Instaurer la culture de la cyber-sécurité : un enjeu majeur pour les entreprises

Instaurer la culture de la cyber-sécurité : un enjeu majeur pour les entreprises

1ère publication en mars 2019 (c) Veille Mag

Partagé sur le site www.communication-sensible.com

À l’heure où les cyber-attaques se multiplient, se diversifient et impactent de nombreuses organisations, acquérir et promouvoir une culture de la cyber-sécurité dans les entreprises est devenu une priorité pour les décideurs économiques. Cependant, pour certains, le sujet reste non prioritaire pour plusieurs raisons : le sentiment d’invulnérabilité, une méconnaissance du sujet, voire parfois la délégation de la cyber-sécurité aux experts des SI. Il nous semble aujourd’hui nécessaire de sensibiliser les dirigeants à la nécessité d’une approche globale de la cyber-sécurité basée sur une gouvernance claire, une stratégie de prévention et de réponse ainsi que des compétences adaptées et des outils adéquats.

En somme, il est nécessaire de permettre l’émergence d’une culture de la cyber-sécurité. Ce qui passe également par une formation de l’ensemble des collaborateurs.

Idée reçue n°1 : La cyber-sécurité est une gestion de moyens

Les dirigeants d’entreprise doivent savoir à présent que la cyber-sécurité n’est plus un problème résolu simplement en investissant davantage dans les logiciels et les équipements. Les cyberattaques d’aujourd’hui sont de plus en plus sophistiquées et complexes, menées par des organisations professionnelles qui innovent plus vite que leurs cibles. Les hackers utilisent des moyens diversifiés afin d’obtenir toute information pouvant être monétisée ou utilisée pour atteindre leurs objectifs. Leurs objectifs sont multiples : s’enrichir, fragiliser l’image et la réputation d’une entreprise ou de ses dirigeants, l’activisme ou perturber la continuité d’activité etc.

Idée reçue n°2 : La cyber-sécurité est une responsabilité des SI

Il est nécessaire pour un dirigeant souhaitant évaluer la cyber-sécurité de son entreprise, de savoir si les mesures existantes sont capables de prévenir, de détecter et de répondre adéquatement aux attaques, plutôt que de simplement se conformer aux meilleures pratiques de l’industrie. Le directeur des systèmes d’informations (DSI) ne peut et ne doit pas accepter l’entière responsabilité de la gestion de ce risque. Il doit être partagé avec les principaux dirigeants et inclure chaque collaborateur ayant accès aux installations de l’organisation. Ce qui nécessite une culture du risque cyber à l’échelle de l’ensemble de la société.

Idée reçue n°3 : Seule la technologie est vulnérable

Tout aussi cruciale, toutes les vulnérabilités ne proviennent pas seulement des technologies elles-mêmes. Les aspects comportementaux entrent également en jeu. Par exemple, un manque de sensibilisation à la cyber-sécurité au sein d’une entreprise peut exposer par inadvertance des systèmes à des attaques informatiques. En outre, de nombreux employés croient simplement que leurs systèmes sont une cible improbable. Ils sont donc réticents à accepter la nécessité de changer leurs comportements, notamment sur les réseaux sociaux et la conduite à tenir en ligne, et à mettre en œuvre de nombreux protocoles de sécurité. La prise en compte des comportements est donc une étape importante dans le déploiement de la culture de la cyber-sécurité. Car les organisations qui promeuvent cette culture auprès de leur personnel sont plus susceptibles de se défendre.

Idée reçue n°4 : Il est impossible de prévenir le risque cyber

L’entreprise doit s’informer régulièrement des dernières tendances et des menaces cyber, via notamment une veille internalisée et exhaustive. Les séances des conseils d’administration et les réunions de direction doivent également évoquer ces problématiques majeures pour en évaluer les risques et les impacts. Enfin, il est conseillé de désigner un leader sur la question du risque cyber dans l’entreprise. Ce dernier devant avoir une vision à la fois technique, managériale et stratégique, afin qu’il puisse informer et participer à la coordination de façon efficace en cas de crise, comme expert interne.

En conclusion, il semble fondamental d’intégrer l’ensemble des acteurs d’une entreprise dans la sécurisation des données : des directeurs métiers, aux juristes en passant évidemment par les informaticiens. Mais le maitre mot reste avant tout la préparation, en mettant en place au préalable un système de détection des crises autour d’indicateurs prédéfinis, assisté par une analyse poussée des risques de « surinfection » et un process codifié de communication à l’égard des différentes parties-prenantes de l’entreprise (sous-traitants, autorités et clients). Car comme le dit l’adage latin Si vis crisem, para nada : « Si tu veux une crise, ne prépare rien ».

 

Image : © Philipp Katzenberger

À lire aussi

Orange lance le Ti Forfait mobile avec un accompagnement gratuit pour les parents

Orange à La Réunion lance « Ti Forfait » et propose des conseils et services gratuits en boutique pour accompagner les parents qui souhaitent équiper leur adolescent de leur premier mobile....

Good connections : rencontre sportive nationale pour sensibiliser 2 000 jeunes au Handicap et au bon usage du numérique

Au stade de Champ Fleuri, 210 jeunes participent ce15 mai à l’évènement sportif Good Connections. Dans le cadre de son partenariat avec Paris 2024 et de son...

L’entreprise Australe Concrete redonne des couleurs aux 100 000 m² de la corniche de Dakar

L'entreprise saint-pierroise Australe Concrete, réputée pour son savoir-faire en béton décoratif et drainant bas carbone, s’inscrit au cœur d'une transformation...

Vous avez des questions ?
Vous souhaitez venir à notre rencontre ?

element

Le 47
47 boulevard Sébastopol
75001 - PARIS
Nathalie MAROUN
Tél : +33 607 86 18 89

Run'Concept

211 rue du général Lambert
97436 - Saint-Leu
Romain LEFEBVRE
Tél : +262 692 61 65 00