Instaurer la culture de la cyber-sécurité : un enjeu majeur pour les entreprises

Instaurer la culture de la cyber-sécurité : un enjeu majeur pour les entreprises

1ère publication en mars 2019 (c) Veille Mag

Partagé sur le site www.communication-sensible.com

À l’heure où les cyber-attaques se multiplient, se diversifient et impactent de nombreuses organisations, acquérir et promouvoir une culture de la cyber-sécurité dans les entreprises est devenu une priorité pour les décideurs économiques. Cependant, pour certains, le sujet reste non prioritaire pour plusieurs raisons : le sentiment d’invulnérabilité, une méconnaissance du sujet, voire parfois la délégation de la cyber-sécurité aux experts des SI. Il nous semble aujourd’hui nécessaire de sensibiliser les dirigeants à la nécessité d’une approche globale de la cyber-sécurité basée sur une gouvernance claire, une stratégie de prévention et de réponse ainsi que des compétences adaptées et des outils adéquats.

En somme, il est nécessaire de permettre l’émergence d’une culture de la cyber-sécurité. Ce qui passe également par une formation de l’ensemble des collaborateurs.

Idée reçue n°1 : La cyber-sécurité est une gestion de moyens

Les dirigeants d’entreprise doivent savoir à présent que la cyber-sécurité n’est plus un problème résolu simplement en investissant davantage dans les logiciels et les équipements. Les cyberattaques d’aujourd’hui sont de plus en plus sophistiquées et complexes, menées par des organisations professionnelles qui innovent plus vite que leurs cibles. Les hackers utilisent des moyens diversifiés afin d’obtenir toute information pouvant être monétisée ou utilisée pour atteindre leurs objectifs. Leurs objectifs sont multiples : s’enrichir, fragiliser l’image et la réputation d’une entreprise ou de ses dirigeants, l’activisme ou perturber la continuité d’activité etc.

Idée reçue n°2 : La cyber-sécurité est une responsabilité des SI

Il est nécessaire pour un dirigeant souhaitant évaluer la cyber-sécurité de son entreprise, de savoir si les mesures existantes sont capables de prévenir, de détecter et de répondre adéquatement aux attaques, plutôt que de simplement se conformer aux meilleures pratiques de l’industrie. Le directeur des systèmes d’informations (DSI) ne peut et ne doit pas accepter l’entière responsabilité de la gestion de ce risque. Il doit être partagé avec les principaux dirigeants et inclure chaque collaborateur ayant accès aux installations de l’organisation. Ce qui nécessite une culture du risque cyber à l’échelle de l’ensemble de la société.

Idée reçue n°3 : Seule la technologie est vulnérable

Tout aussi cruciale, toutes les vulnérabilités ne proviennent pas seulement des technologies elles-mêmes. Les aspects comportementaux entrent également en jeu. Par exemple, un manque de sensibilisation à la cyber-sécurité au sein d’une entreprise peut exposer par inadvertance des systèmes à des attaques informatiques. En outre, de nombreux employés croient simplement que leurs systèmes sont une cible improbable. Ils sont donc réticents à accepter la nécessité de changer leurs comportements, notamment sur les réseaux sociaux et la conduite à tenir en ligne, et à mettre en œuvre de nombreux protocoles de sécurité. La prise en compte des comportements est donc une étape importante dans le déploiement de la culture de la cyber-sécurité. Car les organisations qui promeuvent cette culture auprès de leur personnel sont plus susceptibles de se défendre.

Idée reçue n°4 : Il est impossible de prévenir le risque cyber

L’entreprise doit s’informer régulièrement des dernières tendances et des menaces cyber, via notamment une veille internalisée et exhaustive. Les séances des conseils d’administration et les réunions de direction doivent également évoquer ces problématiques majeures pour en évaluer les risques et les impacts. Enfin, il est conseillé de désigner un leader sur la question du risque cyber dans l’entreprise. Ce dernier devant avoir une vision à la fois technique, managériale et stratégique, afin qu’il puisse informer et participer à la coordination de façon efficace en cas de crise, comme expert interne.

En conclusion, il semble fondamental d’intégrer l’ensemble des acteurs d’une entreprise dans la sécurisation des données : des directeurs métiers, aux juristes en passant évidemment par les informaticiens. Mais le maitre mot reste avant tout la préparation, en mettant en place au préalable un système de détection des crises autour d’indicateurs prédéfinis, assisté par une analyse poussée des risques de « surinfection » et un process codifié de communication à l’égard des différentes parties-prenantes de l’entreprise (sous-traitants, autorités et clients). Car comme le dit l’adage latin Si vis crisem, para nada : « Si tu veux une crise, ne prépare rien ».

 

Image : © Philipp Katzenberger

À lire aussi

3 questions à Natalie Maroun

Journée Cyber crises, le lundi 19 septembre 2022 à Paris. Pourquoi une journée dédiée à la gestion des cybercrises ? Cybersécurité,  gestion de cybercrise, ne parle-t-on pas de la même chose ? Les organisations doivent-elles donc se doter d’un plan de gestion de crise dédié au risque cyber ?...

L’affaire Vinci : de la fragilité de la communication financière

Le hoax qui a impacté l’entreprise française Vinci le 22 novembre soulève la question de la fragilité des circuits de l’information. En effet, comment un simple communiqué de presse frauduleux a-t-il pu causer la perte de 7 milliards d’euros de valorisation boursière en quelques minutes à ce géant du BTP ? Ce n’est pas la première fois que la diffusion de faits erronés par l’agence Bloomberg cause du tort à des entreprises cotées en bourse. Emulex en avait fait les frais en 2000....

La communication de crise au service de la sobriété énergétique

« Je baisse, j’éteins, je décale » : la campagne de communication lancée par le Gouvernement veut encourager les Français à s’inscrire dans la démarche de sobriété énergétique. Mais ces gestes simples pour un foyer deviennent un véritable casse-tête pour une collectivité territoriale pour laquelle toute dégradation ou interruption d’un service public peut avoir des impacts sur les citoyens ou les agents et devenir un enjeu politique majeur....

Vous avez des questions ?
Vous souhaitez venir à notre rencontre ?

element

Le 47
47 boulevard Sébastopol
75001 - PARIS
Nathalie MAROUN
Tél : +33 607 86 18 89

Run'Concept

177 bis, route nationale de l'Ermitage
97434 - Saint-Gilles-les-bains
Romain LEFEBVRE
Tél : +262 692 61 65 00