Numérisation des entreprises, explosion des usages numériques, déploiement de la fibre, multiplication des appareils mobiles, recours massif au télétravail : à l’ère du « Tout Numérique », l’organisation du travail en entreprise est devenue hyperconnectée… et les premiers à s’en réjouir sont les pirates informatiques ! Les dirigeants doivent faire face à une explosion des cyber-attaques qui mettent en péril leurs entreprises. Comment protéger efficacement son organisation des attaques numériques ? Comment mettre en place une démarche de cybersécurité réellement efficace ? Dans cet article, je lance des pistes de réflexion, convaincu que nos PME doivent absolument développer une culture de la cybersécurité qui est à leur portée.
LA CYBERSÉCURITÉ EST DEVENUE UN ENJEU MAJEUR POUR LES PME
Des chiffres éloquents
La menace du piratage informatique est devenue une préoccupation majeure des dirigeants. Dans son étude de 2023, l’assureur spécialisé Hiscox révèle que la proportion des entreprises françaises ciblées par une cyber-attaque est passée à 53%, comparativement à 48% l’année précédente. Les PME sont particulièrement vulnérables, puisque le rapport révèle également que le nombre d’entreprises de moins de dix salariés ayant subi une cyberattaque a augmenté de plus de 50% au cours des trois dernières années.
Les TPE/PME doivent faire mieux
Face à un risque autrefois relégué au second plan, les grandes entreprises ont pris la mesure du problème et la gestion du cyber-risque fait partie intégrante des politiques de réduction du risque. En revanche, du côté des TPE/PME, on assiste à un double discours inquiétant. Si 9 entreprises sur 10 estiment qu’il est vital de se prémunir contre les attaques informatiques, 1 TPE-PME sur 2 ne sécurise pas ses postes de travail et 1 sur 3 n’utilise pas d’antivirus (Etude Hiscox).
Et pourtant, l’impréparation des TPE/PME face au piratage informatique peut coûter très cher : une PME perd en moyenne 97.000 euros suite à un piratage. (1)
Les cyber-attaques les plus fréquentes
Les entreprises font l’objet d’attaques malveillantes qui prennent différentes formes, notamment : les attaques web (intrusion, vol de données), la propagation de programmes malveillants (via site web ou email), les rançongiciels ou fameux « ransomware », l’hameçonnage ou « phishing » – un hackeur essaie d’obtenir des informations confidentielles (identifiants, mots de passe, références bancaires) – et le vol de données caractérisé (revente au marché noir).
Selon l’entreprise américaine de télécommunications Verizon, 80% des cybermenaces sont attribuées au phishing. Ce dernier fait partie des attaques par ingénierie sociale. On entend par là l’habilité d’un hackeur à jouer sur les émotions ou la curiosité humaine de son interlocuteur. Le phishing prend différentes formes comme : le harponnage (courriel ciblé, fraude au PDG), l’appâtage (faire miroiter une récompense/cadeau), le maliciel (faire croire qu’un logiciel malveillant a été installé, exiger un paiement pour le supprimer), etc.
LA CYBERSÉCURITÉ COMMENCE PAR LA CYBER-HYGIENE
Face à ses menaces multiples, les TPE/PME sont capables de mettre en place des mesures de bon sens pour limiter les risques, via des actions simples et peu coûteuses elles peuvent mettre en place une cybersécurité : ce qu’on appelle la cyber-hygiène. Parmi les mesures, invitez les collaborateurs de l’entreprise à :
· Utiliser des mots de passe complexes et uniques pour chaque compte
· Utiliser un gestionnaire de mots de passe, une ressource en ligne gratuite
· Mettre à jour les appareils, logiciels et antivirus (système d’exploitation, navigateurs, programmes)
· Sauvegarder régulièrement les données (règle du 3-2-1 : avoir 3 copies des données au moins, enregistrées sur 2 supports différents, conserver une copie de sauvegarde hors site de travail)
· Travailler hors ligne dans les lieux publics, utiliser un réseau privé virtuel
· Éviter de télécharger des logiciels à partir de sources non fiables
· Verrouiller les outils (PC, smartphone, tablette) lorsqu’ils s’absentent
· Verrouiller l’écran lorsqu’il n’est pas utilisé
· Installer uniquement des applications provenant d’éditeurs informatiques connus
MAÎTRISER LE FACTEUR HUMAIN
L’humain, facteur clé de la lutte contre les cyber-attaques
La cyber-hygiène est une 1ère étape dans la lutte contre les cyber-attaques. Si nous prenons un peu de hauteur avec le sujet, nous constatons que la majorité des attaques numériques dans les entreprises profite de la négligence du comportement humain. Le maillon faible de la cybersécurité est avant tout l’humain. Certaines études indiquent ainsi que 46% des piratages et incidents relatifs à la cybersécurité résultent d’une négligence ou d’un manque de formation. Dans le même temps, les experts du sujet pointent un chiffre alarmant : dans 40% des organisations mondiales, les employés admettent ne rien signaler lorsqu’un incident de sécurité se produit
Les attaques numériques prolifèrent sur l’ignorance, la naïveté et la négligence des collaborateurs d’une entreprise. Par conséquent, la meilleure des réponses à ces menaces repose sur 2 piliers : la sensibilisation et la formation des collaborateurs aux cyber-risques
Sensibiliser les collaborateurs à la cybersécurité
Devant l’urgence de la situation, certains DSI organisent des campagnes de tests pour sensibiliser les employés aux cybermenaces. Un email de type phishing est adressé aux salariés de l’entreprise. Ceux qui cliquent sur les liens contenus dans l’email reçoivent un message d’alerte leur indiquant qu’ils ont échoué au test. Un débriefing est ensuite organisé pour analyser les résultats, un procédé efficace pour faire prendre conscience aux salariés de l’entreprise des cyber-risques et de leurs conséquences souvent violentes. J’insiste sur le phishing que les experts mettent au 1er plan des menaces. Selon Dark Reading, un portail complet d’actualités et d’informations axé sur la cybersécurité : « 91% des cyberattaques réussies qui se soldent par une brèche de données commencent avec un email de phishing. »
La formation nerf de la guerre
La sensibilisation doit s’accompagner de préférence de plusieurs formations à la cybersécurité orchestrée par le DSI ou un consultant externalisé. Pour que le travail porte ses fruits, je vois plusieurs conditions à réunir :
· Engagez la direction de l’entreprise pour que le sujet soit considéré comme stratégique
· Impliquez les collaborateurs dans des formations après un 1er test de phishing
· Adaptez les formations suivant le niveau de maturité des collaborateurs sur le sujet
· Faire suivre les formations de simulations de phishing de plus en plus sophistiquées
· Évaluez le niveau de chaque salarié après chaque test
· Adopter des formats ludiques durant les formations
· Privilégiez la pédagogie et la bienveillance : chacun peut-être concerné par une attaque numérique, y compris dans sa vie privée
· Variez les tests avec des outils qui se rapprochent le plus possible de ceux utilisés par les hackeurs
· Répétez régulièrement les consignes de sécurité pour en faire un « acquis »
Un point d’attention : le BYOD
Le développement du télétravail et du nomadisme digital amènent les salariés d’une entreprise à utiliser leur matériel informatique personnel dans un contexte professionnel : « le Bring Your Own Device » (BYOD). Sur ce point, l’organisation doit former les salariés à être vigilants sur l’utilisation des mots de passe, et aussi à pratiquer la double authentification ou authentification à 2 facteurs. Le collaborateur de l’entreprise accède à une ressource informatique après avoir présenté 2 preuves d’identité distinctes à un mécanisme d’authentification.
ÊTES-VOUS PRÊT À INVESTIR DANS UN HOMME-ORCHESTRE ?
Un sachant technique…
Cyber-hygiène, sensibilisation des équipes, formations, voilà déjà 3 axes sur lesquels une entreprise, y compris une PME, peut travailler. Le développement d’une véritable culture de la cybersécurité ne peut se faire sans la présence d’un homme-orchestre, référent du sujet dans l’organisation. Le DSI est la personne naturellement chargée du dossier « cybersécurité » au sein de l’entreprise. Elle a les compétences techniques et le savoir-faire pour protéger l’organisation du piratage informatique.
… Mais aussi et surtout un « facilitateur »
Attention cependant à ne pas se tromper dans le casting. Pour acculturer les collaborateurs aux enjeux de la cybersécurité, le référent de l’entreprise sur le sujet devra jouer un rôle de « facilitateur » pour accompagner et sensibiliser les équipes aux enjeux de la sécurité informatique.
Au-delà des compétences techniques, c’est la personne qui sensibilisera, accompagnera et formera le personnel de la société aux usages de la cybersécurité, ce qui nécessite des qualités d’écoute et de savoir-faire dans la transmission du savoir et la conduite au changement.
Un expert externalisé
C’est pourquoi une PME peut légitimement choisir d’être accompagnée, le temps d’une mission, par un expert externalisé en charge de définir un plan d’actions pour lui donner tous les moyens d’anticiper une potentielle attaque informatique. Ce qui passe en grande partie par la diffusion, chez les collaborateurs, d’une véritable culture en matière de cybersécurité. Pour une PME, les avantages de faire appel à ce professionnel sont nombreux :
· Toutes les TPE/PME n’ont pas forcément un DSI en interne ou les moyens d’embaucher une personne à temps plein sur ce poste
· Un expert externalisé apporte un regard neuf sur le degré de maturité de l’entreprise face à la cybercriminalité
· Un expert externalisé est directement opérationnel. Il saura rapidement analyser les forces et les faiblesses de l’entreprise en matière de sécurité informatique
· C’est en général un professionnel expérimenté qui peut déjà avoir mis en place un plan de continuation de l’activité après une cyber-attaque. Le vécu compte
· Il peut mettre en place des protocoles de référence pour anticiper les cybermenaces et gérer une situation de crise, lorsque l’entreprise a été piratée. Une 1ère brique de travail sur laquelle pourra capitaliser le futur DSI à temps plein d’une PME
Une menace de plus en plus sophistiquée
Il est grand temps pour les TPE/PME qui auraient sous-estimé les enjeux de la cybersécurité de se mettre à niveau. Et cela d’autant plus que le développement de l’intelligence artificielle va favoriser des attaques encore plus élaborées. Imaginez une attaque par phishing capable de délivrer à sa cible un message personnalisé en fonction du contexte !
Vous êtes dirigeant de TPE/PME ? Vous êtes confrontés à l’urgence de sensibiliser et accompagner vos collaborateurs aux enjeux de la cybersécurité ? N’attendez-pas, offrez-vous les compétences d’un expert externalisé, une solution souple et flexible. Contactez-nous.
(1) Source Les Echos SOLUTIONS
Auteur : Olivier de Fourgeroux