Toutes les semaines, tous les jours même, de nouvelles entreprises sont visées par des hackers. Plutôt que de camper le rôle de la victime naïve, il serait grand temps d’engager une démarche proactive quant à la sensibilisation aux enjeux et aux bonnes pratiques de la cybersécurité.
Ne pas se fier aux seules affaires qui sortent dans la presse grand public : les multinationales, comme la plateforme de vidéo Twitch dernièrement, ne sont pas les seules entreprises qui risquent de se trouver dans le viseur des réseaux de hackers. Au contraire, on estimait déjà en 2015 que près de la moitié des attaques visaient des PME. Tandis que notre réponse aux menaces en ligne s’annonce comme l’un des grands défis de la décennie à venir, la main-d’œuvre compétente est insuffisante – on estime qu’il manque, cette année, 3,5 millions d’experts en cybersécurité, notamment par manque de formations supérieures bien calibrées pour les besoins du monde de l’entreprise. De fait, il est impératif de changer la vision que l’on se fait de la cybersécurité et de comprendre qu’elle est l’affaire de tous.
« Pas besoin d’être expert pour déjouer la plupart des cyberattaques », E. Macron
« Les personnes en charge de la sécurité numérique sont souvent vues comme des magiciens, rit jaune une étude du cabinet de conseil Gartner. Les dirigeants les payent et eux lancent leurs sorts. » Un bon résumé de l’impasse dans laquelle se trouvent bon nombre d’entreprises aujourd’hui. Car plutôt qu’une matière mystérieuse dévolue à des petits génies de la tech, la sécurité est dans les mains de tous les collaborateurs. La raison est simple : c’est d’eux que vient le plus souvent la menace. « Le plus gros enjeu, c’est l’utilisateur lui-même. On le répète souvent, c’est la vulnérabilité la plus exploitable », confirme Jose Araujo, CTO d’Orange Cyberdéfense.
Au moment d’annoncer son plan de lutte contre les cyber-menaces, Emmanuel Macron n’a pas dit autre chose. Parmi les axes défendus par le président de la République, une prise de conscience de chacun de son rôle de rempart. « Il nous faut sensibiliser : pas besoin d’être expert pour déjouer la plupart des cyberattaques, insistait-il au printemps. Elles s’appuient souvent sur des négligences : un mot de passe trop évident, un fichier douteux, une demande suspecte par mail… » Pour assurer la diffusion des bonnes pratiques, tout un système de formations reste encore à inventer. Pas besoin de transformer chaque travailleur en un expert de la cybersécurité et qu’il suive des années d’études juste sur ce sujet. Au contraire, le besoin est si pressant qu’il est nécessaire de proposer des cursus court de formation.
D’autant que la sensibilisation de l’ensemble des collaborateurs, si elle est correctement mise en place, est une méthode qui fonctionne. En 2020, une équipe de chercheurs du MIT a ainsi testé l’efficacité de cette stratégie. Intégrés plusieurs mois au sein de Yahoo, les universitaires n’ont pas modifié la structure technique de l’entreprise, mais bien sa culture, en informant davantage les salariés sur les types de menaces et surtout sur les moyens de les reconnaître et de s’en défendre. Résultat, le nombre de collaborateurs capable de distinguer un email frauduleux, type phishing, a doublé en quelques mois.
De plus en plus de risques liés au télétravail
Si les conclusions de cette expérimentation sont satisfaisantes, la marge pour construire un écosystème sans danger reste énorme. La crise sanitaire et le passage contraint au télétravail a prouvé que l’impréparation et la méconnaissance de ces questions étaient dangereuses. L’année passée, plus de 9 entreprises françaises sur 10 ont été visées par une cyberattaque. Pour une raison simple : déjà mal formés aux bonnes pratiques au sein de leur entreprise, nombre de collaborateurs ont relâché encore davantage leur méfiance une fois chez eux. « Si le télétravail a été utile pour assurer une continuité pour les entreprises, il a également occasionné bien des risques, car les employés se sont connectés depuis le réseau internet familiale, moins bien sécurisé », regrette le manager général de Kapersky en Asie du Sud, Dipesh Kaura.
Contre cela, les mois de confinement ont vu la mise en place progressive de clefs sécurisées et de VPN. Pour autant, sans un effort soutenu de sensibilisation ces solutions techniques n’auront pas l’impact espéré par les dirigeants et les services techniques. Ainsi, une étude publiée en septembre alertait sur l’inertie, voire la mauvaise volonté, d’un grand nombre de collaborateurs. Parmi les personnes interrogées, un tiers a admis, par exemple, utiliser son ordinateur professionnel pour un usage personnel, multipliant les risques de rencontrer une menace affectant l’ensemble de sa société. Plus grave encore, une personne sur cinq a reconnu ramener chez soi du matériel de l’entreprise sans en avoir informé son supérieur.
De manière générale, pas moins de 33 % des répondants ont expliqué qu’ils ne prennent aucune mesure particulière au moment de transporter et d’utiliser à la maison des appareils qui ont accès à des données sensibles pour leur entreprise. Plus d’une personne sur dix affirme même n’avoir absolument aucune volonté de prendre la cybersécurité au sérieux… « C’est vraiment frustrant, déplore Ian Jennings de BlueFort Security, auteur de l’étude. Bien qu’au courant des risques, beaucoup trop de collaborateurs ne montrent aucune envie de changer leurs habitudes pour aider leurs collègues, déjà sous l’eau, en charge de la cybersécurité. (…) Les résultats de l’étude prouvent qu’une meilleure éducation à ces enjeux est nécessaire. » Alors que le futur de l’entreprise se jouera autant dans les open-spaces que sur nos canapés, cette sensibilisation aux bons usages doit devenir notre priorité.