ETI et cybersécurité : Comment minimiser le risque humain ?

Il est sûr que l’erreur humaine est un des risques les plus perceptibles dans une entreprise, toutefois, il est difficile de le quantifier sur le terrain. En général, cette problématique se mêle aux risques techniques et aux risques cyber que l’on peut voir fréquemment aux actualités (intrusion, vol de données, zero-day…).
Orange Business Services.

Pour pouvoir répondre aux menaces, les entreprises s’orientent principalement sur des mesures techniques et organisationnelles en oubliant parfois que ce sont des personnes qui doivent les implémenter et les respecter.

L’erreur humaine peut en partie être compensée avec des équipements informatiques qui vont limiter les risques potentiels comme les filtres antiphishing et antispam sur la messagerie par exemple. Toutefois, ces équipements ne sont pas absolus, et ne permettent pas de prévenir l’ensemble des menaces, il faut donc s’en remettre aux utilisateurs.

C’est en ce sens qu’il est nécessaire de leur rappeler les bonnes pratiques et que les entreprises ETI complètent le dispositif de protection en sensibilisant les collaborateurs.

C’est un bon début, mais il ne faut pas se limiter à communiquer sur la politique de  sécurité. Certains collaborateurs la liront, d’autres non. Cela ne sous-entend pas que les informés sauront quelles mesures mettre en place au quotidien. Le dispositif de sécurité doit être présenté aux collaborateurs dans une approche de gestion du changement, avec des règles concrètes qui sont présentées et expliquées.

La communication permet de faire un focus sur un ou deux thèmes et de marquer les esprits, il s’agit en général de présenter les risques avec une approche coup de poing ou des visuels décalés. C’est une action assez courte. La sensibilisation apporte une certaine connaissance ainsi que des explications sur les bonnes pratiques de sécurité. C’est un moment où l’on peut prendre davantage de temps pour entrer dans le détail. Enfin, la formation sert à acquérir un savoir ou une compétence : nous sommes sur un temps plus long, le contenu est extrêmement détaillé et les capacités de mise en œuvre sont plus grandes et précises.

Avant de commencer, il est primordial d’identifier les besoins et de les qualifier : cela permet de définir une stratégie de sensibilisation. De cette stratégie découlera les cibles à adresser. Il faut alors se poser les bonnes questions : quelles populations dois-je sensibiliser ? Sur quels sujets ? Les réponses doivent orienter les actions à réaliser et leur mise en œuvre. Prenons l’exemple d’une banque : elle ne peut pas fermer toute une agence pour sensibiliser son personnel. Comment peut-elle faire ? Distribue-t-elle un guide ? Organisons-nous plusieurs sessions de sensibilisation ? En tant que consultants, nous devons nous adapter à la réalité de chaque client.

Par exemple, lorsqu’une entreprise n’a qu’un seul site, la mise en œuvre demeure beaucoup plus simple et l’utilisation de relais sur site peut être privilégiée. Dans le même temps, il est important également de se poser la question de la gouvernance de la sensibilisation. Le RSSI peut-il piloter et réaliser l’ensemble des actions ? C’est rarement le cas : il va donc devoir s’appuyer sur d’autres ressources, des référents sécurité par exemple qui permettront une diffusion locale des communications et sensibilisations.

On ne voit pas beaucoup d’erreurs. Mais pour les entreprises qui seraient les moins familiarisées à ce genre de pratique, je conseillerais de faire simple. Pour ce qui est des sociétés avec des antennes internationales, il faut faire attention aux traductions maladroites ou aux interprétations négatives de certains messages de sensibilisation.

Pour pouvoir toucher un maximum de collaborateurs, il faut sortir du lot. On sait par exemple que les salariés reçoivent trop de mails et ne les ouvrent pas forcément tous. Il faut alors attirer l’attention par d’autres vecteurs et l’approche ludique reste très efficace. Après, certaines personnalités y sont réfractaires, comme toujours, il faut savoir s’adapter.

Elles s’adressent en partie aux RSSI. Nous les aidons par exemple dans leur prise de fonction sur des sujets de sécurité, d’analyses de risques, de solutions à mettre en place face à des problèmes techniques ou juridiques. Nous proposons également des mises à niveau sur les connaissances règlementaires (RGPD), le monde industriel ou sur les techniques de sensibilisation. Des formations techniques sont aussi au rendez-vous : développement sécurisé, ethical hacking…

La prise de conscience des menaces et l’écoute des bonnes pratiques de sécurité doit s’accompagner d’une mise en application au quotidien. Si les réflexes et les connaissances ne sont pas testés, il arrive fréquemment que les collaborateurs oublient les bonnes pratiques. Il faut donc vérifier leur mise en œuvre en réalisant des contrôles. Certaines entreprises organisent ainsi des campagnes de phishing ou des audits de robustesse de mots de passe par exemple.

La mission la plus complexe sur laquelle j’ai dû travailler sur ce genre de sujet a été pour un client du monde de la santé. Nous devions réaliser une campagne au niveau mondial sur la protection des données et sensibiliser plus de 110 000 collaborateurs. C’était un gros challenge ! Mais nous l’avons relevé.