Vous faîtes quoi, vous, contre les virus ?
Au-delà du contexte sanitaire, pas une semaine ne se passe sans l’annonce d’une nouvelle attaque « cyber ». Les virus informatiques et autres programmes malveillants se sont multipliés. La cybercriminalité fait la une des journaux : quand ce n’est pas un hôpital, c’est une grande entreprise ou une collectivité locale. Les impacts sont considérables.
Mais qu’est-ce qui a changé ?
Le digital dans tous ses états. De la commande à la livraison en passant par le paiement, tous les processus de l’entreprise sont devenus numériques en quelques années. La dématérialisation est une transformation incontournable qui nécessite une nouvelle vigilance.
La complexité des systèmes d’information, l’ouverture vers l’extérieur, la multiplication des prestataires, le nomadisme numérique ont accéléré le risque. Depuis de nombreuses années déjà, les DSI s’organisent et mettent tout en œuvre pour contrer les attaques informatiques. En interne, le message a parfois encore du mal à passer : demander aux utilisateurs de changer régulièrement leur mot de passe reste mal perçu…
Vous connaissez certainement les post-it qui trainent sur les écrans, des utilisateurs qui désactivent intentionnellement la veille sur leur ordinateur de bureau, le partage de mot de passe entre collègues, l’ouverture temporaire au système d’information sans autorisation… Autant de pratiques qui malheureusement existent encore et sont toutes à risque.
Les RSSI (Responsable Sécurité du Systèmes d'Information) sont venus renforcer les DSI pour former, accompagner et communiquer sur les bonnes pratiques. Mais depuis le confinement, le passage au télétravail forcé a pris de court de nombreuses entreprises. Sensibiliser les utilisateurs loin de leur lieu de travail et faire passer les messages est un devenu un exercice encore plus périlleux.
Vous vous sentez concernés ?
Souhaitons-le ! Car s’il y a bien un sujet transverse dans l’entreprise, c’est la sécurité. Tous les métiers, toutes les directions doivent être impliquées, car la cybersécurité n’est pas qu’une affaire de technologie !
L’attaque ne vient pas toujours en ouvrant sa boite mail. Un coup de téléphone et une demande crédible peut être le début d’un véritable scénario d’espionnage avec de grosses pertes à la clef pour l’entreprise.
Adopter les bons réflexes en tant qu’utilisateur va plus loin que le changement de mot de passe. Faire travailler un freelance, un prestataire, l’installer au cœur de l’entreprise n’est pas sans risque. Mais la peur n’évite pas le danger : pour contribuer efficacement au maintien de la sécurité, il faut mettre en place de nouvelles pratiques et accepter de nouvelles contraintes. Et des contraintes, il y en a pour tout le monde : du service juridique avec la sécurisation des contrats au service marketing en charge du développement de la dernière application. A tous les niveaux de l’entreprise la cybervigilance est de mise.
Bien sûr, la DSI mène les opérations informatiques nécessaires pour contribuer à la sécurité de l’entreprise, comme la mise à jour des sites WEB et des applications, la surveillance des systèmes, une gestion stricte des droits d’accès, ou encore le cloisonnement des systèmes. Ces opérations de maintenance sont parfois incomprises des métiers qui doivent se conformer à des calendriers peu flexibles. Partager une vision commune de la sécurité de l’entreprise permet à coup sûr une meilleure gouvernance.
Comme cela n’arrive pas qu’aux autres, à titre individuel vos informations (personnelles ou professionnelles) sont importantes et il est indispensable de les mettre à l’abri. Comprendre la menace c’est faire le premier pas pour agir et se prémunir. La règlementation s’est renforcée avec l’arrivée du RGPD (Règlement Général sur la Protection des Données), relevant les exigences de sécurité pour toutes les entreprises, petites ou grandes. S’y conformer n’est pas une option. Au cœur de l’entreprise, le dirigeant n’est pas un utilisateur comme les autres car il doit intégrer la sécurité à son plan stratégique.
Plusieurs postures sont possibles : se défendre ou anticiper. Car la question n’est pas de savoir si cela va vous arriver, mais quand cela va vous arriver. Prendre les devants, avec toutes les directions de l’entreprise, c’est déjà faire prendre conscience à tous que chacun, à son niveau, peut être acteur de la sécurité. Prévoir cela peut être : vérifier vos procédures, avoir un plan de continuité ou de reprise d’activité, lister les entreprises ou partenaires qui pourraient être vos alliés dans un moment de crise… Se préparer, c’est aussi s’informer car s’il est un domaine qui évolue très rapidement c’est bien celui-là ; le portail de l’ANSSI (Agence Nationale de la Sécurité des systèmes d’Information) est votre meilleur allié.
L’approche d’Odonates-Group permet de déployer une stratégie multimode (formation, conseil, cooaching) pour toucher l’ensemble de l’entreprise, de la gouvernance aux opérations. Un accompagnement à plusieurs niveaux pour des changements de comportements durables. Changer de posture, de pratiques, adopter de nouveaux comportements, se former aux risques, communiquer régulièrement… c’est accompagner ses équipes pour qu’ensemble elles participent à veiller sur l’entreprise.
Caroline Raveton
10 février 2021
Écrire commentaire