Cybersécurité : une culture à insuffler à tous les étages

En matière de sécurité informatique, le processus d’acculturation est multiple et complexe. Il ne suffit pas d’investir dans les technologies de cybersécurité pour être à l’abri. Il apparaît nécessaire de miser sur les organisations, les processus et les managers de proximité. Quitte à organiser des exercices de cybercrise. Et à utiliser les mêmes outils que les pirates.

Faux sites de vente de masques chirurgicaux, attaque au faux président, rançongiciels… Les pirates du monde entier ont profité de la brèche du coronavirus pour intensifier la propagation de leurs infections. En effet, le confinement a contraint de nombreuses entreprises à mettre précipitamment leurs salariés au télétravail. « La cybermalveillance est le revers de la digitalisation. Les modes de piratage sont proportionnels à ce que les entreprises ont exposé sur Internet pour dépasser leurs concurrents », soulève Alain Bouillé, président du Cesin (¹). Au-delà des indispensables outils de protection, la cybersécurité repose avant tout sur l’humain. Facile à dire. Car sensibiliser ses équipes aux cyber-risques ne se limite pas à l’application de quelques règles élémentaires. L’enjeu consiste surtout à instiller une véritable culture de la cybersécurité au sein de l’organisation. Panorama des meilleures pratiques.

Les entreprises pas si mal loties en période normale

Bonne nouvelle, les entreprises ne sont pas si mal équipées, selon le baromètre 2020 de la cybersécurité du Cesin. D’ailleurs, 39 % d’entre elles sont prêtes à affronter de fortes cyberattaques. Avec une douzaine de solutions installées, elles se protègent mieux. Pour 83 % des sociétés interrogées, ces solutions sont même jugées adaptées aux besoins. Par ailleurs, quatre entreprises sur dix choisissent de faire appel à des solutions innovantes ou proposées par des start-up. Les autres invoquent le manque de maturité de ces solutions. Qui plus est, 91 % des entreprises instaurent un programme de cyber-résilience ou envisagent de le faire. L’année dernière, elles étaient 79 %. De même, elles sont plus nombreuses (60 %) à avoir souscrit une cyberassurance (50 % en 2019).

Des salariés sensibilisés aux cyber-risques mais forcément impliqués

Revers de la médaille, il ne suffit pas d’investir dans des solutions technologiques de cybersécurité pour que l’entreprise soit protégée. D’ailleurs, dans l’étude du Cesin, 98 % des usages numériques réalisés par les salariés présentent des risques (Shadow IT). D’après les RSSI (²), 74 % des salariés sont pourtant sensibilisés aux cyber-risques. Cependant, visiblement, ils manquent d’implication. Pour preuve, ils sont seulement la moitié à respecter les recommandations de cybersécurité. Pour enrayer ce phénomène, 77 % des entreprises instaurent des procédures pour tester l’application des recommandations par les salariés. Comme l’envoi de faux mail de pirates.

L’humain, maillon faible

« En matière de cybersécurité, l’humain est le principal point de vulnérabilité, estime dans son blog Franck Nielacny, directeur des systèmes d’information chez Stormshield, spécialiste de sécurité des infrastructures digitales (filiale d’Airbus CyberSecurity). Que ce soit par accident (erreur, non-respect ou oubli des consignes…). Que ce soit par compromission – à son insu, le salarié est vecteur d’une intrusion malveillante. Ou que ce soit par préméditation – pour diverses raisons, le collaborateur veut intentionnellement nuire à l’entreprise. » Entre ces deux cas de figure, la typologie des maillons faibles est très large. « À un niveau individuel, on trouve vos enfants, votre conjoint (ou conjointe) et toute la série des « ex ». Et au niveau de l’entreprise, il faut penser aux ex-salariés mécontents ou encore aux collaborateurs maladroits, voire peu précautionneux », précise Gaël Musquet, hacker éthique, hébergé par l’Armée américaine sur la base aérienne 105 à Évreux.

Donner les bons outils aux salariés

En raison du confinement dû au coronavirus, certaines entreprises ont généralisé le télétravail du jour au lendemain. Sans y être préparées. Il leur a été difficile d’équiper 100 % de leur personnel avec les outils de sécurité nécessaires : « Un réseau privé virtuel (VPN) suffisamment dimensionné pour accueillir tout le monde. Puis un système d’authentification forte. Sans oublier les Virtual Desktop Infrastructures (VDI) pour travailler sur les données de l’entreprise. Au lieu de les rapatrier sur le PC de la maison, décrit Gérôme Billois, expert en cybersécurité et gestion des risques numériques au cabinet Wavestone. Ces faiblesses peuvent ouvrir la porte aux pirates. Notamment si le salarié a le même mot de passe pour la vie professionnelle et la vie personnelle. Les pirates peuvent le dérober via des arnaques prétendant vendre des masques chirurgicaux. » Fournir les bons outils aux salariés constitue donc le socle technologique nécessaire pour asseoir la culture de la cybersécurité.

Automatiser les processus de connexion

À cet égard, les entreprises peuvent également s’adresser à un gestionnaire de parc informatique. Lequel va adapter à la demande leurs infrastructures au télétravail. Comme les téléformations à la sécurité et extension du VPN. Ou la distribution au domicile des salariés de Laptops configurés et sécurisés selon la stratégie de l’entreprise. « Nous savons qui se connecte au système d’information de l’entreprise, selon quels droits et pour quelles applications, fait valoir Jean-Benoît Nonque, responsable Europe du sud chez Ivanti, un gestionnaire de parc. Si, avec l’accord de l’entreprise, le salarié se connecte avec un ordinateur personnel, nous installons automatiquement les logiciels de l’entreprise. Notamment le VPN et les logiciels de sécurité. Il travaillera comme s’il avait un PC professionnel. »

Faire de la cybersécurité de l’entreprise l’affaire de tous

Reste à convaincre chacun que la cybersécurité est l’affaire de tous. Cette acculturation s’appuie d’abord sur un manuel des règles élémentaires de cybersécurité. Celui-ci comprendra aussi les coordonnées des personnes à contacter en cas de problème ou de doute. La démarche va également s’appuyer sur cinq acteurs clés : « La direction générale, des représentants des collaborateurs (CSE), les RH, le RSSI et enfin la DSI (³) », reprend Franck Nielacny. Cependant, l’adhésion des collaborateurs passera surtout par l’engagement des managers de proximité. Quitte à rendre la cybersécurité ludique : « Lorsqu’un collaborateur quitte son poste en laissant son PC ouvert, il se fait « hacker » sa messagerie électronique. Il doit alors payer sa tournée de croissants à l’équipe ! », poursuit Franck Nielacny.

Organiser des exercices de cybersécurité

Mieux qu’une tournée de croissants, la mise en situation réelle. Ou presque. C’est en tout cas ce que propose le partenariat entre Harmonie Technologie et Crisotech. Objectif : s’entraîner à gérer d’une cybercrise dans les conditions du réel. Avec le buzz sur les réseaux sociaux, interviews, plateaux TV, cyberdéfense… Pour ce faire, le tandem reproduit un environnement hyper réaliste afin d’immerger les membres de la cellule de crise. Dans ce contexte, le scénario ne doit pas brider l’expérience. Il va même laisser les membres de la cellule agir et réagir comme dans la vraie vie. Enfin la sécurisation de l’environnement de l’exercice devra aussi éviter de générer une « vraie fausse » crise.

Utiliser les mêmes armes que les pirates

Autre forme d’acculturation, les entreprises peuvent s’adresser à des plateformes de Bug Bounty. Comme Bugcrowd, HackerOne, YesWeHack ou Yogosha qui monétisent auprès d’entreprises clientes les Pen Test. La démarche est claire : utiliser les mêmes technologies pour pénétrer un système d’information que les cyberpirates. Mais dans un but éthique. Surtout, les attaques des hackers éthiques sont menées en continu. À la différence des audits de sécurité qui, même s’ils durent d’une à trois semaines, restent ponctuels. Chez les équipes de développement, le recours au Bug Bounty participe à une culture d’amélioration continue de la cybersécurité.

Erick Haehnsen

(¹) Club des experts de la sécurité de l’information et du numérique

(²) Responsables de la sécurité des systèmes d’information

(³) Direction des systèmes d’information