
Temps de lecture : 4 minutes En 2020, la cybersécurité en entreprise demeure un enjeu important, quoique sous-estimé. Parmi les facteurs de risques : la négligence humaine. Hélène Courtecuisse*, consultante en sécurité, revient sur l’importance (et la manière) d’y sensibiliser ses collaborateurs. En matière de cybersécurité, il y a deux façons d’appréhender la dimension humaine : considérer que l’humain représente un maillon faible, la « négligence humaine », ou décider d’en faire le maillon fort. Évidemment, les deux perceptions se complètent ; mais il est essentiel de ne pas focaliser le dialogue sur la première, qui reste négative et quelque peu défaitiste. D’autant que la problématique existait déjà avant l’ère de la transformation digitale. Elle était différente, puisqu’Internet faisait à peine ses débuts. Les systèmes n’étaient pas ouverts et, sans smartphones ni laptops, la sécurité en entreprise ne connaissait pas les difficultés qu’entraîne la mobilité d’aujourd’hui. Mais les brèches de confidentialité n’étaient pas moins liées à cette négligence humaine. Parce qu’on se méfiait notamment beaucoup de l’espionnage physique, les entreprises devaient compter sur leurs collaborateurs pour appliquer certaines bonnes pratiques, telles que la mise sous clé de documents. Si la technique n’a plus rien à voir aujourd’hui, on demande toujours aux collaborateurs en entreprise de faire attention. Ce sont les précautions de base et les risques qui ont changé. Des risques « invisibles » difficiles à appréhender Pour commencer, les risques sont plus compliqués à appréhender ; ils sont plus variés, parfois beaucoup plus techniques. Ils prennent différentes formes qui peuvent désarçonner toute personne non experte. Sans compter que les attaques se font de façon « silencieuse » et totalement invisible. On peut ne pas se rendre compte, par exemple, qu’un site Internet sur lequel on souhaite faire un achat, qu’il soit ou non d’une enseigne connue, est infesté par un malware. En termes de cyber malveillance, on parle aujourd’hui de haute technologie. Les attaques sont plus nombreuses, elles se sont perfectionnées et sont bien plus difficiles à contrer. Pour autant, la sensibilisation aux risques de base des collaborateurs, même non-spécialistes, reste non seulement possible, mais tout à fait nécessaire. On n’entendra évidemment pas couvrir tous les sujets en une journée. D’ailleurs, même des spécialistes ne peuvent pas prétendre appliquer toutes les consignes à 100%. Dans ce domaine, il faut faire son deuil de toute idée de perfection. Il faut plutôt s’appliquer à former les gens sur la durée. Dans le cas des OIV (Opérateurs d’importance vitale), qui sont des entreprises soumises à la loi de programmation militaire (domaines bancaires, de l’alimentation, etc.), il y a d’ailleurs une obligation d’assurer la formation de tous les collaborateurs au minimum une fois par an. Les bonnes pratiques doivent évoluer avec les technologies. Des menaces à (re)connaître On distingue deux catégories principales de cyber menaces à l’heure actuelle : Le phishing Une quantité impressionnante d’e-mails de phishing circulent. Ils incitent les gens à cliquer sur un lien, ouvrir une pièce-jointe et donner des informations personnelles. Il est déjà dangereux de cliquer, mais certaines personnes tombent encore dans le piège et fournissent les informations demandées. Le problème, au-delà du manque de […]