Interview : « La cybersécurité, c’est une prise de conscience collective »

Le 17 janvier 2023

Chief information security officer chez Visiativ, Roch Auburtin fait le point sur la prise de conscience des entreprises en matière de cybersécurité. Pour lui, celle-ci dépend de la taille de la structure, certes, mais aussi de leur expérience en matière d’attaques. Il pointe, aussi, l’importance d’une prise de conscience chez l’ensemble des collaborateurs.

Les entreprises se montrent-elles suffisamment conscientes des enjeux liés à la cybersécurité, et de leur rôle en la matière ?

 

Le niveau de prise de conscience de ces questions est très différent suivant la taille des entreprises. Dans les ETI et les grands groupes, elle peut être très importante, grâce à une grande maturité en termes de culture autour de la cybersécurité. Dans les PME, c’est très divers, cela dépend des dirigeants et des responsables informatiques – ou de l’historique de l’entreprise, par exemple si elle a déjà subi une attaque et a déjà dû faire face à ses conséquences. D’une manière générale, beaucoup de progrès sont à faire, dans tous les domaines, dans les entreprises de taille moyenne, de la sauvegarde des données hors ligne à la segmentation des réseaux interne en passant par la sensibilisation des collaborateurs. Dans les TPE, en dehors de quelques exceptions, tout est à faire !

cybersécurité en entreprise en 2024

[Livre blanc] Cybersécurité en entreprise, quels sont les enjeux majeurs en 2024 et comment y répondre ?

 

Sécuriser son système d’information est un moyen de garantir la pérennité de son entreprise et plus globalement de la voir gagner en compétitivité.

 

Retrouvez dans ce livre blanc : un baromètre dressant un état des lieux de la cybersécurité au sein des entreprises françaises, et nos propositions concrètes pour se préparer aux cyberattaques de 2024 !

 

 

Télécharger le livre blanc

À qui confier cette dimension de l’activité ? À la direction ?

 

Oui. La direction doit être entièrement partie prenante. Elle doit être sensibilisée à ces enjeux cruciaux pour l’activité. En 2020, je rappelle que 60% des entreprises ont été attaquées au moins une fois, que le coût moyen d’une rançon – dans le cadre d’une attaque de type « ransomware » – augmente constamment, et que l’on ne récupère en moyenne que 65% des données. Il est donc capital de mettre en place une sensibilisation « top-down », grâce à laquelle le souci du comité de direction impactera les habitudes des collaborateurs.
La sensibilisation doit commencer par le dirigeant et le Codir.

 

 

Quels sont les dispositions à prendre impérativement pour limiter les risques en entreprise ?

 

En entreprise, pour améliorer sa protection face aux cyberattaques, il convient de :

 

      • Connaître ses vulnérabilités externes, en identifiant les portes ouvertes vers ses applications ;
      • Connaître ses vulnérabilités internes, en identifiant les zones potentielles d’intrusion ;
      • Sensibiliser les collaborateurs aux bonnes pratiques en matière de sécurité informatique ;
      • Protéger son activité contre les menaces, en les détectant au plus tôt et en utilisant les logiciels (antivirus, logiciel anti-hameçonnage, double authentification…) qui permettent d’éviter leurs conséquences sur l’entreprise ;
      • Protéger les données stratégiques pour l’activité ;
      • Renforcer la sécurité des sites web et des applications.

 

 

Comment impliquer les collaborateurs pour qu’ils jouent un rôle positif dans la cybersécurité de leur entreprise ?

 

La cybersécurité ne dépend pas que des logiciels déployés dans l’entreprise. Il s’agit d’une prise de conscience collective des risques et des enjeux liés. Pour impliquer les collaborateurs, je recommande de commencer par une sensibilisation simple, sur la base de campagne de test de phishing ou de clés USB que l’on éparpille dans les salles de réunion, pour voir les réactions des salariés (ceux qui ouvrent les mails, qui branchent les clés…). L’idée ? Leur montrer à quel point cela peut être facile de leur voler leurs mots de passe ou d’introduire un virus.
Ensuite, il faut prendre le temps d’expliquer les choses, de formuler des recommandations de base, même sur un temps court, afin de générer cette prise de conscience et de modifier les habitudes. Avec les confinements et le développement du télétravail, beaucoup d’entreprises ont mis en place, en urgence, des logiciels pour travailler à distance, sans prendre le temps de s’assurer que les collaborateurs ne laissaient pas de portes ouvertes sur des données essentielles. Là, il convient de corriger le tir.

 

 

Quelles seraient les trois actions, faciles à mettre en place, qui pourraient assurer un minimum de sécurité dans une petite structure ?

 

  • La première des priorités, c’est de mettre en place une sauvegarde des données hors ligne. En effet, c’est la condition sine qua none pour assurer une reprise de l’activité après une attaque, qui peut mettre en péril l’avenir de l’entreprise ! La menace s’est industrialisée, professionnalisée, les données doivent donc être sécurisées en hors ligne et/ou sur un Cloud dédié.

 

  • Ensuite, je recommande l’installation de technologies de défense du end point, c’est-à-dire des ordinateurs et outils connectés (smartphone, tablette principalement) utilisés par les salariés. Classiquement, ce sont les antivirus, l’antispam, l’anti-hameçonnage…

 

  • Enfin, il convient de sensibiliser les collaborateurs aux règles de base en matière de cybersécurité (le niveau de complexité des mots de passe, le chiffrement des disques, le verrouillage des postes…). Car vous pourrez installer autant de logiciels que vous voudrez, vous ne sécuriserez jamais vos données si vos collaborateurs laissent des portes ouvertes sur votre activité !

 

Discuter de vos besoins en cyber-sécurité

Ces contenus pourraient également vous intéresser

Baromètre de la transformation digitale

Le 02/04/2024

[Baromètre] La transformation digitale des PME et ETI industrielles – édition 2024

Téléchargez la première édition 2024 du baromètre de la transformation digitale des PME et ETI industrielles.

Découvrir
Cybersécurité en entreprise

Le 29/03/2024

[Livre blanc] Cybersécurité en entreprise, quels sont les enjeux majeurs en 2024 et comment y répondre ?

Découvrez les enjeux en 2024 de la cybersécurité pour les PME et ETI et solutions pour protéger votre système informatique !

Découvrir
cybersécurité

Cybersécurité, se protéger et se préparer, TECHNAX témoigne

Visionnez le replay du webinaire sur la cybersécurité et découvrez tous les enjeux et risques pour votre entreprise et comment TECHNAX a mis en place des mesures pour se protéger des cyberattaques.

Découvrir
Communauté

Club IT

Rejoindre le Club IT, pour un DSI ou un dirigeant, c'est multiplier les expériences pour faire de son système informatique un lieu sûr pour ses données.

Découvrir

Les solutions faites pour vous

Diagnostic Cybersécurité

Contrôler régulièrement votre sécurité informatique

Évaluez votre sécurité informatique pour comprendre vos menaces, expositions et risques

Découvrir

Visiativ Cyber WAF

Protéger vos applications et données sur le web

Bloquez immédiatement 100% des cyber menaces avant même qu'elles atteignent vos serveurs, sans intervention de votre part

Découvrir

Visiativ Cyber Pilot

Maîtriser sa sécurité informatique

Pilotez la protection de vos données et systèmes pour pérenniser votre entreprise et l'ensemble de votre écosystème.

Découvrir notre offre

Plateforme de pilotage

Pilotez votre niveau de sécurité

Diagnostiquer et piloter la cybersécurité de votre entreprise au travers d'une plateforme digitale

Découvrir

Inscrivez-vous à nos Newsletters