1ère publication en mars 2019 (c) Veille Mag

Partagé sur le site www.communication-sensible.com

À l’heure où les cyber-attaques se multiplient, se diversifient et impactent de nombreuses organisations, acquérir et promouvoir une culture de la cyber-sécurité dans les entreprises est devenu une priorité pour les décideurs économiques. Cependant, pour certains, le sujet reste non prioritaire pour plusieurs raisons : le sentiment d’invulnérabilité, une méconnaissance du sujet, voire parfois la délégation de la cyber-sécurité aux experts des SI. Il nous semble aujourd’hui nécessaire de sensibiliser les dirigeants à la nécessité d’une approche globale de la cyber-sécurité basée sur une gouvernance claire, une stratégie de prévention et de réponse ainsi que des compétences adaptées et des outils adéquats.

En somme, il est nécessaire de permettre l’émergence d’une culture de la cyber-sécurité. Ce qui passe également par une formation de l’ensemble des collaborateurs.

Idée reçue n°1 : La cyber-sécurité est une gestion de moyens

Les dirigeants d’entreprise doivent savoir à présent que la cyber-sécurité n’est plus un problème résolu simplement en investissant davantage dans les logiciels et les équipements. Les cyberattaques d’aujourd’hui sont de plus en plus sophistiquées et complexes, menées par des organisations professionnelles qui innovent plus vite que leurs cibles. Les hackers utilisent des moyens diversifiés afin d’obtenir toute information pouvant être monétisée ou utilisée pour atteindre leurs objectifs. Leurs objectifs sont multiples : s’enrichir, fragiliser l’image et la réputation d’une entreprise ou de ses dirigeants, l’activisme ou perturber la continuité d’activité etc.

Idée reçue n°2 : La cyber-sécurité est une responsabilité des SI

Il est nécessaire pour un dirigeant souhaitant évaluer la cyber-sécurité de son entreprise, de savoir si les mesures existantes sont capables de prévenir, de détecter et de répondre adéquatement aux attaques, plutôt que de simplement se conformer aux meilleures pratiques de l’industrie. Le directeur des systèmes d’informations (DSI) ne peut et ne doit pas accepter l’entière responsabilité de la gestion de ce risque. Il doit être partagé avec les principaux dirigeants et inclure chaque collaborateur ayant accès aux installations de l’organisation. Ce qui nécessite une culture du risque cyber à l’échelle de l’ensemble de la société.

Idée reçue n°3 : Seule la technologie est vulnérable

Tout aussi cruciale, toutes les vulnérabilités ne proviennent pas seulement des technologies elles-mêmes. Les aspects comportementaux entrent également en jeu. Par exemple, un manque de sensibilisation à la cyber-sécurité au sein d’une entreprise peut exposer par inadvertance des systèmes à des attaques informatiques. En outre, de nombreux employés croient simplement que leurs systèmes sont une cible improbable. Ils sont donc réticents à accepter la nécessité de changer leurs comportements, notamment sur les réseaux sociaux et la conduite à tenir en ligne, et à mettre en œuvre de nombreux protocoles de sécurité. La prise en compte des comportements est donc une étape importante dans le déploiement de la culture de la cyber-sécurité. Car les organisations qui promeuvent cette culture auprès de leur personnel sont plus susceptibles de se défendre.

Idée reçue n°4 : Il est impossible de prévenir le risque cyber

L’entreprise doit s’informer régulièrement des dernières tendances et des menaces cyber, via notamment une veille internalisée et exhaustive. Les séances des conseils d’administration et les réunions de direction doivent également évoquer ces problématiques majeures pour en évaluer les risques et les impacts. Enfin, il est conseillé de désigner un leader sur la question du risque cyber dans l’entreprise. Ce dernier devant avoir une vision à la fois technique, managériale et stratégique, afin qu’il puisse informer et participer à la coordination de façon efficace en cas de crise, comme expert interne.

En conclusion, il semble fondamental d’intégrer l’ensemble des acteurs d’une entreprise dans la sécurisation des données : des directeurs métiers, aux juristes en passant évidemment par les informaticiens. Mais le maitre mot reste avant tout la préparation, en mettant en place au préalable un système de détection des crises autour d’indicateurs prédéfinis, assisté par une analyse poussée des risques de « surinfection » et un process codifié de communication à l’égard des différentes parties-prenantes de l’entreprise (sous-traitants, autorités et clients). Car comme le dit l’adage latin Si vis crisem, para nada : « Si tu veux une crise, ne prépare rien ».

Image : © Philipp Katzenberger