Cybersécurité: replacer l’humain au centre
WannaCry, (Not)Petya, British Airways hack… les récentes cyberattaques qui ont infecté des milliers de systèmes informatiques et piraté les données de millions d’individus se sont retrouvées sous les feux des projecteurs au cours de l’année 2017. Selon le rapport annuel de l’entreprise informatique Cisco, 53% des cyberattaques ont coûté entre 400.000 et 4 millions d’euros aux entreprises concernées en 2017. Un chiffre qui incite les organisations à placer la sécurité au cœur de leur stratégie mais aussi de leur culture d’entreprise. Car au-delà de la technologie et des processus, un autre pilier essentiel, souvent négligé, gravite autour de la sécurité: le facteur humain. Philippe Pierre, associé en charge du secteur public à Luxembourg et responsable mondial Institutions européennes chez PwC, et Vincent Villers, associé et Cybersecurity Leader chez PwC Luxembourg, nous expliquent pourquoi impliquer activement les collaborateurs d’une organisation dans la lutte contre les cybermenaces est une priorité.
Les questions de cybersécurité occupent une place croissante au sein de toutes les organisations, privées comme publiques. Quel est le niveau d’information des employés à ce sujet?
PP: Le niveau de sophistication des cyberattaques est de plus en plus élevé. Et l’impact de ces événements sur l’économie sont considérables: l’Union européenne estime que les cyberattaques coûtent en moyenne 400 milliards d’euros par an à l’économie mondiale. En Europe, ce sont 80% des entreprises qui ont été touchées par un incident lié à la cybersécurité en 2016. Ces attaques n’ayant pas de frontières et impactant l’ensemble de la société, le Conseil européen a adopté, en 2017, un paquet législatif sur la cybersécurité afin de mettre en place une approche commune de la cybersécurité au sein de l’Union européenne. Elle prévoit notamment de renforcer les compétences de l’ENISA, l’agence européenne chargée de la sécurité des réseaux et de l’information, en la chargeant d’aider les Etats membres à mettre en place la directive SRI relative à la sécurité des réseaux et des systèmes d’information. Cette réforme est d’autant plus importante que le niveau d’information des européens au sujet des cybermenaces est relativement bas. Selon la Commission européenne, 51% des individus se sentent peu informés sur le sujet et 69% des entreprises ont des lacunes sur leur exposition aux cyber risques. Créer un cadre commun autour de la cybersécurité permettra donc de mettre en place des actions communes d’informations et de prévention à ces risques.
VV: Informer les employés d’une organisation aux enjeux posés par la cybersécurité est essentiel si l’on veut réduire les risques d’attaques. Cette opération de sensibilisation requiert un temps certain, mais nécessaire. Selon l’institut de formation SANS spécialisé dans la sécurité, le temps consacré à la sensibilisation à la sécurité est essentiel car il permettra de développer une culture de la cybersécurité mais aussi de modifier le comportement des employés. Cependant, toujours selon ce même organisme, on voit que la question de la sensibilisation est souvent un problème de temps. Seulement 8% des professionnels se consacreraient à la sensibilisation en matière de sécurité à temps plein. Un chiffre plutôt bas, qui témoigne d’un manque d’implication des employés dans la lutte contre les cybermenaces. Le principal facteur de lutte contre ces menaces en entreprise n’est pas l’absence d’une politique interne de sécurité de l’information ou de logiciels pas assez puissants pour y faire face. Technologie et processus sont nécessaires, mais ne font pas tout. Le facteur humain, trop souvent négligé, doit être mis au centre de la stratégie de sécurité d’une entreprise pour pouvoir maximiser les chances de combattre les cyber risques.
Justement, comment mieux sensibiliser les employés d’une organisation aux cyber risques?
Investir dans l’humain pour relever les défis posés par la cybersécurité
VV: La sensibilisation à la sécurité en entreprise doit passer dans un premier temps par la pédagogie. Etablir une feuille de route annuelle permettra d’identifier des actions ciblées pour chaque département de l’organisation. Il faut toutefois s’assurer que ces actions aient un sens pour l’ensemble des individus, et ne soient pas perçues comme une session d’information obligatoire supplémentaire pour les employés. Il s’agit de modifier les comportements et donc seules des actions concrètes, intégrées dans le quotidien des employés, pourront avoir un effet sur leurs habitudes. Ainsi, le format des formations a également son rôle à jouer dans la sensibilisation des individus aux cybermenaces: e-learning ou encore participation d’un intervenant externe faciliteront l’implication des employés. Enfin, et cela est peut-être l’élément le plus important, mettre en place un dialogue entre la direction de l’entreprise, l’équipe IT et l’ensemble des employés engendrera une prise de conscience quant à la nécessité d’investir dans l’humain pour relever les défis posés par la cybersécurité.
Cybersecurity Day 2018
Le prochain Cybersecurity Day aura lieu le 18 octobre 2018 dans les locaux de PwC Luxembourg. Huit entreprises viendront y présenter leurs solutions innovantes en matière de cybersécurité. Jessica Barker, experte mondiale des facteurs humains de la cybersécurité, soulignera quant à elle l’importance de l’humain dans la gestion des cyber risques.