Pourquoi (et comment) sensibiliser ses collaborateurs à la cybersécurité ? 1


Temps de lecture : 4 minutes
Share Button
cybersécurité - ORSYS

En 2020, la cybersécurité en entreprise demeure un enjeu important, quoique sous-estimé. Parmi les facteurs de risques : la négligence humaine. Hélène Courtecuisse*, consultante en sécurité, revient sur l’importance (et la manière) d’y sensibiliser ses collaborateurs.

En matière de cybersécurité, il y a deux façons d’appréhender la dimension humaine : considérer que l’humain représente un maillon faible, la « négligence humaine », ou décider d’en faire le maillon fort. Évidemment, les deux perceptions se complètent ; mais il est essentiel de ne pas focaliser le dialogue sur la première, qui reste négative et quelque peu défaitiste.

D’autant que la problématique existait déjà avant l’ère de la transformation digitale. Elle était différente, puisqu’Internet faisait à peine ses débuts. Les systèmes n’étaient pas ouverts et, sans smartphones ni laptops, la sécurité en entreprise ne connaissait pas les difficultés qu’entraîne la mobilité d’aujourd’hui. Mais les brèches de confidentialité n’étaient pas moins liées à cette négligence humaine. Parce qu’on se méfiait notamment beaucoup de l’espionnage physique, les entreprises devaient compter sur leurs collaborateurs pour appliquer certaines bonnes pratiques, telles que la mise sous clé de documents.

Si la technique n’a plus rien à voir aujourd’hui, on demande toujours aux collaborateurs en entreprise de faire attention. Ce sont les précautions de base et les risques qui ont changé.

Des risques « invisibles » difficiles à appréhender

Pour commencer, les risques sont plus compliqués à appréhender ;  ils sont plus variés, parfois beaucoup plus techniques. Ils prennent différentes formes qui peuvent désarçonner toute personne non experte. Sans compter que les attaques se font de façon « silencieuse » et totalement invisible. On peut ne pas se rendre compte, par exemple, qu’un site Internet sur lequel on souhaite faire un achat, qu’il soit ou non d’une enseigne connue, est infesté par un malware.

En termes de cyber malveillance, on parle aujourd’hui de haute technologie. Les attaques sont plus nombreuses, elles se sont perfectionnées et sont bien plus difficiles à contrer. Pour autant, la sensibilisation aux risques de base des collaborateurs, même non-spécialistes, reste non seulement possible, mais tout à fait nécessaire.

On n’entendra évidemment pas couvrir tous les sujets en une journée. D’ailleurs, même des spécialistes ne peuvent pas prétendre appliquer toutes les consignes à 100%. Dans ce domaine, il faut faire son deuil de toute idée de perfection. Il faut plutôt s’appliquer à former les gens sur la durée. Dans le cas des OIV (Opérateurs d’importance vitale), qui sont des entreprises soumises à la loi de programmation militaire (domaines bancaires, de l’alimentation, etc.), il y a d’ailleurs une obligation d’assurer la formation de tous les collaborateurs au minimum une fois par an. Les bonnes pratiques doivent évoluer avec les technologies.

Des menaces à (re)connaître

On distingue deux catégories principales de cyber menaces à l’heure actuelle :

Le phishing

Une quantité impressionnante d’e-mails de phishing circulent. Ils incitent les gens à cliquer sur un lien, ouvrir une pièce-jointe et donner des informations personnelles. Il est déjà dangereux de cliquer, mais certaines personnes tombent encore dans le piège et fournissent les informations demandées. Le problème, au-delà du manque de sensibilisation, c’est que l’e-mail de phishing est de plus en plus crédible. Là où, il y a quelques temps, on pouvait repérer un e-mail de phishing à son orthographe douteuse, on a désormais des mises en forme quasi-parfaites qui se fondent dans la masse (exemple : de fausses factures).

Les malwares et les ransomwares

Des logiciels malveillants pouvant prendre de multiples formes. Particulièrement subtil, le ransomware s’installe tout seul comme un programme. Il commence par désactiver l’anti-virus puis remonte le long du réseau et s’attaque souvent en premier lieu aux sauvegardes. Ensuite, il s’active à chiffrer tous les fichiers des ordinateurs et serveurs auxquels il peut accéder. De cette manière, les entreprises attaquées n’ont plus d’autre choix que de payer la rançon pour récupérer leurs données (sachant que cette récupération n’est pas systématique malgré le paiement de la rançon).

La complexité de ces menaces s’appuie, de plus en plus, sur des procédés financés par une « nouvelle mafia ». Il faut oublier l’image du hackeur solitaire dans son garage : on parle aujourd’hui d’organisations avec des moyens financiers qui recrutent des hackeurs au titre de salariés. En somme, la cybercriminalité s’est industrialisée.

Former ses collaborateurs à la cybersécurité : une histoire de contexte

Pour faire face à cette « nouvelle » menace, il est important que les gens comprennent les consignes de cybersécurité qui leur sont données. Difficile, autrement, de voir la pertinence d’autant de listes de recommandations, consignes et bonnes pratiques souvent contraignantes… Former ses collaborateurs ne sert à rien si l’on ne fait pas en sorte qu’ils appréhendent mieux le contexte, et donc qu’ils adhèrent et restent motivés sur le long terme pour les appliquer.

Il s’agit bien sûr d’aborder les aspects techniques, par catégories de risques, mais surtout afin de mieux comprendre les bonnes pratiques qui en découlent. Fermer sa session et ranger ses documents, par exemple, sont des pratiques simples qui rentrent dans la catégorie des risques dus à l’ingénierie sociale (pratique de manipulation visant à extorquer des informations confidentielles). Dans la catégorie des risques d’interception, il faut penser à chiffrer les messages et fichiers confidentiels pour les envoyer (surtout à destination d’une personne hors entreprise). Et en rapport notamment avec les ransomwares mentionnés plus haut, on pensera à faire des sauvegardes régulières des documents importants sur des supports externes (même si le risque zéro, rappelons-le, n’existe pas, et que l’on n’est pas à l’abri de la perte ou du vol).

Replacer ces connaissances techniques dans leur contexte permettra aussi d’en suivre l’actualité. Car les technologies évoluent, les risques changent et les consignes perdent en fiabilité. On ne cherchera donc pas forcément à former des experts, mais avant tout à inciter les gens à gagner en maîtrise en se posant des questions. Aujourd’hui, le conseil principal que nous donnons est : renseignez-vous avant de faire confiance. Ce site est-il connu ? A-t-il de bons avis sur les moteurs de recherche ? Ce lien sur Facebook n’est-il pas douteux ? Au final, un collaborateur bien sensibilisé à la cybersécurité doit surtout disposer d’un petit bagage technique, et d’une certaine dose de méfiance.


Pour se former :

Helene Courtecuisse - ORSYS - expert

Hélène COURTECUISSE
Après un début de carrière dans la gestion de l’information médicale chez Danone, puis dans l’informatique de gestion aux AGF, elle a travaillé 18 ans dans les domaines de la Sécurité de l’Information et de l’Informatique chez Novartis. Ensuite, Directeur Informatique et de la Sécurité de l’Information chez Novartis Santé Familiale, elle a dirigé les projets informatiques, la gouvernance des SI sous-traités ou hébergés et la mise en œuvre des mesures de sécurité et de reprise d’activité. Elle a fondé LISIS Conseil en 2009 et propose conseil et formation autour de la Sécurité des Systèmes d’Information.

 

Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaire sur “Pourquoi (et comment) sensibiliser ses collaborateurs à la cybersécurité ?