En Belgique comme ailleurs, les entreprises sont en pleine transformation digitale. La rapidité à laquelle la technologie évolue les oblige à reconsidérer leurs stratégies en matière de sécurité informatique, tant les problèmes liés à la cybercriminalité se développent eux aussi de manière effrénée. Et pour cause : la probabilité de trouver des failles grandit de façon exponentielle en raison des cycles d’acceptation de plus en plus courts des nouveaux produits.

Dans ce contexte, il s’agit de redoubler de vigilance. Une gestion optimale des risques - hacking, espionnage et autres fraudes - ne se limite pas à l’implémentation d’outils technologiques tels que des antivirus ou des pare-feu. Le facteur humain est primordial. Les chiffres l’attestent : l’erreur humaine est responsable de 80 % des incidents. La majorité des employés ne se rendent pas compte à quel point leur comportement journalier joue un rôle dans la sécurité. Les hackers le savent parfaitement et profitent actuellement bien plus des failles humaines que des failles technologiques.

 

Hameçonnage, clés USB, réseaux sociaux, helpdesk

Le manque de préparation et de conscientisation des collaborateurs est aujourd’hui flagrant au sein des entreprises, quels que soient leur secteur d’activité ou leur taille. Certains cas de fraudes pourtant bien connus des experts se répètent chaque jour. La fameuse technique du phishing ou hameçonnage en fait partie. Elle consiste par exemple à vous faire croire que vous avez affaire à votre banque afin de vous soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte d'identité, etc. Au final, le hacker dispose de suffisamment d’informations pour perpétrer une usurpation d'identité et des délits en votre nom.


La majorité des employés ne se rendent pas compte à quel point leur comportement journalier joue un rôle dans la sécurité.
 

Autre exemple classique : le hacker laisse intentionnellement traîner une clé USB dans une entreprise… dans 9 cas sur 10, un membre du personnel la récupère, vérifie ce qu’il y a dessus… et c’est un programme d’espionnage industriel qui se déclenche à distance sur le PC du collaborateur. De nombreux autres exemples sont encore légion, comme les réseaux sociaux épluchés par les cybercriminels pour dénicher des infos personnelles sur un collaborateur.

Aujourd’hui, l’une des cibles préférées des hackers est le helpdesk, car les personnes qui y travaillent ont une particularité : elles sont très empathiques. En jouant sur cette fibre, les criminels peuvent avoir accès à des données sensibles, d’autant plus qu’ils sont souvent très documentés et donnent une foule de détails au helpdesk.

 

Programmes de sensibilisation

Les informations diffusées aux employés dans les entreprises à propos de tous ces dangers n’ont de toute évidence pas l’effet escompté. En clair, une telle démarche est insuffisante ! Heureusement, aujourd’hui, de véritables programmes de sensibilisation commencent à se déployer. Bien plus complets qu’une simple information, ils visent à provoquer des changements de comportements parmi les collaborateurs.


Seuls 5 % des managers ont déjà suivi une formation spécifique concernant les dangers de sécurité.
 

Ces programmes visent en premier lieu les personnes occupant les positions hiérarchiques les plus élevées dans les organisations. Car, paradoxalement, ce sont bien elles qui ont les comportements les plus à risque par rapport à cette problématique de la sécurité. Et comme ces personnes ont aussi le plus facilement accès aux informations sensibles des entreprises, elles constituent une cible privilégiée pour les cybercriminels.

Ces derniers savent aussi par exemple très bien qu’un mail venant d’une personne de la direction aura bien plus d’impact qu’un mail émanant d’une autre personne. Autre chiffre qui en dit long : seuls 5 % de ces managers ont déjà suivi une formation spécifique concernant ce type de dangers. Comment imaginer dès lors que des employés suivront une politique de sécurité si la direction ne montre pas l’exemple ? À cela, s’ajoute un problème de perception : la plupart des responsables pensent que leur niveau de sécurité est bon.

 

Formations en sécurité informatique

Il est particulièrement utile de préciser que ces programmes de sensibilisation n’ont que peu à voir avec des formations en sécurité informatique. Ces dernières n’ont généralement pour objectif que d’améliorer les connaissances techniques des collaborateurs. Les programmes de sensibilisation, eux, visent à leur faire prendre conscience des comportements inadéquats, à changer ceux-ci, voire à bouleverser toute la culture de la société par rapport à la sécurité informatique. Ils sont par exemple basés, entre autres, sur des jeux entre équipes, la répétition de bonnes pratiques durant plusieurs mois ou encore la diffusion régulière de news. On opère ici comme un véritable plan marketing en interne.

 

Cet article a été rédigé en collaboration avec Olivier Potmans (Devoteam) et Philip Verbeeck (Kaspersky).