L’humain, la clé de la cybersécurité en entreprise

Face à l’augmentation des cyber-attaques, les réponses techniques apportées par les entreprises ne suffisent plus. Pour préserver leurs données sensibles, elles doivent s’attacher à former leurs collaborateurs, une cible privilégiée des criminels mais aussi le meilleur rempart face aux cybermenaces.

Hameçonnage, rançongiciel, fraude au président… les cybercriminels se reposent de plus en plus sur des failles humaines pour installer des programmes malveillants, dérober des informations confidentielles ou encore transférer des fonds. En 2018, 80 % des entreprises françaises ont été victimes de cyberattaques, selon une étude réalisée par l’institut OpinionWay pour le Club des experts de la sécurité de l’information et du numérique. Des incidents de sécurité imputables dans un tiers des cas aux collaborateurs de l’entreprise. 

Or, les stratégies de lutte contre les cyberrisques ou cyber-risques ? adoptées par les entreprises sont encore trop souvent techniques (pare-feux, gouvernance de la donnée, politique de sauvegarde et contrats drastiques avec les prestataires IT). Un paradoxe sachant que l’utilisateur derrière son écran représente un maillon faible de la chaîne de sécurité des données. Pour autant, c’est aussi l’un des meilleurs remparts face aux dangers informatiques. 

Mais comment expliquer de telles défaillances de la part des collaborateurs ? Selon une étude de l’Union européenne publiée en mars 2019, les internautes n’ont pas conscience des erreurs qu’ils peuvent commettre dans le monde digital. Ainsi, seulement 31 % des Français utilisent des mots de passe différents pour chaque site. Pire, nombreux sont ceux qui méconnaissent les menaces : 17 % des Français pensent ainsi qu’il n’y pas ou peu de risques lors de l’utilisation d’Internet. Or ces erreurs sont commises aussi bien dans la sphère privée que professionnelle. 

Instaurer une culture de la sécurité informatique au sein de son entreprise

Alors que les cyberattaques ont augmenté de 25 % en 2019, il devient urgent pour les entreprises de sensibiliser l’ensemble de leurs collaborateurs  – de l’employé au dirigeant –, à la vigilance et aux bons réflexes à adopter face à des comportements suspects sur Internet. “Un des grands défis de la cybersécurité aujourd’hui est d’apprendre aux spécialistes à se mettre à la portée des utilisateurs”, confirme Angela Sasse, directrice du RISCS, Institut de recherche britannique en science de la sécurité aux Echos.

Concrètement, la gestion des mots de passe, les différentes attaques informatiques possibles et leurs conséquences ou encore le non–respect des procédures de sécurité doivent être abordées. Au-delà de ces questions, une véritable culture de la sécurité informatique doit être distillée au sein de l’entreprise. Il ne s’agit pas de “maîtriser” le facteur humain mais bien d’impliquer les collaborateurs grâce, par exemple, à des ateliers de mise en situation. 

Cette responsabilisation des collaborateurs est d’autant plus importante que les attaques  – toujours plus sophistiquées –, proviennent aujourd’hui d’organisations criminelles professionnalisées. Prenons l’exemple des opérations de hameçonnage de plus en plus élaborées : aucune faute d’orthographe, un design identique aux communications officielles, des mentions personnelles, souvent pertinentes, pour tromper la vigilance de l’utilisateur. À noter, que les cybercriminels s’adaptent aux nouveaux usages d’Internet que sont les réseaux sociaux pour connaître des détails personnels leurs futures victimes mais aussi les tromper en créant, par exemple, de faux comptes. 

Une frontière poreuse entre appareils privés et professionnels

Avec la politique du “Bring Your Own Device” – qui consiste pour les collaborateurs à apporter  leurs propres appareils mobiles dans l’entreprise –, l’un des problèmes majeurs en matière de sécurité informatique concerne la frontière toujours plus poreuse entre terminaux privés et professionnels. De plus en plus de données sensibles de l’entreprise transitent sur des smartphones ou ordinateurs privés, sans qu’ils ne soient pour autant correctement sécurisés. 

Or, la prolifération de tels terminaux et le mélange de données à la fois personnelles et professionnelles est critique pour les entreprises : risque d’une fuite de données ou l’accès non autorisés au système d’information. Et, à la différence des terminaux sur lesquels le directeur des systèmes d’information (DSI) avait jusqu’ici la main, ces nouveaux appareils sont moins faciles à maîtriser en matière d’administration et de sécurité. Une raison de plus pour inciter les collaborateurs à une plus grande vigilance, . comme l’a fait la RATP en 2016, en faisant appel à l’agence Caribara pour sensibiliser ses 22 000 collaborateurs connectés aux systèmes d’information. À son image, les entreprises sont de plus en plus nombreuses à voir dans l’humain la clé de leur cybersécurité.