La cybercriminalité connaît une forte médiatisation, ces dernières années. Comment cette menace évolue-t-elle réellement ?
Les données récentes recueillies, à travers notre veille cybersécurité, l’attestent. La menace cyber atteint des sommets en 2020, avec une recrudescence des attaques. Selon les chiffres de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre de signalements liés à des rançongiciels par exemple a été multiplié par 4 par rapport à l’année précédente. Et aucun secteur d’activité ne semble à l’abri de ces menaces et de leurs conséquences potentiellement graves. Malheureusement, les réponses apportées sur le terrain demeurent trop souvent partielles.
C’est-à-dire ?
Pour contrer ces risques, les entreprises historiquement ont eu tendance à sécuriser leurs systèmes et équipements informatiques. Elles ont beaucoup moins investi sur l’humain. Or rien ne sert de blinder toutes les entrées d’un château fort si ses occupants méconnaissent les gestes de défense à adopter, en cas d’attaque.
Que conseillez-vous aux entreprises ?
Face à l’essor des attaques, il est essentiel de travailler en parallèle les deux dimensions technique et humaine, en intégrant la question de la cybersécurité dès la naissance des projets. Cette approche Security by Design favorise ainsi la prévention des risques.
Le regard porté sur l’utilisateur, présenté régulièrement comme un facteur de risque dans ce domaine, doit également évoluer. Chez SIGMA, nous sommes convaincus qu’un utilisateur bien sensibilisé constitue au contraire un maillon fort du dispositif. Selon une étude menée l’an passé par CERT-Wavestone, les utilisateurs finaux participeraient d’ailleurs déjà à la détection de 25 % des attaques.
Comment réussir à sensibiliser les utilisateurs sur une question aussi ardue ?
Pour qu’elle porte ses fruits, cette démarche doit s’inscrire d’abord dans une culture d’entreprise, impulsée par une implication forte de la direction générale et pas seulement de la DSI. La sensibilisation des collaborateurs nécessite aussi de contextualiser le discours, d’être didactique et de montrer concrètement les rouages des cyberattaques. Adresser un rapport de 70 exigences sur la cybersécurité, sans aucun autre accompagnement, ne sera d’aucune efficacité. Il s’agit d’abord d’intéresser les personnes en diversifiant les médias, les approches (quizz, motion design, infographies, etc.), les contextes (milieu professionnel et personnel), et en évaluant régulièrement les connaissances acquises. Il est également important de répéter les messages clés afin de garantir l’acquisition des bons réflexes à adopter. Ainsi nous préconisons une formule attractive sur 12 mois avec en moyenne plus d’un évènement mensuel de sensibilisation.
Déployée depuis fin 2020, notre offre de conseil et d’accompagnement en cybersécurité – Qomity Managed Security – intègre pleinement ce volet. Avec la volonté de faire de chaque utilisateur de l’entreprise un maillon fort de la cyberdéfense.