Comment se prémunir contre le facteur 1er des menaces informatiques ?

Vous n’avez sans doute pas échappé ces dernières années à deux cyberattaques spectaculaires par leur ampleur et symptomatiques d’une faiblesse encore trop sous-estimée de la cybersécurité, le facteur humain. Considéré comme le maillon faible dans le jargon de la sécurité informatique.

Ce n’est pas nouveau me direz-vous, effectivement depuis plus de 10 ans le facteur humain est le maillon faible en cybersécurité. Face aux risques cyber, les premiers jalons en matière de protection furent d’abord techniques. Les spécialistes ont en effet rapidement proposé des stratégies et des outils techniques pour y faire face. De nombreuses entreprises, ont multiplié les solutions en cybersécurité, cependant quel que soit le niveau de protection technique, la sécurité ultime dépend du comportement de l’utilisateur final. Si une personne ne se protège pas, ou mal, dans son usage d’internet, elle deviendra tôt ou tard victime de cybercriminels. Il est crucial aujourd’hui de prendre en compte cette dimension dans sa politique d’entreprise. Force est de constater que la sécurité est souvent considérée comme une contrainte, les collaborateurs ne se sentent pas toujours concernés, ce qui fait courir de vrais risques aux entreprises.

  • Premièrement, les menaces qui pèsent sur les organisations ont radicalement évoluées au cours des dernières années. La cybersécurité constitue désormais un axe majeur pour la survie et la compétitivité des entreprises, et c’est quelque chose de nouveaux dans beaucoup de secteurs. Pendant longtemps, seuls les établissements bancaires étaient concernés par le sujet cyber car ils étaient les plus visés. Aujourd’hui, tous les secteurs sont touchés et les entreprises n’y sont pas encore préparées.
  • Deuxièmement, les enjeux en matière de cybersécurité sont très variables d’une entreprise à l’autre. Protection de systèmes d’information industriels, disponibilité d’un service, maintien d’une ligne de production, conformité règlementaire, etc… Chaque entreprise à ses raisons de se protéger, et doit donc construire une réelle stratégie pour y parvenir. La sécurité ne doit pas être quelque chose qui vient s’ajouter aux enjeux métiers, mais quelque chose qui doit être co-construit avec les métiers, et être aligné avec la stratégie de l’entreprise. Et cela évidemment, prend du temps. La cybersécurité (et la sécurité de manière générale) garde souvent en effet cette image de contrainte. Peu d’entreprises sont capable d’identifier la véritable valeur ajoutée d’une bonne stratégie de sécurité. Cela fait donc parti de notre travail au quotidien : changer la perception qu’ont nos clients de la sécurité, et les aider à transformer ce qu’ils appellent une contrainte, en opportunité business.

Afin d’adopter une stratégie de sensibilisation efficace auprès de l’ensemble des salariés, le top management doit également être impliqué. Nous avons constaté que le sujet peine à remonter au niveau des COMEX et des conseils d’administration et reste avant tout un sujet d’expert. Leur rôle est pourtant déterminant, il est donc nécessaire que le top management gagne en maturité sur le sujet.

En effet, l’implémentation de solutions techniques ne suffit plus à stopper les attaquants. Il est aujourd’hui primordial de se construire une culture autour de la cybersécurité. Un COMEX concerné par la cybersécurité, implique souvent une meilleure sensibilisation de l’ensemble des collaborateurs aux risques cyber.

Or, l’implication des collaborateurs est une des clés de la sécurité. En effet, comme nous avons pu vous l’expliquer le facteur humain est la première source de vulnérabilité pour les organisations. Un des principaux enjeux va donc être de réussir à changer le comportement de ses collaborateurs, afin de les rendre plus responsables. Cela nécessite un travail d’éducation aux risques cyber, mais également de leur apprendre à adopter un comportement différent.

En conclusion pour que cette culture de la sécurité puisse s’imposer il faut que le sujet soit poussé par le top management.