Cybersécurité : 5 pistes pour bâtir la stratégie béton de votre entreprise

65 % des organisations ont signalé une hausse du nombre d’attaques pendant la pandémie. Quels que soient la taille et le secteur de l’entreprise, le sujet de la cybersécurité devient crucial à l’heure où le télétravail s’installe et les systèmes d’information se complexifient. Alors qu’une grande majorité des attaques est dûe à une erreur humaine (plus de 90 %), pour lutter efficacement contre la montée de la cybercriminalité, il est important d’agir auprès des collaborateurs et collaboratrices. Il ne s’agit pas de les culpabiliser, mais davantage de les sensibiliser et de les (in)former sur l’adoption de nouveaux réflexes afin que chaque personne puisse devenir un rempart, à son échelle.

La cybersécurité : un enjeu central pour l’entreprise hybride

Les entreprises font partie des cibles privilégiées des hackers : une nouvelle étude mondiale menée auprès de plus de 1200 responsables de la sécurité (RSSI) a révélé que 49 % des organisations déclarent avoir subi une violation de données depuis 2020, contre 39 % précédemment. Face à cette augmentation, si l’entreprise n’a pas mis en place les protections nécessaires, elle encourt des risques majeurs : un site commerçant mis hors d’usage ou une fuite de données confidentielles peuvent avoir des conséquences désastreuses sur tout son écosystème. Selon la même enquête, la majorité des RSSI (54 %) signale que les applications critiques de l’entreprise subissent au moins une fois par mois des interruptions imprévues en raison d’un incident de cybersécurité. La perte estimée est gigantesque : le coût horaire des temps d’arrêt des applications critiques pour l’entreprise s’élève, en moyenne, à 200 000 $.

Comment expliquer ce « cyber contexte » ? Le travail à distance et les autres mesures sanitaires ont été source de pression pour les équipes de cybersécurité. 65 % des organisations ont constaté une augmentation mesurable des tentatives de cyberattaques. Ce qui est problématique en contexte hybride puisque 78 % des RSSI affirment que les travailleurs et travailleuses en remote sont plus difficiles à sécuriser. Florian Gilet, RSSI de Magellan Partners et ancien enquêteur cyber dans la gendarmerie pendant 20 ans, souligne un point clé : « La majorité des tentatives de phishing (hameçonnage) ont lieu par messagerie : s’il existe des outils de protection, ils sont insuffisants car les salariés restent la première protection des entreprises ». Sachant que 90 % des incidents de cybersécurité sont causés par une erreur humaine, selon IBM dans son indice relatif à la veille stratégique en matière de sécurité, la prévention des équipes est devenue un enjeu majeur.

5 incontournables pour bâtir une culture forte autour de la cybersécurité

Évaluer son niveau de cybersécurité

Pour déployer un dispositif anti-cybercriminalité, la première étape est de s’auto-évaluer. Où en sont votre site web, vos applications ou encore votre architecture informatique ? Pour assurer une sécurité la plus optimale possible, il est nécessaire de faire une revue régulière des paramètres de sécurité de son site web et de procéder aux mises à jour nécessaires, par exemple. Pour cela, les services du Haut fonctionnaire de défense et de sécurité du ministère de l’économie et des finances permettent de réaliser gratuitement un auto-diagnostic de cybersécurité afin de vérifier que les protections ou celles des partenaires et fournisseurs sont bien en place. Pour guider les entreprises, le service met à disposition une gamme d’outils de diagnostic des pratiques courantes les plus impactantes pour la cybersécurité.

Créer un premier rempart avec un système d’information en béton

La première étape pour se protéger de cyberattaques est de se doter d’un équipement informatique efficace et régulièrement mis à jour. Les bonnes pratiques ?

• Réaliser les mises à jour des logiciels en respectant les conditions d’utilisation qui accompagnent la plupart des appareils, notamment les antivirus, les systèmes d’exploitation, les postes et les serveurs. « Ces organes de sécurité, s’ils ne sont pas à jour, sont les premières failles d’un système d’information », insiste Florian Gilet.
• Utiliser le filtre contre l’hameçonnage du navigateur Internet : la plupart des navigateurs existants proposent une fonctionnalité d’avertissement contre le phishing. Il existe des outils pour protéger ordinateurs et téléphones de ces attaques. Par exemple, le protocole DMARC (Domain-based Message Authentication Reporting and Conformance) assure la protection des courriers électroniques en s’appuyant sur des normes qui permettent de vérifier que les courriers entrants proviennent d’une adresse IP autorisée par les administrateurs d’un domaine donné, ou de détecter les usurpations d’identité.
• Ne pas oublier d’organiser une sauvegarde cohérente et sécurisée : « Si l’entreprise subit une attaque de destruction par exemple, il est plus facile de remonter le système d’information », souligne Florian Gilet.

Autre point essentiel : les équipes de cybersécurité doivent acquérir une compréhension et une visibilité complètes sur leurs infrastructures. « Quand c’est possible, il est préférable d’avoir un service IT avec des compétences internes. C’est une étape clé car l’entreprise maîtrise l’hébergement de ses données ainsi que ses circuits d’information », souligne Magali Causse, DRH de Logitrade, une société d’externalisation de la fonction achat qui milite et agit en faveur de la cybersécurité.

Miser sur la prévention continue auprès de tous

S’il existe certaines précautions informatiques à prendre pour prévenir les risques de violation, tous les collaborateurs et collaboratrices doivent devenir moteur et responsables dans ce domaine. Comment mettre en place une culture de la vigilance ? Il faut informer sur les risques de la cybercriminalité. Le département RH, conjointement à la DSI, a un rôle déterminant à jouer dans ces opérations de sensibilisation en lançant une démarche globale de prévention. Chez Logitrade, un dispositif transversal a été imaginé pour impliquer l’ensemble des effectifs, du stagiaire au CODIR. « Nous avons créé un programme avec notre administrateur système, un ancien alternant qui est là depuis plus de 6 ans, qui connaît très bien les problématiques d’accès au système informatique de nos équipes. C’était dans le cadre du lancement de notre nouvel outil BuyxSell. Nous avons redoublé d’efforts pour sensibiliser nos collaborateurs aux risques cyber », explique Magali Causse. Les points forts de ce dispositif ?

• Des sessions de sensibilisation auxquelles on participe dès l’arrivée dans l’entreprise : « Ça fait partie de l’onboarding et c’est une étape obligatoire ». Cette formation permet de comprendre l’architecture informatique dans laquelle on va travailler. Elle est étayée par des exemples concrets de risques informatiques : perte de propriété intellectuelle, conséquences financières, etc.
• La formation se termine par un quiz qui évalue le niveau de maîtrise : « Cela permet de disposer de statistiques fiables sur le niveau d’appropriation des équipes. Si le score est insuffisant, la personne doit refaire une nouvelle session ». La DRH souligne le côté ludique du quiz qui met en compétition les participants et les participantes, et les motive. Une bonne pratique pour éviter l’approche trop scolaire.
• Des campagnes d’affichage décalées : dans les locaux, des posters humoristiques à vocation pédagogique sont mis en évidence pour apprendre les bons réflexes et usages (créer un mot de passe sécurisé, ne pas répondre à certains emails douteux…).
• Un partage régulier de vidéos pédagogiques : « Nous utilisons des vidéos disponibles sur l’Hackademy, qui permettent de sensibiliser nos salariés à la fois au niveau professionnel et personnel ».
• La mise en situation pour tester la capacité à déceler le phishing : « Parfois, nous testons les salariés avec de fausses campagnes d’hameçonnage. Cela permet d’identifier s’ils savent identifier un fichier douteux et comment ils réagissent : vont-ils voir le bon interlocuteur ? À quel moment ? ».

Créer une charte d’utilisation SI et accompagner le changement

Pour embarquer l’ensemble des équipes vers une posture de vigilance informatique, comme tout projet de changement, il faut proposer une démarche portée par toutes les parties prenantes, notamment la direction. « Au sein de Logitrade, chacun s’engage au travers d’une charte d’utilisation du SI qu’il signe à son arrivée. Celle-ci a été créée afin de donner une définition de ce qu’est la sécurité informatique chez nous et poser un cadre sur ce qui est autorisé ou non. C’est d’autant plus important depuis la période COVID : où les salariés peuvent se connecter ou non ? Dans quelles conditions ? Quid d’une connexion sécurisée », explique Magali Causse. La charte est donc un outil de vulgarisation engageant, qui facilite la mise en place de nouvelles habitudes individuelles et collectives. Mais l’ancrage et la maîtrise de réflexes de vigilance se font dans la durée grâce à un accompagnement progressif : « Il faut accompagner les collaborateurs dans la mise en place de nouveaux processus comme la classification des documents », explique Florian Gilet.

Créer une cellule cybersécurité et un processus d’alerte clair

Afin d’organiser au mieux la cybersécurité, il peut être pertinent de désigner un ou une responsable de la sécurité des systèmes d’information. « Généralement, c’est un responsable de la cybersécurité qui va centraliser et gérer les problématiques. Mais, il faut qu’il s’appuie sur des relais internes car la cybersécurité implique divers acteurs (juridique, DSI, manager…). C’est pourquoi il vaut mieux s’organiser en cellule », explique Magali Causse. L’équipe doit donc être régulièrement formée sur les différents aspects de la cybersécurité comme le règlement général sur la protection des données (RGPD) ou les typologies d’attaques. Il existe des organismes spécialisés pour suivre la montée en compétences et la mettre à jour. « Les plus petites structures, telles que les TPE ou les start-up, peuvent aussi se former et se faire aider via des actions locales dans les CCI, par exemple », souligne Florian Gilet. Par ailleurs, de la documentation est mise à disposition par le Ministère du travail comme ces fiches pratiques cybersécurité pour les entreprises. En complément d’une cellule régulièrement formée, il est indispensable de bâtir un processus clair d’alerte pour que les équipes puissent être proactives. En effet, les attaques peuvent durer plusieurs jours : plus ce laps de temps est court, plus les dégâts sont limités. En cas d’attaque, on doit apprendre à réagir vite en suivant des réflexes de sécurité : « Il est donc important de veiller à instaurer un cadre déculpabilisant afin que les salariés n’aient pas peur de se tourner vers les bons relais et interlocuteurs », insiste Magali Causse.

_
Article édité par Ariane Picoche, photo : Thomas Decamps pour WTTJ