Formation à la cybersécurité : comment intégrer tous les échelons de l’entreprise

Face à la croissance du nombre de cyberattaques, les entreprises se doivent de sensibiliser davantage l’ensemble de ses collaborateurs. Cela concerne toutes les strates de l’entreprise. On apprend dans une enquête OpinionWay/CESIN que 82 % des collaborateurs se disent mieux sensibilisés (dont 24 % se déclarent tout à fait sensibilisés). Ils respectent mieux les recommandations mais peinent à être proactifs. Il est à noter que le recours au cloud non autorisé est trop répandu.

De son côté, Kaspersky a publié, le 10 janvier 2023, une étude dans laquelle on lit que la cybersécurité est une priorité incontestable pour les cadres dirigeants. Pourtant, près de la moitié des responsables de la sécurité (48 %) ont déclaré que le jargon spécialisé et les termes technologiques constituent le principal obstacle à la compréhension de la cybersécurité par les équipes de direction. Mais aussi à la façon dont elles doivent s’y prendre pour faire face aux cybermenaces.

Selon cette même étude, le manque de formation (43 %, et 51.5 % en France) est un frein majeur qui explique les lacunes des cadres supérieurs en matière de cybersécurité. Le baromètre de ManpowerGroup, pour le premier trimestre 2023, montre que 38 % des employeurs français considèrent ce sujet comme prioritaire en termes de formation de leurs équipes existantes. Plus de 4 entreprises sur 10 ont mis en place un programme d’entraînement à la cybercrise. Les administrateurs, architectes et développeurs pourraient également être plus sensibilisés et mieux formés.

Le conseil d’administration : des risques financiers et réputationnels

Comment le conseil d’administration peut-il évaluer les cyber-risques, qui sont aujourd’hui l’un des risques majeurs de l’entreprise, et surveiller la mise en place d’un dispositif cyber si les administrateurs ne sont pas sensibilisés et formés ?

Les risques cyber et ses conséquences potentielles sur la performance financière, les risques de non-conformité et les risques d’atteinte à la réputation, doivent être compris par l’ensemble des collaborateurs. Et cela doit commencer par la tête de l’entreprise et ses actionnaires.

Un autre motif de préoccupation : un sinistre majeur peut engager la responsabilité des dirigeants devant la justice. Cela peut arriver si, par une faute caractérisée de sa part – telle l’absence de sauvegarde -, l’entreprise subit une perte de données très dommageable. Mais aussi face à une absence avérée de mesures d’organisation ou de protection du système d’information de l’entreprise.

Les conseils d’administration doivent s’assurer de la fréquence et de l’efficacité des programmes de formation en sécurité informatique : liste des personnes formées (y compris les membres du conseil) tests (campagnes de faux courriels frauduleux et résultats des tests), politique d‘accès aux données, chartes informatiques.

Les équipes IT ne peuvent pas tout

Les vendeurs de solutions ultra sécurisées l’affirment lors de la présentation de leur solution : la gestion de l’outil, les accès, les flux, la décision de chiffrement n’est pas de leur responsabilité. Outre l’achat des outils, il faut aussi analyser les besoins, vérifier l’intégration à l’environnement informatique existant, former les utilisateurs (« change management ») aux fonctionnalités de ces outils, aux points de vigilance, et à leur bonne configuration.

Contrairement à ce que les dirigeants croient, les équipes IT ne sont pas toutes formées à la sécurité, que ce soient les développeurs ou les équipes d’administration des réseaux, des systèmes d’information ou des applications.

De la pédagogie pour les utilisateurs

Dans cette équation, l’humain est à la fois un maillon fort et faible. La formation aux risques cyber doit s’effectuer de manière verticale et dans les deux sens. Il est donc nécessaire de lancer une campagne annuelle de formation pédagogique. Objectif : expliquer les menaces et les contraintes, exiger de respecter les règles, déployer des exercices de gestion de crise permettant aux organisations d’analyser des situations d’urgence potentielles.

Le RSSI et le DSI ne peuvent pas être derrière chaque utilisateur, surveiller les partages ou transferts de fichiers, ainsi que l’utilisation d’applications non autorisées. Par ailleurs, il est indispensable de former le personnel à identifier les courriels malveillants, la connexion à des sites malveillants et à des réseaux wifi non sécurisés. Tout en imposant des limites. La sensibilisation des salariés aux bonnes pratiques et la formation aux nouveaux outils sont indispensables pour qu’ils deviennent responsables et acteurs de la cybersécurité.

L’engagement de l’ensemble des équipes est le meilleur moyen de diminuer la menace interne. Cette dernière peut provenir de salariés responsables d’une mauvaise manipulation qui n’est pas forcément malveillante : envoi d’informations à un destinataire autre que celui qui devait recevoir les informations (il est à noter que le salarié est parfois un dirigeant haut placé, pressé, stressé, inattentif).

La menace peut provenir :

• De salariés négligents : ils ne sont pas vraiment malveillants mais ils ne se sentent pas concernés par les informations qu’ils manipulent et par la protection de leur entreprise. Ils ne sont pas « engagés » et peut-être insuffisamment encadrés. Il y a une responsabilité des dirigeants et managers de mettre en place des règles et outils qui empêchent les erreurs. Mais aussi une culture à développer pour améliorer l’engagement des salariés.
• De salariés non formés et qui ne seront pas suffisamment vigilants : responsable du recrutement qui ouvre un CV, envoyé par un faux, directeur/président qui reçoit une fausse mise à jour de son profil Wikipédia, et qui s’empresse de l’ouvrir pour prendre connaissance des informations publiques le concernant.
• De salariés malveillants : envoi de fichiers à l’extérieur, clic sur un e-mail malveillant.
• De salariés victimes de chantage, le roman policier « Tension Extrême », de Sylvain Forge, explique très bien comment des intrusions sont réussies, y compris dans des environnements ultrasécurisés. Et ce grâce à l’exploitation de faiblesses humaines ou d’égos surdimensionnés.

Synergie organisationnelle

La clarification des rôles et des responsabilités, la collaboration entre les experts cybersécurité, les métiers et les fonctions dans la conduite des projets de transformation numérique industrielle ou commerciale, ou dans les opérations de fusion-acquisition, ainsi que les processus de décisions, sont indispensables à la réussite de l’entreprise et à sa performance durable.

Un programme de cybersécurité déployé au sein de toutes les directions, tous les sites, toutes les filiales est nécessaire dans toutes les grandes entreprises. Il en va de même pour les PME bien que leur organisation soit moins complexe. Néanmoins la formation, la culture de sécurité, l’identification des actifs stratégiques, la prise en compte de règles de sécurité en lien avec les prestataires informatiques, la cartographie des risques par les dirigeants, la sensibilisation à l’importance de processus est indispensable. Il s’agit d’un investissement temporel plus que matériel.