Dans le cadre des Assises de la sécurité, Laurent Benoît, Expert Sécurité chez Avanade, premier intégrateur mondial des solutions Microsoft et de son écosystème, livre son regard sur la cybersécurité en entreprise.

Définie comme « l’ensemble des techniques de sécurité des systèmes d’information permettant de lutter contre la cybercriminalité et s’appuyant sur la mise en place d’une cyberdéfense » par l’Agence Nationale de la Sécurité des Systèmes d’Information, la cybersécurité va au-delà de la seule utilisation de logiciels comme moyens de protection.

Dans le cadre de l’entreprise, la cybersécurité passe aussi et avant tout par l’implication de ses utilisateurs et ce, quelle que soit leur position et leur rôle car chacun est vecteur potentiel d’une attaque.

La cybersécurité c’est avant tout l’humain

La cybersécurité ne doit pas être perçue comme un domaine réservé au responsable de la sécurité des systèmes d'information (RSSI) ou aux équipes IT.

Même si leur rôle est de garantir la sécurité, la disponibilité et l'intégrité du système d'information et des données, la cybersécurité doit être prise en compte par tous les employés : du service RH, avec une information dédiée dans les contrats de travail, à la Direction en insufflant des messages forts en interne qui sensibilisent tous les collaborateurs au sujet.

Par le biais d’un projet co-construit avec tous les salariés, l’idée est de mettre fin au fossé qui peut exister entre les équipes IT et le reste des collaborateurs et de les impliquer comme de véritables partenaires, essentiels à l’identification et actions face aux éventuelles attaques. 

Cela permet notamment la mise en place de technologies plus adaptées et la garantie d’une meilleure réactivité en cas de cyber-attaques.

Ainsi, c’est l’organisation dans son ensemble qui sera prête à faire face aux cyber-attaques. Et pour cela, ce sont, dans un premier temps, au service informatique et aux services RH d’accompagner les collaborateurs.

Former ses collaborateurs pour les responsabiliser

Afin de rendre la cybersécurité plus concrète et de l’ancrer dans le quotidien des collaborateurs, il est essentiel de les former de façon adaptée, avec une communication simple et régulière.

La cybersécurité est un sujet de tous les instants, on ne sait jamais quand on fera l’objet d’une attaque. Un employé qui sait identifier les risques sera plus préparé à adopter les méthodes pour se protéger.

Les entreprises peuvent aussi proposer un accompagnement adapté avec la mise en place d’exercices en situation réelle grâce à des outils qui simulent un ensemble d’attaques auxquelles peuvent être confrontés tous les employés.

Le « serious game » par exemple, permet d’organiser des « compétitions » internes, qui, par des méthodes innovantes de formation permettent d’impliquer les employés et d’encourager l’investissement des collaborateurs.

Il s’agit de mettre les employés en condition réelle des désastres qu’ils peuvent rencontrer.

Cela permettra alors aussi de mettre en lumière les défauts des processus actuels et d’identifier les zones de faiblesse ; point de départ pour une campagne de formation et de sensibilisation adaptée.

Ils permettent également un état des lieux précis de l’évolution des faiblesses au sein de l’entreprise et de l’efficacité du plan de défense de l’entreprise contre les éventuelles cyberattaques.

En encourageant la prise de conscience de chacun et un dialogue fort entre les collaborateurs grâce à ces exercices, l’objectif est de permettre une réaction plus rapide en cas d’attaques et de proposer la réponse la plus adaptée pour y faire face.

La capacité d’identifier des défaillances et de répondre aux attaques augmente grâce à la formation et à l’implication de l’ensemble des employés. La sensibilisation permet de les responsabiliser et ainsi d’encourager la résilience des entreprises.

Par conséquent, anticiper les dangers c’est aller au-delà de la cybersécurité et faire de la cyber-résilience. Grâce à cette dernière, l’entreprise sera en mesure d’identifier, de prévenir et de répondre aux défaillances technologiques, tout en réduisant leurs impacts négatifs.

La vraie question n’est pas de savoir si l’organisation va être attaquée, mais quand ; autrement dit : « est-elle capable de supporter l’attaque sans mettre un genou à terre ».

L’organisation doit alors se jauger sur sa capacité à redémarrer après une attaque.