L’entreprise Padok spécialisée dans les projets Cloud et cybersécurité s’est récemment distinguée en réalisant – en quelques jours à peine – la plateforme de gestion du PGE pour le gouvernement (Prêt Garanti par l’État). Son CEO, Clément David a toujours évolué dans l’environnement de la sécurité informatique. Pour Cadre et Dirigeant Magazine, il donne sa vision de la cybersécurité, ses recommandations pour maîtriser les risques en entreprise, des conseils d’autant plus pertinents dans un contexte de télétravail qui a mené à une nette augmentation des attaques.
Les attaques informatiques ont explosé pendant la crise sanitaire
Fin 2020, 91 % des organisations françaises avaient connu au moins une cyberattaque au cours des 12 derniers mois et la situation devrait s’aggraver à court terme : 65 % des responsables cybersécurité sont persuadés que leur entreprise sera ciblée d’ici les 12 prochains mois. 20 % d’entre eux estiment que leurs collègues ne sont ni équipés ni sensibilisés à la protection informatique, particulièrement en situation de télétravail (source : Le Point).
Il est vrai qu’en travaillant à domicile, nous avons tendance à nous sentir moins concernés par le risque de piratage de l’entreprise, à moins ressentir le danger, explique le CEO de Padok Clément David.
Ce phénomène – « l’effet cocon personnel » abaisse la vigilance.
Une prise de conscience par l’exemple
Pour fédérer autour de l’enjeu cybersécurité en cette période particulière, Clément David recommande une approche intéressante qui consiste à projeter les collaborateurs dans une attaque concrète.
Pourquoi ne pas orchestrer un (faux) piratage informatique sur tous les canaux (blocage du téléphone, des ordinateurs) ? Certains cabinets d’audit informatique sont spécialisés dans ce genre d’événement.
Plus soft : pourquoi ne pas lancer un faux email de pishing ? L’entreprise pourra ensuite suivre, et surtout communiquer le taux de clic auprès des équipes.
La simulation de piratage est un excellent moyen de parvenir à la prise de conscience, car elle matérialise les conséquences de ses actes.
Les bonnes pratiques selon Padok
Plus généralement, l’entreprise qui veut évoluer sur le sujet cybersécurité doit mettre en place de bonnes pratiques et les maintenir dans la durée. Les plus courantes sont les suivantes :
– Rédiger et faire signer une charte informatique
– Former les collaborateurs
– Encourager les équipes à échanger sur le sujet cybersécurité (organiser des temps de débats)
– Inciter, voire rendre obligatoire le suivi de MOOC, comme le MOOC de l’ANSSI (Agence nationale de la sécurité des systèmes d’information)
– Fournir bons outils
Les bonnes pratiques ne suffisent pas, il faut un changement structurel
Ces bonnes pratiques sont essentielles. Elles représentent les actions de base. Mais Clément David précise qu’elles ne garantissent pas d’une protection à toute épreuve. Selon lui, l’entreprise sera réellement protégée dès lors qu’elle intègrera cet enjeu de manière structurelle, au sein même de son modèle économique. Pour cela, il faut aller au-delà des actions ponctuelles suivies telle une check-list.
Exemple d’un secteur où la cybersécurité est un argument commercial
Pour illustrer cette affirmation, le CEO de Padok donne l’exemple du secteur bancaire. Les banques et banques en ligne ont une obligation réglementaire spécifique en matière de protection des données des consommateurs ; obligations qui les poussent à concevoir leurs produits, ainsi que toute leur organisation autour de cet enjeu. Ici, les équipes de management construisent leur planning et leur budget autour de la sécurité des données. Elles accordent aux techniciens le temps et les ressources nécessaires pour intégrer les contraintes sécuritaires dans chaque strate de l’entreprise : en interne, et dans les produits vendus sur le marché. La cybersécurité fait partie de l’ADN des entreprises du secteur financier.
A l’inverse dans d’autres organisations, celles où la cybersécurité n’est pas un argument commercial clé, les budgets dédiés sont souvent rognés au profit d’investissements à effet immédiat, tels que l’amélioration des produits, de l’expérience client, du marketing. Ici, l’ADN se construit sur d’autres fondations que la sécurité informatique. Et c’est un risque.
« La cybersécurité doit provenir des équipes dirigeantes », explique Clément David. Elle doit intégrer les processus, les budgets, les objectifs. Elle doit devenir un enjeu commercial, un argument marketing. Les managers doivent accorder du temps et des ressources financières aux développeurs de sites et de produits informatiques.
En conclusion : oui, l’entreprise doit mettre en place de bonnes pratiques, mais elle doit aussi modifier sa vision.
Protection informatique : rappel des basiques
La liste de Padok :
– Utiliser obligatoirement des VPN pour les salariés en télétravail ou en itinérance,
– Chiffrer les disques durs
– Imposer une politique de mot de passe forte (12 caractères : majuscule/minuscule/chiffre/ caractère spécial) et sensibiliser au danger d’utiliser les mêmes mots de passe dans la vie personnelle et la vie professionnelle
– Rendre obligatoire la double authentification (MFA)
– Protéger les postes de travail (pare-feu, antivirus…)
– Verrouiller systématiquement sa session lorsque le salarié quitte son poste de travail,
– Installer des filtres de confidentialité sur les écrans (écran noirci pour qu’on ne puisse pas regarder par-dessus son épaule)