Au-delà des indispensables outils de protection, la clé de la réussite en matière de cybersécurité se résume en un mot : l’humain. Mais sensibiliser et former ses équipes aux risques informatiques ne se limite pas à l’application de quelques règles élémentaires. Il s’agit également d’arriver à développer une véritable « culture de cybersécurité » en interne.
Selon l’étude « Enjeux cyber 2018 » du cabinet Deloitte, 63% des incidents de sécurité dont les organisations sont victimes proviennent d’un de leurs employés. Or, comme le constate l’ISACA et l’institut CMMI dans « The 2018 cybersecurity culture report », de nombreuses organisations basent leur cybersécurité sur la technologie, mais sous-investissent ce qui devrait être leur première ligne de défense : leurs collaborateurs.
L’impérative acculturation des collaborateurs aux enjeux de la cybersécurité
Les cybercriminels excellent dans l’identification des maillons faibles au sein des entreprises, en exploitant notamment des informations personnelles affichées publiquement sur les réseaux sociaux. Les centres d’intérêt d’un employé, la date de naissance de ses enfants ou encore le petit nom de son chien sont autant d’éléments pour enrichir des e-mails de phishing ciblés ou d’indices pour casser ses mots de passe.
« L’humain est de fait le principal point de vulnérabilité en matière de cybersécurité que ce soit par accident (erreur, non-respect ou oubli des consignes…), par compromission (vecteur à son insu d’une intrusion malveillante) ou par préméditation (démarche intentionnelle de nuire pour diverses raisons…) », souligne Franck Nielacny, Chief Information Officer de Stormshield.
La compromission notamment est un risque de plus en plus grand. « Toutes les entreprises et tous les employés peuvent devenir vecteurs de menace. Que ce soit via des attaques de masse comme pour le ransomware WannaCry en 2017, mais aussi involontairement au travers d’attaques de plus en plus ciblées », prévient Stéphane Prévost, Product Marketing Manager chez Stormshield.
Cybersécurité de l’entreprise : l’affaire de tous
Mais une fois acquise la conviction que l’humain doit être au centre de la politique de cybersécurité de l’entreprise, reste à convaincre chacun que celle-ci est l’affaire de tous. Pour installer dans les meilleures conditions une culture de cybersécurité partagée par tous au sein de l’entreprise, il est indispensable, selon Franck Nielacny, de s’appuyer sur cinq acteurs clés : « la direction, des représentants des collaborateurs, les RH, le responsable de la sécurité des systèmes d’information et enfin la DSI ».
Et une telle démarche n’est pas simple – et ce, pour plusieurs (bonnes) raisons. La première raison tient au fait que, ces nouveaux process de sécurité sont généralement perçus comme une contrainte supplémentaire par les collaborateurs. En parallèle, le fonctionnement en silos d'un certain nombre d’entreprises ne favorise pas toujours ce travail d’équipe puisqu’une collaboration minimaliste ne permet pas de diffuser de façon efficace une culture partagée. Ainsi, il semble difficile de collecter en temps réel des retours concrets sur les vulnérabilités de l’entreprise et de trouver comment les résoudre rapidement.
Cette culture de la cybersécurité devrait insister de manière encore plus importante sur l’intégration de la sécurité en amont, dans le cycle de développement des logiciels métiers. Un des meilleurs moyens de sensibiliser tous les services de l’entreprise à la gestion des données sensibles ! Avec le RGPD, le « Security by Design » est même devenu une norme pour empêcher que le logiciel ne devienne lui-même le maillon faible en matière de sécurité. Mais souvent, c’est le manque d’équipes qualifiées en interne qui freine ce travail de déploiement d’une politique récurrente d’information sur les risques informatiques.
Enfin, l’émergence d’une culture de cybersécurité peut également souffrir d’un mode de diffusion trop descendant. L’adhésion des collaborateurs passe par une forte implication de la direction mais aussi du middle management, ce qui implique de placer en permanence l’utilisateur final et ses besoins au centre des préoccupations. C'est par les usages au quotidien que la cybersécurité sera la plus efficace. Chez Stormshield, une de ces mesures d’acculturation passe par une « sanction » à base de viennoiseries : quand un collaborateur laisse son poste ouvert alors qu’il n’est pas à son poste, il se fait « hacker » sa boite e-mail et doit payer sa tournée de croissants aux équipes. Redoutablement efficace. Règles officielles disponibles sur le site chocoblast.fr.
Proposer des solutions de protection adaptées aux usages métiers
Mais toutes les entreprises ne baignent pas comme nous dans un tel contexte et beaucoup ont un rapport plus distant à la cybersécurité. Pour ces entreprises, la sensibilisation des collaborateurs est autant une évidence qu’une urgence. « Un utilisateur relativement averti peut à lui seul éviter beaucoup de risques », rappelle Matthieu Bonenfant, Directeur Marketing Stormshield. D’autant que les menaces sont plus souvent liées à des collaborateurs imprudents ou malchanceux, qu’à des employés véritablement malveillants.
Selon Franck Nieclany, « il est essentiel de bien comprendre au préalable ce que les collaborateurs font des outils et des données critiques, afin d’adapter au mieux les solutions mises en place ». L’un des problèmes notamment à ne pas négliger dans l’usage que font les salariés des outils informatiques étant le shadow IT (ou « informatique fantôme »), cette propension des employés à utiliser de nouvelles applications à des fins professionnelles sans consulter la direction informatique. Autre impératif majeur : s’assurer que « toutes les procédures de sécurité s’intègrent harmonieusement dans le process métier de chaque direction », ajoute le Chief Information Officer de Stormshield.
Enfin, il faut également tenir compte du travail en mobilité. « Le périmètre de sécurité intra-entreprise n’ayant plus de sens à l’heure du travail nomade, des objets connectés ou des ERP externalisés, les entreprises peuvent aujourd’hui construire une politique de sécurité renforcée en recourant par exemple à une segmentation plus fine des flux de données. Celle-ci, conçue selon le principe du « zero trust network », permet de confiner une menace et d’éviter qu’elle se propage », conclut Stéphane Prévost.
Source : stormshield
Notez ce sujet