À l’heure de la multiplication des cyberattaques et du télétravail, la cybersécurité en entreprise est plus que jamais un enjeu important. Parmi les facteurs de risques : la négligence humaine. Hélène Courtecuisse, consultante en sécurité, revient sur l’importance et la manière de sensibiliser ses collaborateurs aux bonnes pratiques.
En matière de cybersécurité, il y a deux façons d’appréhender la dimension humaine : considérer que l’humain représente un maillon faible, la « négligence humaine », ou décider d’en faire le maillon fort. Évidemment, les deux perceptions se complètent ; mais il est essentiel de ne pas focaliser le dialogue sur la première qui reste négative et quelque peu défaitiste.
D’autant que la problématique existait déjà avant l’ère de la transformation digitale. Elle était différente, puisqu’Internet faisait à peine ses débuts. Les systèmes n’étaient pas ouverts et, sans smartphones ni laptops, la sécurité en entreprise ne connaissait pas les difficultés qu’entraîne la mobilité d’aujourd’hui. Mais les brèches de confidentialité n’étaient pas moins liées à cette négligence humaine. Parce qu’on se méfiait notamment beaucoup de l’espionnage physique, les entreprises devaient compter sur leurs collaborateurs pour appliquer certaines bonnes pratiques, telles que la mise sous clé de documents.
Si la technique n’a plus rien à voir aujourd’hui, on demande toujours aux collaborateurs en entreprise de faire attention. Ce sont les précautions de base et les risques qui ont changé.
Des risques difficiles à appréhender
Pour commencer, les risques sont plus compliqués à appréhender. Ils sont plus variés, parfois beaucoup plus techniques. Ils prennent différentes formes qui peuvent désarçonner toute personne non experte. Sans compter que les attaques se font de façon « silencieuse » et totalement invisible. On peut ne pas se rendre compte, par exemple, qu’un site Internet sur lequel on souhaite faire un achat, qu’il soit ou non d’une enseigne connue, est infesté par un malware.
En termes de cybermalveillance, on parle aujourd’hui de hautes technologies. Les attaques sont plus nombreuses, elles se sont perfectionnées et sont bien plus difficiles à contrer. Pour autant, la sensibilisation aux risques de base des collaborateurs, même non-spécialistes, reste non seulement possible, mais tout à fait nécessaire.
On n’entendra évidemment pas couvrir tous les sujets en une journée. D’ailleurs, même des spécialistes ne peuvent pas prétendre appliquer toutes les consignes à 100 %. Dans ce domaine, il faut faire son deuil de toute idée de perfection. Il faut plutôt s’appliquer à former les gens sur la durée. Dans le cas des OIV (Opérateurs d’importance vitale), qui sont des entreprises soumises à la loi de programmation militaire (domaines bancaires, de l’alimentation, etc.), il y a d’ailleurs une obligation d’assurer la formation de tous les collaborateurs au minimum une fois par an. Les bonnes pratiques doivent évoluer avec les technologies.
Des menaces à (re)connaître
On distingue à l’heure actuelle deux catégories principales de cybermenaces :
Le phishing
Une quantité impressionnante d’e-mails de phishing circulent. Ils incitent les gens à cliquer sur un lien, ouvrir une pièce jointe et donner des informations personnelles. Il est déjà dangereux de cliquer, mais certaines personnes tombent encore dans le piège et fournissent les informations demandées. Le problème, au-delà du manque de sensibilisation, c’est que l’e-mail de phishing est de plus en plus crédible. Là où, il y a quelque temps, on pouvait repérer un e-mail de phishing à son orthographe douteuse, on a désormais des mises en forme quasi parfaites qui se fondent dans la masse, par exemple de fausses factures avec le logo de l’entreprise.
Les malwares et les ransomwares
Des logiciels malveillants pouvant prendre de multiples formes. Particulièrement subtil, le ransomware s’installe tout seul comme un programme. Il commence par désactiver l’antivirus puis remonte le long du réseau et s’attaque souvent en premier lieu aux sauvegardes. Ensuite, il s’active à chiffrer tous les fichiers des ordinateurs et serveurs auxquels il peut accéder. De cette manière, les entreprises attaquées n’ont plus d’autre choix que de payer la rançon pour récupérer leurs données. Le versement de la rançon ne garantit pas, hélas, de retrouver ses données.
La complexité de ces menaces s’appuie, de plus en plus, sur des procédés financés par une « nouvelle mafia ». Il faut oublier l’image du hackeur solitaire dans son garage : on parle aujourd’hui d’organisations avec des moyens financiers qui recrutent des hackeurs au titre de salariés. En somme, la cybercriminalité s’est industrialisée.
Former ses collaborateurs à la cybersécurité : une histoire de contexte
Pour faire face à ces menaces, il est important que les gens comprennent les consignes de cybersécurité qui leur sont données. Difficile, autrement, de voir la pertinence d’autant de listes de recommandations, consignes et bonnes pratiques souvent contraignantes… Former ses collaborateurs ne sert à rien si l’on ne fait pas en sorte qu’ils appréhendent mieux le contexte, et donc qu’ils adhèrent et restent motivés sur le long terme pour les appliquer.
Il s’agit bien sûr d’aborder les aspects techniques, par catégories de risques, mais surtout afin de mieux comprendre les bonnes pratiques qui en découlent. Fermer sa session et ranger ses documents, par exemple, sont des pratiques simples qui rentrent dans la catégorie des risques dus à l’ingénierie sociale, pratique de manipulation visant à extorquer des informations confidentielles. Dans la catégorie des risques d’interception, il faut penser à chiffrer les messages et fichiers confidentiels pour les envoyer, surtout à destination d’une personne hors entreprise. Et en rapport notamment avec les ransomwares mentionnés plus haut, on pensera à faire des sauvegardes régulières des documents importants sur des supports externes, même si le risque zéro, rappelons-le, n’existe pas, et que l’on n’est pas à l’abri de la perte ou du vol.
Replacer ces connaissances techniques dans leur contexte permettra aussi d’en suivre l’actualité. Car les technologies évoluent, les risques changent et les consignes perdent en fiabilité. On ne cherchera donc pas forcément à former des experts, mais avant tout à inciter les gens à gagner en maîtrise en se posant des questions. Aujourd’hui, le conseil principal que nous donnons est : renseignez-vous avant de faire confiance. Ce site est-il connu ? A-t-il de bons avis sur les moteurs de recherche ? Ce lien sur Facebook n’est-il pas douteux ? Au final, un collaborateur bien sensibilisé à la cybersécurité doit surtout disposer d’un petit bagage technique, et d’une certaine dose de méfiance.
