En matière de sécurité informatique des entreprises, le maillon humain est encore trop souvent négligé. Un paradoxe, tant l’utilisateur derrière son écran est en première ligne et peut facilement devenir le meilleur des remparts face aux risques informatiques. À condition, bien sûr, de le sensibiliser à ces enjeux et de le former correctement.
« La plupart des problèmes informatiques se trouvent entre le clavier et la chaise ». Derrière la célèbre boutade du philosophe allemand Klaus Klages se cache une réalité à laquelle sont confrontés chaque jour les DSI et RSSI dans les entreprises : l’utilisateur final et ses mauvaises pratiques apparaît bien souvent comme le principal maillon faible de la sécurité informatique.
Consultation de pages web douteuses, fichiers joints malveillants ou utilisation de logiciels corrompus, les occasions d’infecter son ordinateur ne manquent pas. Avec, à la clé, son chapelet de déconvenues, du vol de données au rançonnage, en passant par l’espionnage via sa webcam ou son microphone. Selon l’étude « The Global State of Information Security® Survey 2017 » de PwC, près d’une entreprise française sur trois (32,2%) estime que ses collaborateurs sont involontairement à l’origine de certaines attaques informatiques subies en 2016. « Il est vrai que le moyen le plus simple pour pénétrer un système d’information, c’est d’utiliser comme porte d’entrée les ressources informatiques d’un utilisateur lambda. Un collaborateur non conscient des risques, ni formé aux bonnes pratiques, représente le cheval de Troie idéal », confirme Matthieu Bonenfant, Directeur Marketing de Stormshield.
Un collaborateur non conscient des risques, ni formé aux bonnes pratiques, représente le cheval de Troie idéal
Matthieu Bonenfant, Directeur Marketing de Stormshield
Intégrer l’humain dans sa stratégie de sécurité informatique
Sensibiliser les collaborateurs de l’entreprise aux impératifs de la cybersécurité représente non seulement une évidence, mais une véritable urgence. « Un utilisateur relativement averti peut à lui seul éviter beaucoup de risques », rappelle Matthieu Bonenfant. D’autant que les menaces sont plus souvent liées à des collaborateurs imprudents ou malchanceux, qu’à des employés véritablement malveillants.
Pourtant, selon le livre blanc IDC/Splunk publié en juin 2016, seul 12% des entreprises interrogées signalent les menaces informatiques liées aux employés comme étant leur grande préoccupation, préférant se concentrer sur les attaques externes. À noter que moins de la moitié des répondants a mis en place une équipe interne CERT (Computer Emergency Response Team) dédiée à la réaction aux incidents (41%).
Si les cibles particulièrement vulnérables (cadres de direction, managers, informaticiens, assistantes de direction et responsables financiers) sont évidemment prioritaires en termes de sensibilisation, c’est bien l’ensemble du personnel qui doit être formé à la sécurité informatique en entreprise.
Les méthodes de sensibilisation des salariés à la cybersécurité
La formation des collaborateurs aux bons réflexes en matière de sécurité informatique peut s’appuyer sur de nombreux outils :
- charte informatique, pour formaliser et partager les bonnes pratiques,
- sessions d’e-learning, pour former chaque collaborateur à son rythme,
- formations de groupe, pour le partage d’expérience et l’émulation,
- dispositifs ludiques et participatifs, comme les tests façon quiz, les tests d'intrusion en social engineering et autres serious games,
- sessions de live-hacking (reproduction factice d’une attaque).
Quel que soit le format adopté par l’entreprise, ce travail de sensibilisation doit respecter quelques règles de base :
- être encouragé et porté par la direction générale,
- proposer des contenus pratiques et liés aux usages réels des utilisateurs,
- se limiter à quelques sujets importants, les plus pertinents dans le contexte de l’entreprise, mais les traiter en profondeur,
- être mené auprès d’équipes au complet et ne pas être réservé à certains collaborateurs,
- s’accompagner d’un contrôle des acquis en fin de formation,
- offrir des piqûres de rappel régulières, du fait de l’évolution permanente des menaces.
Comme l’explique Mattieu Bonenfant, « la sensibilisation s’inscrit dans une politique de sécurité multicouches au sein de laquelle l’utilisateur final représente la couche ultime. En aucun cas, ce dernier ne doit être perçu comme le problème, mais bien comme l’un des leviers de la sécurité. » Une nuance importante qui, relayée auprès des salariés, peut aider à les responsabiliser.
Un article écrit en collaboration avec l'agence Ultramedia.