(385 000 attaques menées avec succès en 2022 pour un coût total de 2 milliards d'euros selon un rapport du cabinet Asterès), la mise en place d'une politique de sécurité est indispensable.
Pourtant, en matière de cybersécurité, l’exhaustivité tant vantée ne consiste pas seulement à empiler les technologies et les processus. Il faut aussi intégrer les collaborateurs dans cette démarche. Savoir former ses salariés, clients et partenaires, s'engager dans une démarche de qualité en continu, et collaborer de manière transparente constituent trois piliers indispensables pour acculturer son organisation à la cybersécurité.
Éduquer en profondeur : une base solide de connaissance en cybersécurité
La première étape cruciale pour toute entreprise est de définir une politique claire de cybersécurité. Celle-ci, généralement synthétisée sous forme de charte, doit être diffusée et comprise par tous les collaborateurs. Une politique de sécurité et une charte d'utilisation des systèmes d'information conforme à l’esprit de l’ISO 27001 sont des prérequis indispensables pour établir des limites claires et informer les employés des comportements attendus. Cette norme internationale définit, en effet, les exigences pour la mise en place d'un système de gestion de la sécurité de l'information. Elle couvre les aspects humains, techniques, organisationnels et juridiques de la sécurité de l'information.Concrètement, cela signifie comprendre les risques encourus (phishing, fuite de données, piratages mobiles, ransomware, etc.), mais aussi leurs conséquences qui peuvent - dans certains cas - signer la fin de l'activité de l'entreprise pour les plus fragiles, mais aussi coûter très cher pour toutes les autres. En cause : un arrêt temporaire de l'activité, une désorganisation interne, une perte de confiance des clients et partenaires, et des coûts conséquents pour colmater les fuites et reconstruire un système solide. En matière de cybersécurité comme en matière de santé, il vaut toujours mieux prévenir que guérir !
Les organisations qui ne disposent pas d'une vision globale, avec des dirigeants peu intéressés par la question de la cybersécurité, un manque de temps et de ressources de la DSI, et une multiplication des outils disparates non connectés entre eux et mis à jour, contribuent fortement à fragiliser les fondations de toute entreprise. C'est pourquoi la sensibilisation doit être constante et intégrée à la culture d'entreprise.
Des séances de sensibilisations thématiques, des événements en présentiel et l'utilisation d'outils modernes sont essentiels. Le LMS (Learning management system), doit être intégré à vos outils internes, pour offrir une méthode de sensibilisation originale et personnalisée à chaque collaborateur. Une approche personnifiée qui utilise leurs outils habituels (un contact fictif qui envoie des messages via Teams ou Slack par exemple) est non seulement plus efficace, mais aussi plus appréciée par les utilisateurs, car intégrée à leur quotidien de travail.
Engagement continu : l'application dans la pratique de détection des menaces
La deuxième étape clé implique l’application concrète des bonnes pratiques. L'adhésion des utilisateurs est essentielle et les entreprises peuvent mesurer l'efficacité de leurs efforts grâce à des campagnes de phishing de plus en plus sophistiquées. Ces tests aident à évaluer l'exposition au risque des utilisateurs et à identifier les domaines qui nécessitent un rappel des bonnes pratiques.À titre d'exemple, le Ministère de l’Économie et des Finances a même fait le test il y a quelques années en envoyant un email de phishing à ses 145 000 agents pour mesurer l’impact des mesures de protection et de sensibilisation. Résultat : 20 % des employés se sont fait avoir. Un test grandeur nature qui apporte de précieux indicateurs sur les façons d’aborder la cybersécurité afin de corriger et d'ajuster le tir.
L'amélioration continue est un élément fondamental de cette étape. Chaque année, les processus doivent être révisés pour renforcer la compréhension et garantir une application cohérente des politiques de sécurité.
Collaboration transparente : des relations de confiance à l’extérieur de l’entreprise
La troisième étape concerne la collaboration transparente avec les clients et les partenaires. Cela se traduit par un devoir de conseil envers les clients. Chaque événement client est l’occasion de communiquer en direct sur l’exemplarité de ses pratiques. Ajouté à cela, un Portail Sécurité de type « Security Trust Center » permet de rendre accessibles à tout moment les bonnes pratiques et une partie des contrôles réalisés auprès des fournisseurs : c’est le référentiel d’échanges sur les sujets cybersécurité entre l’entreprise et ses clients et prospects.En ce qui concerne les partenaires et les fournisseurs, il faut appliquer une approche rigoureuse de contrôle. À travers des analyses de sécurité via des questionnaires ou des audits ciblés, l'entreprise peut évaluer le niveau de sécurité dans la durée de ses partenaires pour garantir un échange de données responsable et sécurisé.
Comment intégrer la formation des collaborateurs dans son organisation ?
Les cyberattaques qui ne nécessitent pas l'intervention d'un utilisateur sont rares. Dans la plupart des cas, ce dernier devra effectuer une action (volontairement ou non) qui conduit à laisser le pirate entrer au sein de votre système d'information. Peu d'employés sont réellement experts en cybersécurité. Ils s'imaginent être protégés par des antivirus et autres outils que l'entreprise installe. Or, ce faux sentiment de sécurité est l'un des plus grands risques. Responsabiliser ses collaborateurs est indispensable pour protéger ses communications.En partageant des informations et des bonnes pratiques adaptées aux besoins de vos salariés, votre entreprise peut ainsi prévenir de nombreux incidents. Des ateliers réguliers et des simulations de cyberattaques peuvent ainsi être des moyens efficaces de garder les employés vigilants.
Il est également essentiel de mettre en place un plan d'action en cas d'attaques. Ce plan agit comme un guide pour les actions à entreprendre en cas d'incident de sécurité, permettant ainsi de minimiser les dommages et de rétablir les opérations aussi rapidement que possible. Il doit inclure des procédures pour identifier et évaluer l'incident, contenir la menace, éradiquer la cause sous-jacente et récupérer les systèmes affectés. Le plan doit également préciser les rôles et responsabilités de chaque membre de l'équipe de réponse aux incidents et des bonnes pratiques en matière de communication pour ses équipes.
La sensibilisation à la cybersécurité est un processus continu qui repose sur l'éducation, l'engagement et la collaboration. Les entreprises ne peuvent faire l’économie d’investir dans des outils modernes et des méthodes innovantes pour garantir une sensibilisation efficace et adaptée à l'évolution constante des menaces en ligne. Une culture de la sécurité robuste et ancrée dans le temps est l'élément clé pour construire un environnement numérique sûr et fiable pour tous.
Par Patrick FOUBERT, RSSI chez PIXID