Ces dix commandements de la lutte contre l'accès non autorisé aux réseaux d'entreprises et aux données vont du plus élémentaire au plus pointu :

1) Allez à l'essentiel : identifiez et documentez les fonctions critiques dans l'entreprise et les données qui doivent être protégées des cyberattaques.

2) Faites preuve de réalisme en matière de risque : quelle que soit la solidité de vos mesures de sécurité actuelles, les cybercriminels sauront comment les contourner. C'est pourquoi une approche fondée sur le risque s'impose, de manière à pouvoir hiérarchiser les risques en fonction de leur probabilité et de leur impact, dans le cadre d'une gestion efficace de l'exposition aux risques cybernétiques.

3) Sachez reconnaître vos amis : dans le cadre d'une récente étude de Deloitte consacrée aux sociétés des secteurs de la technologie, des médias et des télécommunications, 92% des répondants ont déclaré ressentir un niveau de menace moyen à élevé vis-à-vis des tiers. Pour remédier à cette menace, il est conseillé de dresser l'inventaire de ses relations au sens large : chaîne d'approvisionnement, externalisation, clients, fournisseurs, contractants, etc. Tout individu ayant accès à l'infrastructure IT doit être identifié et pouvoir montrer patte blanche en termes de gestion de la sécurité informatique.

4) Revêtez votre costume de détective : développez vos capacités à détecter les menaces qui planent sur les fonctions critiques de votre entreprise, les données et la continuité des opérations. En contrôlant les systèmes de manière centrale, vous pourrez détecter les menaces en temps réel, et donc y répondre rapidement afin de limiter leurs effets négatifs.

5) Etablissez des plans d'urgence : face aux cyberattaques, la prévention ne constitue que la moitié de la bataille. Même les meilleurs systèmes et les organisations les plus vigilantes peuvent être pris en défaut. C'est pourquoi il est nécessaire d'établir des procédures de réaction aux cyberattaques, tant d'un point de vue légal, technique, commercial, organisationnel qu'au niveau de la marque.

6) Testez vous-même la solidité de vos protections : les simulations vous permettront d'éprouver l'efficacité des réponses en cas d'urgence et la capacité de vos systèmes à détecter les intrusions et à repousser les attaques. Ainsi, vous pourrez encore améliorer vos plans de résilience et vos stratégies de défense afin de recouvrer rapidement toutes vos capacités.

7) Protégez ce qui est vulnérable : les cybercriminels se montrent de plus en plus habiles pour échapper aux contrôles de sécurité existants et ciblent les applications vulnérables. Afin de protéger les systèmes critiques de votre entreprise, veillez à appliquer à temps les correctifs et les mises à jour de logiciels pour sécuriser vos actifs les plus exposés.

8) Soyez malin : optimisez la capacité de l'organisation à se montrer proactive dans la détection et l'atténuation des menaces cybernétiques imminentes et émergentes en exploitant le savoir des associations sectorielles, ainsi que les sources d'intelligence commerciales et « open source ». Que le développement des compétences se fasse en interne ou qu'il soit externalisé, la clé est d'établir des capacités d'intelligence proactives face aux menaces cybernétiques.

9) Protégez jalousement votre réputation : les sociétés victimes d'une cyberattaque sont exposées à bien plus que des pertes financières. Un risque d’atteinte  à la marque et de perte de confiance du public existe également. Pour préserver votre réputation, vous devez savoir qui parle de votre marque et ce qu'il se dit. En assurant un contrôle permanent de la marque sur Internet, il est souvent possible d'éviter les violations de marque commerciale, des droits d'auteur et de la propriété intellectuelle. En outre, en améliorant la sécurité cybernétique, vous protégerez dès le début les actifs de l'entreprise et les données sensibles sur les clients et les employés.

10) Encouragez la « cyber awareness » : le maillon faible de la sécurité des réseaux de communication numériques n'est pas la technologie, mais bien ses utilisateurs. Les attaques d'ingénierie sociale qui utilisent des e-mails de « phishing » ciblés et autres techniques s'évertuent souvent à duper les utilisateurs pour qu'ils révèlent des informations confidentielles ou téléchargent des logiciels malveillants. Ainsi, il est plus aisé pour les criminels informatiques de pénétrer les réseaux, même sans avoir à faire appel aux méthodes de « hacking » traditionnelles. Les employés doivent donc être formés et sensibilisés à ces risques et menaces.

Roland Bastin, partner chez Deloitte Luxembourg : « La cybersécurité n'est plus exclusivement l'affaire des CIO et des départements IT. La menace est devenue à ce point omniprésente, les points d'entrée illégaux à ce point nombreux et les implications d'une violation à ce point importantes qu'il est de la responsabilité de chaque membre d'une organisation d'assurer la protection de la société face aux cyberattaques. »

Préalablement à l'établissement de ces « dix commandements », Deloitte a été désigné leader mondial du conseil en cybersécurité dans le cadre du rapport Cyber Security Consulting 2013 publié par le célèbre cabinet d'analyse Kennedy Consulting Research and Advisory.

Cette récompense n'est cependant pas une première pour les services Risque de Deloitte. De nombreux analystes ont récemment fait l'éloge des services Gouvernance, Risque et Conformité de la société dans les domaines du conseil en gestion du risque, conseil en sécurité, conseil en sécurité des informations, et bien d'autres. Le rapport Kennedy met d'ailleurs en évidence l'efficacité de l'approche intégrée et exhaustive choisie par le cabinet Deloitte, qui fait de l'éventail de compétence de la firme le plus complet du marché de la sécurité cybernétique.

Selon le rapport, « Deloitte apporte une proposition de valeur de poids dans le conseil en sécurité cybernétique, en combinant son savoir-faire sectoriel, sa stratégie « une approche, un modèle », des investissements spécifiques dans la cybersécurité et les capacités de communication de ses cadres ».