Pour Aurélie Luttrin, qui accompagne entreprises et collectivités dans la sécurisation de leur transformation digitale, l’humain doit plus que jamais être placé au cœur des stratégies de cybersécurité. À condition de rectifier certains travers, et de développer des compétences indispensables. Interview.

En septembre 2021, vous avez signé une tribune titrée « L’ego, une faille sous-estimée de notre cybersécurité ». Pourquoi cet angle un rien provocateur ? Est-ce, selon vous, l’angle mort des sujets sur la cybersécurité ? 

J’ai voulu être dans la provocation pour éveiller les consciences sur cet aspect de la cybersécurité. Quand on parle de cybersécurité, on est concentré – et à juste titre – sur l’aspect technologique. Mais on oublie trop souvent qu’il y a un point d’entrée : l’être humain. On a beau avoir la meilleure technologie qui soit, si l’être humain continue de constituer une faille par ses usages, s’il divulgue des informations en étant égocentré – sur les réseaux sociaux en particulier –, il y aura toujours un trou dans la raquette. 

Publier trop d’informations en ligne sur sa vie privée peut avoir des conséquences dramatiques. J’ai en tête l’exemple du directeur technique d’une entreprise, qui communique sur sa passion des chiens de façon publique sur les réseaux. Des cybercriminels ont piraté l’adresse personnelle de son épouse (en l’encourageant à cliquer sur un lien renvoyant à une photo de chien), puis sont ensuite parvenus à s’introduire dans le système de production de l’entreprise. Laquelle a été à l’arrêt pendant 15 jours avec une perte de… millions d’euros.

L’investissement dans les systèmes est crucial, mais il convient d’avoir une vision à 360° : il faut protéger les données, et sécuriser les personnes aussi ! 

De quoi votre analyse est-elle le fruit ? 

De mon expérience, et du partage d’expérience avec des experts et des professionnels. Je constate qu’il y a encore beaucoup de naïveté. 

Une entreprise peut mettre des millions pour protéger un système d’information et, en parallèle, des collaborateurs vont sur Instagram publier de beaux selfies avec l’écran d’ordinateur bien visible. Et quand on zoome sur la photo, on peut avoir accès à des infos sensibles… 

Vous estimez que les cybercriminels utilisent des ressorts psychologiques pour réussir leurs attaques par le biais des humains. De quels ressorts s’agit-il ? 

Cela relève des 7 péchés capitaux ! Le maillon faible humain est récurrent ; mais le problème s’aggrave, notamment avec l’usage des réseaux sociaux. 

Les cybercriminels sont de fins psychologues, ils s’engouffrent dans les failles, les faiblesses, ils profitent de cette société dans laquelle « je communique donc je suis ». Ils vont sur les réseaux sociaux, où l’on apprend beaucoup sur la personnalité des gens ! Ils utilisent la ruse, l’arme la plus redoutable. 

Ce sont les mêmes méthodes que celles utilisées au plan étatique pour les missions de renseignement : l’exploitation de données publiques pour percevoir la personnalité de la cible. Et les réseaux sont formidables pour ça ! On remarque les failles de la personne, ses goûts, ses passions, c’est donc très facile ensuite de la cibler. 

Comment cela se matérialise ? Je surcommunique sur ma passion, j’ai besoin de reconnaissance, je reçois un e-mail relatif à ma passion ou un message LinkedIn qui m’invite à parler de mon expertise, je clique sur un lien… et je deviens le vecteur d’une attaque.

Pour de nombreuses entreprises et leurs collaborateurs, il semble pourtant complexe de se passer totalement des réseaux sociaux…

Il faut savoir être son propre communicant ! En prenant exemple sur les artistes qui scénarisent leur vie mais de façon contrôlée, en brouillant les pistes. Il faut bien choisir ce que l’on communique, et se demander : quel est le but de ma communication ? Est-ce que la trace publique que je laisse peut avoir des conséquences ?

Et ne croyez pas être à l’abri en travaillant dans une petite PME ou une petite commune. La stratégie des cybercriminels, c’est de faire du chiffre. Ils sont soumis à des impératifs de rendement, et envoient des attaques en masse. Sur le volume, ils savent qu’ils auront des résultats. 

Il faut bien choisir ce que l’on communique, et se demander : quel est le but de ma communication ? Est-ce que la trace publique que je laisse peut avoir des conséquences ? 

Aurélie Luttrin

Vous considérez également que les qualités humaines sont des armes à peu près égales aux solutions technologiques dans la lutte cyber ? Est-ce que cela signifie qu’il faut aussi et surtout des soft skills (compétences douces) pour être efficace dans ce domaine ?

Je dirais que l’un ne va pas sans l’autre. Avec cet arsenal du savoir-être, la meilleure des technologies sera encore plus efficace. Les deux sont interdépendants.

Il est important de percevoir qu’il n’y a pas de frontières entre la vie personnelle et professionnelle, et qu’il va falloir se limiter. Clairement, chaque collaborateur peut être un cheval de Troie pour un cybercriminel.  

Ce cheval de Troie expose les organisations à ces principaux risques : les ransomwares, les attaques étatiques (par effacement des données), les attaques de la concurrence, l’usurpation d’identité, l’introduction de logiciels espions, d’aspirateurs à données qui captent des infos pour les revendre sur le darkweb. 

Selon vous, le courage et la capacité de résilience sont essentiels. Comment ces qualités se traduisent-elles concrètement dans les stratégies de cybersécurité ?

Le courage, c’est de surmonter ce réflexe très français de cacher lorsque l’on a fait une erreur ; par exemple, si l’on a cliqué sur un lien douteux lors d’une attaque par phishing. Ou de résister à la peur ou à l’urgence si on reçoit l’ordre d’effectuer un virement d’un supérieur hiérarchique. Les cybercriminels connaissent bien la culture d’entreprise. Ils sont capables, en piratant les boîtes mail, de percevoir les méthodes de management et de s’en servir. 

La capacité de résilience, c’est prévoir comment réagir en cas de cyberattaque. Car la question aujourd’hui n’est pas de savoir si une entité va subir une cyberattaque, mais quand elle va la subir. Elle doit donc être en capacité de réagir pour garantir la continuité de l’activité, raisonner gestion de crise et anticipation des process de crise. Ce qui est primordial pour préserver son activité. 

 Le courage dans la cybersécurité, c’est de surmonter ce réflexe très français de cacher lorsque l’on a fait une erreur ; par exemple, si l’on a cliqué sur un lien douteux lors d’une attaque par phishing.

Aurélie Luttrin

Vous évoquez également l’humilité, la capacité d’adaptation, la transparence. Pourquoi ?

Face à des technologies de plus en plus complexes, il faut admettre que l’on ne sait pas, et avoir l’humilité d’être toujours au stade de l’apprenant. Le dirigeant comme l’élu vont devoir s’acculturer aux enjeux liés aux nouvelles technologies, se former en permanence. Dans le domaine cyber, on ne vit plus 10 à 20 ans sur ses acquis. 

C’est important pour éviter de se faire avoir par des prestataires qui peuvent capter des données. Aujourd’hui, le pouvoir d’une entreprise est dans la donnée : le savoir-faire, les collaborateurs, les clients, etc. 

La démarche est plus naturelle pour le DSI (directeur des systèmes d’information) et le RSSI (responsable de la sécurité des systèmes d’information), car, normalement, ils sont en veille constante. Mais c’est plus nouveau pour les chefs d’entreprise et les élus. La cybersécurité est devenue un pilier du savoir, ils doivent connaître un minimum vital en cybersécurité, comprendre ce qu’il se passe, pouvoir se faire une opinion sur les prestataires qui viennent les voir, savoir vérifier les bons points. Cela fait partie de la vigilance « humaine » et des nouveaux réflexes à acquérir.

La capacité d’adaptation est importante pour identifier les nouvelles menaces, et faire les changements qui s’imposent pour y faire face au sein des organisations. Cela bouge tout le temps ! Il faut toujours être dans une logique d’innovation en matière de cybersécurité, et rester à l’affût des nouveautés technologiques. L’impact de la géopolitique est aussi un nouveau paramètre. Qui aurait dit, il y a un an, que, concernant l’utilisation de l’antivirus Kaspersky, l’ANSSI (Agence nationale de la sécurité des systèmes d’information)  souligne qu’une telle utilisation peut être questionnée du fait de ses liens avec la Russie et que les entreprises doivent réfléchir “à moyen terme à une stratégie de diversification des solutions de cybersécurité” ? 

Enfin, la transparence implique de faire des points réguliers, des audits qui ne finissent pas dans un placard et sont suivis d’effets, de se confronter régulièrement pour mettre au jour les points forts et les failles. 

Dans ce contexte, comment minimiser les risques « humains » comme facteurs de cyberattaque ?

Former tous les collaborateurs est indispensable, avec des fondamentaux et des contenus différents selon les fonctions et les niveaux hiérarchiques. 

Il faut bien comprendre que débloquer des budgets en ce sens représente un investissement, non une dépense. Des entreprises disparaissent ou sont placées en redressement judiciaire à cause d’une cyberattaque. Quand vous avez passé votre vie à construire, c’est dramatique.

Il n’est pas toujours évident, pour une petite entreprise, un indépendant, d’investir du temps et de l’argent dans la formation à la cybercriminalité…

Elles sont souvent méconnues, mais il existe des aides pour se former et se doter de solutions technologiques. Les syndicats professionnels, comme le Medef et d’autres, sont très actifs pour former leurs adhérents à ces questions. 

Il existe aussi un arsenal des subventions régionales et européennes, en particulier pour les TPE-PME, afin d’acquérir des outils et former les effectifs. Elles peuvent aussi s’appuyer sur les CCI (chambres de commerce et d’industrie), qui sont de bons relais pour aider dans ces démarches et au montage des dossiers. 

Il y a aussi des budgets à solliciter dans le cadre du plan France Relance. Enfin, il ne faut pas hésiter à se rapprocher des Régions, qui centralisent une partie des aides (notamment certaines aides européennes). 

Au fond, quelle serait la bonne combinaison entre l’humain et la technique pour limiter les risques ?

L’urgence numéro 1 est la formation combinée à la technologie pour limiter les intrusions. Le changement des méthodes de management est aussi un vrai sujet de cybersécurité et de transformation digitale : si les gens sont terrorisés à l’idée de faire une erreur, on ne peut pas progresser. 

Aurélie Luttrin

Fondatrice de la société EOKOSMO

Ancienne avocate spécialisée en droit public des affaires, Aurélie Luttrin est la fondatrice de la société EOKOSMO. Elle accompagne les territoires et les entreprises dans la construction de leur performance économique et servicielle grâce à la transformation numérique. Elle met son expertise au service des États, des collectivités territoriales et des entreprises pour mieux appréhender la 4e révolution industrielle.

Lire aussi

Cybersécurité : quel est le niveau
des entreprises françaises ?

Technologie & Systèmes
10 mai 2022

Le constat du cabinet Wavestone, acteur majeur du conseil en France, est sans appel : les entreprises françaises ont progressé dans leur préparation au risque cyber, mais l’effort global reste insuffisant. En mars 2022, le spécialiste de la transformation des organisations publie un baromètre évaluant les entreprises françaises face aux…

Cybersécurité : qu’est-ce que le Campus Cyber ?

Technologie & Systèmes
19 avril 2022

Inauguré le mardi 15 février 2022, le tout nouveau Campus Cyber a élu domicile aux portes de Paris, et plus précisément dans la tour Eria à La Défense. Dessinée par l’architecte Christian de Portzamparc, cette immense tour de 13 étages peut se vanter de réunir tous les acteurs de la…

Un cyberscore pour indiquer le niveau de
sécurité des plateformes numériques

Technologie & Systèmes
12 avril 2022

Failles de sécurité, vol de données personnelles ou encore cyberattaques : naviguer sur le Web n’est pas sans risques. C’est pourquoi, en mars 2022, une proposition de loi a définitivement été adoptée : elle met en place une certification de cybersécurité des plateformes numériques destinées au grand public. Cette loi…