L’humain au cœur de la stratégie cybersécurité

Du smartphone personnel jusqu’au centre hospitalier en passant par un centre de traitement des eaux, tous les acteurs et secteurs sont touchés par des actes de cybercriminalités. Pour autant, malgré le coût direct et indirect de tels comportements malveillants et leur augmentation ces dernières années, le budget consacré à la cybersécurité dans les entreprises reste…

Du smartphone personnel jusqu’au centre hospitalier en passant par un centre de traitement des eaux, tous les acteurs et secteurs sont touchés par des actes de cybercriminalités. Pour autant, malgré le coût direct et indirect de tels comportements malveillants et leur augmentation ces dernières années, le budget consacré à la cybersécurité dans les entreprises reste souvent insuffisant. Une politique de l’autruche ou des moyens limités ?

autruche

Aujourd’hui les entreprises ont compris l’intérêt d’investir en cybersécurité au niveau technique (antivirus, parefeu, antispam…), même si ces budgets restent insuffisants. Mais quels investissements sont faits au niveau humain ? En effet le facteur humain se retrouve très (trop) souvent la cause de vulnérabilités informatiques.
Une étude menée par Solucom montre que :

  • la moitié des collaborateurs (46%) ne connaissent pas les comportements à adopter face à l’ingénierie sociale (manipulation par voie informatique des failles humaines et sociales de l’entreprise pour obtenir déloyalement des informations clés) ;
  • seuls 47% utilisent les bonnes pratiques concernant les mots de passe ;
  • un peu moins de 40% ne connaissent pas les règles de bases sur la protection des données.

Investir dans l’humain c’est le sensibiliser et le former au sujet de la cybersécurité.

Une première démarche est d’établir une politique de sécurité des systèmes d’information (PSSI), mais beaucoup d’entreprises n’en rédigent pas car elles n’ont pas de temps ni de budget à y consacrer.

Par ailleurs, le budget dédié à la sécurité informatique n’est pas extensible. Par exemple, les collaborateurs sont formés sur une version d’un logiciel (pris pour acquis). Mais face aux évolutions rapides des cybermenaces, ce logiciel doit évoluer également et l’entreprise n’a pas un budget flexible pour effectuer la maintenance/mise à jour et pour reformer les collaborateurs.

Pourtant la formation est un pilier essentiel en sécurité informatique. En effet, elle permet aux acteurs sensibilisés et formés une utilisation sûre des produits, des objets et des services qui sont mis à disposition dans et en dehors de l’entreprise. Que vous soyez une PME, une entreprise internationale, un hôpital, ou plus largement, que vous utilisiez Internet : vous êtes concernés.

Vous avez bloqué l’accès à certains sites web au sein de votre entreprise ? Mais quel contrôle exercez-vous sur l’utilisation des smartphones que chacun de vos employés exerce au sein de l’entreprise ? Vos employés connaissent-ils les dangers de sécurité liés à l’IoT ?

Le budget n’est donc pas le seul obstacle pour sensibiliser à la cybersécurité. La communication est toute aussi importante mais elle doit être portée.

Premièrement, par la direction. Tant au niveau de la prise de conscience, que de l’application et de la volonté de faire adhérer à sa politique de sécurité informatique. Pour cela, une bonne pratique est de documenter et d’échanger avec les collaborateurs sur les différents types de menaces, leur nature et surtout leur fonctionnement (découvrez les explications et recommandations de Cyberprotect sur les malwares). En connaissant les méthodes utilisées par ces malveillances pour se répandre, les collaborateurs sauront mieux éviter les pièges.

Deuxièmement, par le service informatique. Mais cette communication doit se faire en prenant en compte que le langage informatique est souvent perçu comme compliqué et réservé à une élite de spécialistes. Si les interlocuteurs ne comprennent pas le langage, ils ne comprendront pas les enjeux ni les impacts et appliqueront encore moins les recommandations. L’important est de communiquer de façon à ce que le discours soit accessible et compréhensible par tous.

La sécurité des informations doit être une responsabilité partagée par tous les acteurs de l’entreprise, que ce soit les collaborateurs, les partenaires, les dirigeants… Beaucoup de bonnes pratiques sont simples à communiquer et à adopter, que ce soit dans le cadre professionnel ou personnel. Cyberprotect vous en propose concernant les mots de passe et les réseaux sociaux.
Côté formation, les Guides ANSSI sont à disposition des entreprises pour aborder le sujet.

Les organismes CERT (Computer Emergency Repsonse Team) sont également présents pour accompagner dans ces démarches de partage de l’information et de sensibilisation aux risques informatiques. Le CERT CYBERPROTECT  vous propose en plus une veille continue et une communication adaptée à tous les profils de l’entreprise.

En conclusion, si les entreprises développent une réelle conscience en matière de cybersécurité, et investissent en moyens technique et en humain, elles ne doivent pas sous-estimer une communication abondante et l’implication de tous les collaborateurs pour responsabiliser les usages et pratiques au quotidien en matière de cybersécurité.

hands

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

 

React