La multiplication des récentes cyberattaques dans l’actualité nécessite une prise de conscience accrue en matière de cybersécurité au niveau des entreprises.
Le risque lié aux cyber-attaques est devenu le deuxième le plus redouté derrière la cessation d’activité et juste devant celui lié aux catastrophes naturelles, selon le baromètre mondial d’Allianz 2018. Les entreprises, y compris celles en pleine expansion, n’ont pas encore adopté toutes les pratiques adéquates pour anticiper et minimiser l’impact d’un cyber-risque.
Les enjeux de la cybersécurité
Tendances de la cybersécurité
Selon Jean-Philippe Gaulier, ancien responsable de la sécurité des systèmes d’information (RSSI) au sein du groupe Orange, la stratégie de cybersécurité doit être renforcée par un rôle accru du directeur des systèmes d’information et des budgets consacrés qui doivent représenter 10 % du budget du DSI.
D’après une enquête internationale menée par la société de cybersécurité Kapersky, publiée ce 5 décembre, 36% des RSSI ne parviendraient pas à débloquer les budgets nécessaires à la protection de l’entreprise. Avec la hausse du nombre de cyber-attaques ces dernières années, le budget des RSSI n’a cessé d’augmenter pour atteindre un montant total de 90 milliards de dollars en matière de dépenses au niveau mondial, en 2017.
Cette tendance devrait se confirmer dans les années à venir, à travers notamment l’’acquisition de logiciels de DPL (Data Loss Prevention. Cela s’explique par une tendance à la hausse du risque-cyber et aussi avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD), depuis le 25 mai. Cette législation européenne impose aux entreprises de garantir la sécurité des données de leurs employés, partenaires et clients, sous peine de lourdes sanctions pouvant représenter jusqu’à 4% de son chiffre d’affaires mondial.
Nous proposons une formation sur les concepts, principes, et situations à risques en lien avec la sécurité informatique :
Cybersécurité : différentes phases à mettre en œuvre
Peuvent être distingués différents outils en lien avec la cybersécurité :
- des outils « en amont » afin de prévenir d’une éventuelle attaque
- des outils de détection, pour ceux qui repèrent les anomalies
- des outils de remédiation ou d’analyse et des outils de correction
Les PME et TPE, n’ayant pas forcément les ressources pour investir dans ces outils, s’appuient sur des prestataires spécialisés pour souscrire à des cyber-assurance.
La sensibilisation des salariés à la cybersécurité
L’importance de la formation à la cybersécurité
Outre la dimension budgétaire, la cybersécurité en entreprise passe également par la formation. On peut prendre le cas du groupe Deloitte, qui est l’un des quatre plus gros cabinets d’audit au monde, et qui a pourtant été victime d’une cyberattaque en 2017.comme l’a révélé le Guardian en 2017. Il existe un besoin croissant afin d’inciter les entreprises à déployer des politiques de sensibilisation et de formation.
En matière de cybersécurité en entreprise, la dimension humaine reste encore fortement négligée. Pourtant, l’humain derrière son écran est en première ligne et peut devenir efficace face aux risques informatiques, s’il est réellement sensibilisé à ces enjeux et formé.
En effet, l’utilisateur final, à travers ses mauvaises pratiques, apparaît souvent comme le principal maillon faible de la sécurité informatique.
Il peut d’agir notamment de consultations de pages web douteuses ou de fichiers joints malveillants, qui peuvent infecter un ordinateur.
Près d’une entreprise française sur trois en 2016 estime que ses collaborateurs sont involontairement à l’origine de certaines attaques informatiques subies. Le moyen le plus simple demeure l’utilisation de ressources informatiques d’un utilisateur lambda afin de pénétrer un système d’information.
Les outils et bonnes pratiques de la cybersécurité en interne
La formation des collaborateurs aux bonnes pratiques en matière de cybersécurité peut s’appuyer sur divers outils :
- charte informatique,pour formaliser les bonnes pratiques
- sessions d’e-learning,pour former chaque collaborateur à son rythme
- formations de groupe
- sessions de live-hacking(répondre à une attaque factice)
Ce travail de sensibilisation et de formation doit suivre quelques règles générales :
- proposer des contenus en lien avec les usages réels des utilisateurs,
- se restreindre aux sujets les plus pertinents dans le contexte de l’entreprise, en les approfondissant
- réaliser un contrôle des acquis en fin de formation
L’utilisateur ne doit être perçu comme le problème, mais plutôt comme l’un des leviers de la sécurité et doit être responsabilisé dans ce cadre.
La croissance liée aux risques cyber pose des interrogations d’ordre juridique. Les entreprises travaillent de plus en plus avec des professionnels de justice dont les huissiers pour établir des constats d’incidents. Ces constats ne sont d’ailleurs pas normés, ce qui génère un réel flou juridique qu’il faut résoudre.
