Facteur humain - 3 novembre 2021
Renforcer la cybersécurité en entreprise par l’humain
Photo de Alex kotliarskyi sur Unsplash
Conscients de la portée chaotique des cyberattaques et la faiblesse de leur cybersécurité, les dirigeants n’hésitent plus à fournir des efforts financiers conséquents et à recruter d’excellents experts pour s’en prémunir. Mais dans cette quête de résilience, ils ont toutefois tendance à négliger le rôle crucial des premiers acteurs de terrain de la cybersécurité : les collaborateurs.
Cyberattaques : le poids incontestable des défaillances humaines
Avec la généralisation des technologies de pointe (IA, 5G, robotique…) et la digitalisation de toutes les industries, l’enjeu de la cybersécurité mobilise largement l’attention des dirigeants publics et privés. Au sein du CAC40, les investissements alloués en la matière peuvent atteindre des centaines de millions d’euros notamment dans le secteur financier, extrêmement exposé aux cyber menaces. Une bonne nouvelle ? Oui, mais en demi-teinte ! Selon le cabinet Gartner, seuls 1% des budgets cybersécurité des entreprises sont consacrés à l’humain. Pourtant, les assureurs sont désormais formels : 70 à 90% des cyberattaques qui leur sont déclarées sont dues à des défaillances humaines… L’essentiel des budgets est aujourd’hui consacré à des investissements technologiques ou à des processus de contrôle. Evidemment indispensables, les outils de protection et de détection ne sont pas en mesure d’anticiper toutes les menaces ni tous les comportements. Ils sont bien trop souvent sans apport pour les collaborateurs d’une entreprise, ces acteurs de terrain dont les décisions quotidiennes ont un impact direct et indéniable sur la cybersécurité.
L’urgente nécessité d’insuffler une « culture cybersécurité »
Le rapport cyber-sinistres récemment publié par l’assureur Hiscox estime qu’en 2019, 67% des entreprises ont été victimes de cyber-attaques et seules 10% ont été aptes à y faire face. Comme dans le cas de l’attaque de la banque du Bangladesh ou celle du port d’Anvers, les hackers combinent un savoir-faire cyber très abouti avec une connaissance poussée des métiers et des processus ciblés. Ils sont habilement pragmatiques et ne se préoccupent pas des choix organisationnels ou politiques de leurs victimes. Pour les contrer, la cybersécurité nécessite d’être envisagée sous tous les angles avec le croisement indispensable des visions d’experts techniques, risques, sectoriels, métiers, ou encore fonctionnels. En somme, naviguer dans les torrents des cybermenaces avec résilience est une affaire si complexe et redoutable, qu’elle exige d’impliquer toutes les parties prenantes dans ce combat. Depuis janvier 2018, le Forum Economique Mondial appelle les dirigeants à se saisir directement du sujet de l’instauration d’une culture de la cybersécurité à tous les niveaux d’une organisation. Une urgence mise en avant par de nombreuses institutions telles que la Cour des Comptes Européenne (ECA) et l’Agence Européenne pour la Cybersécurité.
Transformer les collaborateurs en acteurs engagés de la cybersécurité
Les nouvelles stratégies des entreprises qui ont subi une attaque majeure, comme Equifax, entreprise américaine de notation financière, le prouvent : la cybersécurité se doit d’être lisible et accessible à tous. Sensibiliser les salariés à travers quelques sessions de e-learning et des tests de phishing n’est ni engageant, ni suffisant et ne permet pas de mesurer la performance de la cybersécurité au sein des métiers. La cybersécurité doit être perçue comme un enjeu sociétal fort dont chacun doit se saisir, tout comme l’écoresponsabilité est aujourd’hui ancrée dans les pratiques quotidiennes des collaborateurs. Il faut les encourager, les entrainer, leur donner les moyens informatiques et organisationnels d’adopter les bons comportements, de réagir rapidement en cas d’alarme, et de savoir donner l’alerte face à un possible incident. A l’aide d’outils ludiques, ils doivent être en mesure de mieux cerner la matière cyber, de mesurer leurs progrès et de s’investir progressivement dans la cybersphère. Les pires ennemis de la cybersécurité ne sont pas la criminalité courante ou les hackers issus d’états voyous mais bel et bien l’ignorance et la complaisance. En empruntant la voie de la responsabilisation et de l’ « empowerment » de tous, il y a fort à parier que d’ici 10 ans, la cyber sera une compétence courante et démocratisée au sein des entreprises.