Après une première étape centrée sur l’identification des failles et sources de vulnérabilité, le dispositif NAE Cyber poursuit son déploiement et plusieurs entreprises s’engagent aujourd’hui dans l’obtention de labels Cybersécurité.
La sécurisation des données constitue un enjeu prioritaire pour NAE qui accompagne ses membres dans cette démarche et les aide à mieux prendre en compte les risques inhérents à un monde plus connecté. En effet, fin 2020, l’éditeur de logiciel de sécurité Trend Micro enregistrait une augmentation de 20% des attaques ciblant les organisations et les collaborateurs en situation de télétravail par rapport à 2019. Un constat partagé par le Group DIS qui faisait ressortir la même année que 8 entreprises sur 10 étaient touchées par des attaques ou tentatives d’attaques en France.
Ainsi, dès 2019, NAE s’est engagée dans le programme AirCyber en partenariat avec le GIFAS, et a déployé au plan régional le dispositif NAE Cyber afin de monter les PME en maturité sur la cybersécurité. Déjà 31 entreprises y ont eu recours à ce jour.
La première étape du dispositif vient de s’achever. Elle comportait plusieurs phases :
1. Identification des failles humaines via des campagnes de phishing. (usurpation d’identité) : le phishing constitue les attaques les plus fréquentes : 79% des entreprises en sont victimes. C’est pourquoi NAE a mis en place des sessions de « phishing ». Réalisée sous forme d’une série de trois « faux » mails, cette action a permis aux 31 entreprises d’identifier le taux interne de pénétration et ainsi le risque de cyberattaque associé ;
2. Identification des failles « Internet » via un scan de vulnérabilité : ce programme a permis à 9 entreprises d’identifier des vulnérabilités dans leur système d’exploitation ou leur réseau ;
3. Audit global de cybersécurité en s’appuyant sur AirCyber et le Diag Cyber de la DGA ;
4. Audit de la gestion des données pour vérifier leur conformité à la RGPD ;
5. E-learning de sensibilisation à la cybersécurité : 35 sessions ont été organisées.
Cet état des lieux ayant été réalisé, NAE Cyber entre actuellement dans sa seconde étape relative à l’obtention de label pour être identifié et reconnu auprès des grands donneurs d’ordre de l’aéronautique, du spatial et de la défense.
3 phases sont proposées :
1. Autodiagnostic conçu par NAE pour identifier les points durs sur les différents référentiels que sont AirCyber / CMMC / ISO 27000 / ANSSI.
2. Préconisations d’outils et d’approche budgétaire pour une mise en conformité.
3. Soutien opérationnel d’experts en fonction du niveau de maturité de l’entreprise.
Cette seconde phase a été lancée début juin et plus de 10 entreprises se sont déjà engagées dans la démarche.
Pour compléter son offre aux entreprises, NAE identifie les lacunes des outils existants par rapport aux différents référentiels en vue de déployer de nouveaux outils. Enfin, des reflexions sont en cours sur le déploiement de formations liées à la gestion de crise cyber, au plan de continuité ou encore à l’empreinte numérique des salariés sur le net.