commence par une question facile. Qu’est-ce qu’un système d’information d’entreprise ?
- Un ensemble organisé de ressources permettant de collecter, traiter, stocker et diffuser des informations au sein de l’entreprise
- Un logiciel utilisé pour la comptabilité de l’entreprise
- Un réseau informatique dédié à la navigation sur Internet
- Un ensemble de règles de gestion des employés
2. Qu’est-ce que la surface d’attaque externe ?
- La zone physique autour des locaux de l’entreprise où les attaques peuvent être lancées
- L’ensemble des actifs numériques exposés sur Internet et accessibles aux attaquants potentiels
- Un logiciel utilisé pour simuler des attaques informatiques internes
- Un réseau privé virtuel (VPN) utilisé pour sécuriser les connexions des employés
3. En moyenne, combien d’actifs numériques une PME expose-t-elle sur Internet ?
- Entre 50 et 100
- Moins de 10
- Entre 500 et 1000
- Plus de 2000
4. Qu’est-ce qu’un scan de vulnérabilités ?
- Un processus automatisé qui identifie les failles de sécurité potentielles dans un système ou un réseau.
- Un logiciel qui bloque automatiquement toutes les attaques en temps réel.
- Une méthode pour effacer toutes les données sensibles d’un système.
- Un outil utilisé pour surveiller les performances réseau en continu.
5. En moyenne, quel pourcentage de faux positifs est généré par les solutions de scan de vulnérabilités ?
- Entre 5 % et 15 %
- Moins de 10 %
- Entre 30 % et 50 %
- Plus de 70 %
6. En moyenne, combien de temps les équipes sécurité perdent-elles chaque semaine à analyser les résultats d’un scan de vulnérabilités ?
- Moins d’une heure
- Entre 20 et 30 minutes
- Entre 5 et 10 heures
- Plus de 20 heures
7. En moyenne, dans une PME, combien de personnes travaillent-elles à la cybersécurité de l’entreprise ?
- Moins de 1 personne
- Entre 5 et 10 personnes
- Plus de 20 personnes
- Entre 10 et 15 personnes
8. Qu’est-ce que le « shadow IT » ?
- Une technologie d’espionnage chinoise
- Une extension obscure de ChatGPT
- L’utilisation de systèmes ou logiciels sans validation de la DSI par les collaborateurs (dev et métiers)
- Une faille liée à l’absence d’ombre portée dans le cloud
9. Pourquoi les établissements hospitaliers ont-ils, comme priorité réglementaire cyber, la maîtrise des risques d’exposition sur Internet ?
- Parce que les patients veulent regarder YouTube sans pub
- Parce que le personnel hospitalier ne devrait pas surfer pendant les soins
- Parce qu’ils n’ont que ça à faire
- Parce que les équipements connectés des établissements hospitaliers peuvent être sujets à d’importantes vulnérabilités
10. Un pentest, ou test d’intrusion, est une simulation d’attaque informatique. Pourquoi dit-on que les pentests traditionnels ne correspondent plus au besoin ?
- Parce qu’ils ne fournissent qu’une évaluation ponctuelle de la sécurité, sans prise en compte des changements continus dans les systèmes
- Parce qu’ils sont uniquement réalisés par des robots sans intervention humaine
- Parce qu’ils se concentrent uniquement sur les failles physiques des bâtiments
- Parce qu’ils seront bientôt interdits par la réglementation européenne sur la cybersécurité
Résultats :
Entre 0 et 4 bonnes réponses, vous courez le risque de voir votre responsable de la sécurité des systèmes d’information (RSSI) présenter sa démission dans les mois à venir.
Entre 5 et 7 bonnes réponses, vous êtes à l’écoute de votre RSSI et prenez la mesure des actions à engager. Bravo.
Entre 8 et 10 bonnes réponses, vous avez déjà adopté Patrowl, non ?
Réponses : 1a / 2b / 3a / 4a / 5c / 6c / 7a / 8c / 9d / 10a
Auteur : Inforisque.Source : Patrowl.
Continuer avec Linkedin