Sensibilisation à la cybersécurité : les prémices du changement

Sensibilisation à la cybersécurité  crédit Depositphotos HayDmitriy

Plus de 8 violations de données sur 10 dans le monde relèvent d’une erreur humaine. L’utilisateur est le maillon faible de la cybersécurité, et cette vulnérabilité tire son origine d’un manque de connaissances des risques cyber et des comportements associés. Pour beaucoup, la cybersécurité est un problème relevant exclusivement du service informatique. Or la cybersécurité est l’affaire de tou.te.s. Lorsque les hôpitaux sont victimes d’un ransomware, les soins sont difficilement voire plus assurés du tout. Quand les entreprises sont touchées par une cyberattaque, nous perdons nos emplois. Nous sous-estimons encore l’importance de la cybersécurité sur notre société et notre économie.
Bien sûr, nous pouvons réduire ce risque humain par le biais de formations de sensibilisation. Or elles ne représentent que 10 % des budgets de sécurité des entreprises. Quelles sont les raisons de cet écart ? Par quels changements le combler ?

Sensibilisation à la cybersécurité : les progrès réalisés

La première recommandation que j’ai eu l’occasion de proposer à nos gouvernants est très simple : miser sur la formation. Dès l’école, et avant même qu’ils aient un ordinateur entre les mains, les élèves doivent être informés des risques cyber, au lycée, à l’université et jusque sur le lieu de travail. Car tôt ou tard, les utilisateurs seront confrontés à des cyber menaces, et sans pouvoir tout anticiper, nous pouvons agir sur leur comportement face à ces menaces.

Aujourd’hui, l’Agence nationale de la sécurité des systèmes d’information (ANSII) propose aux organisations des formations absolument essentielles, ainsi que d’autres services d’accompagnement. Le Campus Cyber, qui illustre l’engagement de la France en faveur de la sécurité, permet de former les élèves et de leur faire rencontrer des chercheurs, des entreprises, des fournisseurs et des représentants des administrations. Le secteur dynamique de la tech française a bien compris la nécessité de former les acteurs des hautes technologies au risque cyber.

En parallèle, des fonds d’investissement comme Auriga Impact Ventures (anciennement Cyber Impact Ventures), fondé en septembre 2021, proposent des financements early-stage à des start-ups de cybersécurité françaises et européennes. Notre objectif est d’accélérer l’innovation dans les solutions de cybersécurité et de sensibilisation. Il s’agit là d’un progrès important, mais encore insuffisant. Nous devons aller plus vite.

De la sensibilisation à la vigilance : une évolution indispensable

Si la formation cyber doit commencer dès le plus jeune âge, nous avons aussi besoin d’une solution plus immédiate pour résoudre la crise actuelle. Chaque entreprise a l’obligation de préserver la continuité de ses services, qui dépend de l’intégrité des systèmes d’information, donc d’enseigner à ses utilisateurs de meilleures pratiques cyber. Pour cela, quatre initiatives sont essentielles :

1 – Cartographier le risque en interne

L’objectif de la formation de sensibilisation à la cybersécurité est de limiter le risque cyber. Pour autant, ce risque est propre à chaque employé et varie selon différents facteurs propres à cette personne. Avant de mettre en place un programme de formation, pour comprendre les besoins de leurs employés les organisations doivent donc cartographier leur risque cyber en fonction de quatre facteurs :
Recours au shadow IT (utilisation d’applications non approuvées par le service informatique)
Sensibilité de l’activité
Interactions numériques avec les clients, fournisseurs et partenaires
Comportement
Cela permet de déterminer le niveau de connaissance dont chaque employé a besoin pour définir la formation personnalisée dont il a besoin.

2 – Expliquer l’importance du risque cyber lors de réunions générales

Les entreprises doivent également faire de la cybersécurité l’une de leurs priorités organisationnelles. Les réunions pour l’ensemble du personnel sont le moment idéal pour évoquer l’importance du risque cyber et son impact sur chaque partie prenante. L’objectif est également de créer une culture de la cybervigilance

3 – Former chacun de manière personnalisée

Le risque cyber variant pour chaque employé, l’organisation doit éviter les formations génériques, et favoriser des programmes basés sur leur exposition aux quatre facteurs de risque précités.
Si des employés ont recours au shadow IT, leur formation doit aborder ce point. Les professionnels de santé doivent quant à eux bénéficier d’une formation tenant compte du temps et de l’attention de tous les instants demandés par leur métier. Les employés qui manipulent beaucoup de liens ou de pièces jointes aux e-mails doivent de leur côté suivre une formation axée sur ce scénario.
Ce niveau de personnalisation est déjà possible en tirant parti de l’intelligence artificielle pour évaluer le comportement des utilisateurs au sein de suites de collaboration comme Microsoft 365. Cette évaluation fournit une formation automatique adéquate et personnalisée dès qu’ils en ont besoin, 24 h/24 et 7 jours sur 7.

4 – Certifier la sensibilisation à la cybersécurité lors des entretiens annuels

Au-delà de la seule formation, les organisations doivent aussi certifier les connaissances acquises des utilisateurs en matière de risque cyber sur la base de leur profil. Cette certification repose sur la cartographie des risques et la formation personnalisée, et doit intervenir lors de l’entretien annuel de chaque employé, pour donner à la cybersécurité la même importance que les autres tâches associées au poste et encourage ainsi les employés à la prendre au sérieux.

La sensibilisation à la cybersécurité de demain se dessine
Que nous le voulions ou non, nous sommes au cœur d’une cyberguerre menée par des hackers avides ou soutenus par des gouvernements. Et pour y survivre, la connaissance constitue notre défense la plus simple et la plus importante.
Chacun est responsable de la cybersécurité, quand les entreprises doivent être moteur. Nous sommes sur la bonne voie, il ne nous reste plus qu’à accélérer en particulier sur le sujet de la formation.
Sensibilisation à la cybersécurité  crédit Depositphotos HayDmitriy

Georges Lotigier, Fondateur et président du groupe OktoCampus: fondateur et actionnaire de référence de 3 sociétés, PDG de Vade (Next40/FT120 2019-2020-2021), leader technologique de la détection d’attaques par e-mail utilisant l’IA, à la suite du rachat de Vade-Retro antispam au groupe Goto ; Président fondateur de Scalair, opérateur et architecte de Cloud ; co-fondateur et administrateur d’OpenIO, visualisation de stockage Big Data à très haut débit (acquis par OVHcloud en 2020). Diplômé Ingénieur en Electronique et Télécom en 1982 (Polytech Lille - IMA), il a été successivement chef de projet de systèmes de sécurité dans les centrales nucléaires (Velec-Sagem), fondateur d’Exer Videocom en 1986 (communication de données et de vidéos pour réseaux télévisés câblés) et d’Exer Datacom (distributeur à valeur ajoutée de solutions de sécurité informatique et réseau - fabricant d'appareils réseau), puis de NetASQ/Stormshield en 1998 (dispositifs de sécurité réseau, Firewall-IPS, qui font partie d'Airbus Defense depuis 2012). Il siège au Conseil d’Administration d’Hexatrust (groupement français d’entreprises du cloud computing et de cybersécurité).