Cybersécurité : quel est le moyen le plus efficace pour lutter aujourd’hui ?
77% des entreprises françaises ont subi un piratage (étude Loudhouse/Fortinet). Les formes et les moyens de ces cyberattaques sont pléthores. Nous en subissons quotidiennement à titre de particulier, dans le monde professionnel, ou sur les réseaux sociaux, dans des formes aussi banales qu’un mail, une pièce jointe, une connexion à un site web ou à un lien sponsorisé.
De nombreuses entreprises se demandent quels sont les moyens techniques les plus efficaces pour renforcer la sécurité de leur système d’information. Certaines ont pu lire que la sécurité périmétrique classique était morte, que la ligne de pare-feu ou d’anti-virus ne servait plus à grand-chose, car une fois l’assaillant à l’intérieur il lui était facile de circuler librement. Que le périmètre s’élargissant (cloud, mobilité) la sécurité non périmétrique basée sur des contrôles continus à tous les niveaux de l’infrastructure était l’avenir (Google s’y est mis depuis 2015). Pourtant, rien n’y fait ! Comprenez bien qu’il ne s’agit pas de se passer de ce type de défense, la question qui se pose aujourd’hui est celle de la priorité des investissements des entreprises en matière de cybersécurité.
Ces récentes années, c’est particulièrement sur nous, ou plus précisément sur notre activité numérique, que les pirates informatiques se sont acharnés, et beaucoup moins sur les accès des réseaux informatiques des entreprises, toujours plus fortifiés. Pour les cybercriminels, chacun de nous est une porte d’entrée potentielle dans l’entreprise. Les attaques actuelles profitent de la faille humaine et non de l’informatique.
Selon l’étude YouGov/Symantec, 86 % des employés français utilisent leurs terminaux personnels dans le cadre de leur activité professionnelle. Renforcé par les pratiques sociétales où se mélangent vie privée et travail, le facteur humain est devenu primordial en matière de sécurité informatique pour les entreprises.
Le vol d’identité est en nette progression, les données personnelles ne sont plus sécurisées. Le risque de non-conformité s’accentue pour les entreprises : à partir de mai 2018, la nouvelle réglementation sur la protection des données personnelles (RGDP) obligera les entreprises à considérer davantage l’enjeu de sécurité, et à garantir la traçabilité, la portabilité et le lieu de stockage des données, faute de quoi de lourdes sanctions sont prévues. Peu d’entreprises sont prêtes !
Sensibiliser et former à la cybersécurité
Et si pour lutter contre les cyberattaques, il était plus efficace et rentable d’investir dans la sensibilisation et la formation des utilisateurs, et dans des outils qui leur apportent une vraie aide ?
Le mail est le moyen de communication privilégié en entreprise, c’est aussi la principale source des incidents de sécurité dans l’entreprise. La majorité des cyberattaques démarre par une tentative de hameçonnage (phishing), et un salarié qui « mord à l’hameçon ».
Si un fichier provenant d’un mail frauduleux n’est pas activé, l’infection est évitée. D’où l’importance humaine dans la propagation des cyberattaques.
La prévention humaine est un excellent pare-feu, mais pour cela il y a lieu de mettre en place les conditions d’exercice.
Sensibiliser, plutôt que sanctionner. Une culture de la confiance doit exister en interne dans l’entreprise, pouvoir dire qu’on a fait une erreur en ouvrant une pièce jointe (potentiellement suspecte) par exemple.
Un cadre légal. La mise en place d’une charte informatique est indispensable pour définir les règles minimales de sécurité dans l’entreprise. L’encadrement des pratiques des collaborateurs passe également par le contrat de travail, avec la rédaction d’une clause de confidentialité ou la clause de télétravail par exemple.
Dans le contexte actuel la formation devient nécessaire. Selon Stéphane Bloch du cabinet KGA Avocats : les avocats considèrent que le respect de la législation ne peut être réalisé sans « la nécessité de sensibiliser les salariés par le biais de formation ».
Le MOOC SecNum Académie de l’ANSSI constitue une bonne entrée en matière. Formez-vous gratuitement en ligne sur la sécurité du numérique, à votre rythme et avec une certification. L’Agence Nationale de la Sécurité des Systèmes d’Information a mis en place des cours en ligne pour sensibiliser les utilisateurs en milieu professionnel et pour former le plus grand nombre de citoyens à la sécurité numérique.
Chez Alliance Informatique, nous considérons également que la sécurité informatique nous concerne tous, alors n’hésitez pas à faire circuler autour de vous.