Interview : « La cybersécurité, c’est une prise de conscience collective »

Les entreprises se montrent-elles suffisamment conscientes des enjeux liés à la cybersécurité, et de leur rôle en la matière ?

Le niveau de prise de conscience de ces questions est très différent suivant la taille des entreprises. Dans les ETI et les grands groupes, elle peut être très importante, grâce à une grande maturité en termes de culture autour de la cybersécurité. Dans les PME, c’est très divers, cela dépend des dirigeants et des responsables informatiques – ou de l’historique de l’entreprise, par exemple si elle a déjà subi une attaque et a déjà dû faire face à ses conséquences. D’une manière générale, beaucoup de progrès sont à faire, dans tous les domaines, dans les entreprises de taille moyenne, de la sauvegarde des données hors ligne à la segmentation des réseaux interne en passant par la sensibilisation des collaborateurs. Dans les TPE, en dehors de quelques exceptions, tout est à faire !

À qui confier cette dimension de l’activité ? À la direction ?

Oui. La direction doit être entièrement partie prenante. Elle doit être sensibilisée à ces enjeux cruciaux pour l’activité. En 2020, je rappelle que 60% des entreprises ont été attaquées au moins une fois, que le coût moyen d’une rançon – dans le cadre d’une attaque de type « ransomware » – augmente constamment, et que l’on ne récupère en moyenne que 65% des données. Il est donc capital de mettre en place une sensibilisation « top-down », grâce à laquelle le souci du comité de direction impactera les habitudes des collaborateurs.
La sensibilisation doit commencer par le dirigeant et le Codir.

Quels sont les dispositions à prendre impérativement pour limiter les risques en entreprise ?

En entreprise, pour réduire les risques liés aux cyberattaques, il convient de :

• • • Connaître ses vulnérabilités externes, en identifiant les portes ouvertes vers ses applications ;
    • Connaître ses vulnérabilités internes, en identifiant les zones potentielles d’intrusion ;
    • Sensibiliser les collaborateurs aux bonnes pratiques en matière de sécurité informatique ;
    • Protéger son activité contre les menaces, en les détectant au plus tôt et en utilisant les logiciels (antivirus, logiciel anti-hameçonnage, double authentification…) qui permettent d’éviter leurs conséquences sur l’entreprise ;
    • Protéger les données stratégiques pour l’activité ;
    • Renforcer la sécurité des sites web et des applications.

Comment impliquer les collaborateurs pour qu’ils jouent un rôle positif dans la cybersécurité de leur entreprise ?

La cybersécurité ne dépend pas que des logiciels déployés dans l’entreprise. Il s’agit d’une prise de conscience collective des risques et des enjeux liés. Pour impliquer les collaborateurs, je recommande de commencer par une sensibilisation simple, sur la base de campagne de test de phishing ou de clés USB que l’on éparpille dans les salles de réunion, pour voir les réactions des salariés (ceux qui ouvrent les mails, qui branchent les clés…). L’idée ? Leur montrer à quel point cela peut être facile de leur voler leurs mots de passe ou d’introduire un virus.
Ensuite, il faut prendre le temps d’expliquer les choses, de formuler des recommandations de base, même sur un temps court, afin de générer cette prise de conscience et de modifier les habitudes. Avec les confinements et le développement du télétravail, beaucoup d’entreprises ont mis en place, en urgence, des logiciels pour travailler à distance, sans prendre le temps de s’assurer que les collaborateurs ne laissaient pas de portes ouvertes sur des données essentielles. Là, il convient de corriger le tir.

Quelles seraient les trois actions, faciles à mettre en place, qui pourraient assurer un minimum de sécurité dans une petite structure ?

La première des priorités, c’est de mettre en place une sauvegarde des données hors ligne. En effet, c’est la condition sine qua none pour assurer une reprise de l’activité après une attaque, qui peut mettre en péril l’avenir de l’entreprise ! La menace s’est industrialisée, professionnalisée, les données doivent donc être sécurisées en hors ligne et/ou sur un Cloud dédié.
Ensuite, je recommande l’installation de technologies de défense du end point, c’est-à-dire des ordinateurs et outils connectés (smartphone, tablette principalement) utilisés par les salariés. Classiquement, ce sont les antivirus, l’antispam, l’anti-hameçonnage…
Enfin, il convient de sensibiliser les collaborateurs aux règles de base en matière de cybersécurité (le niveau de complexité des mots de passe, le chiffrement des disques, le verrouillage des postes…). Car vous pourrez installer autant de logiciels que vous voudrez, vous ne sécuriserez jamais vos données si vos collaborateurs laissent des portes ouvertes sur votre activité !