Sensibiliser et former : le pare-feu idéal contre les cyberattaques ?

Alors que les enjeux liés à la cybersécurité sont croissants, l’incitation à protéger les entreprises contre les attaques se transforme peu à peu en injonction. Une ambition qui se heurte cependant à un manque de formation des collaborateurs. Le risque zéro n’existant pas, il est d’autant plus urgent de sensibiliser tout le monde à ces sujets.

Cliquez si vous l’osez !

Ce n’est un secret pour personne, l’humain, aussi intelligent soit-il, n’est pas infaillible. Un constat auquel n’échappe pas le monde complexe de la cybersécurité. Bien que la technologie apporte son lot de garanties, notamment grâce aux bénéfices de l’intelligence artificielle, il est aujourd’hui impossible de tout analyser, de tout protéger tant les flux de données sont continus et colossaux. Si à cela on ajoute le manque de vigilance de chacun face aux risques des cyberattaques, on réduit drastiquement la propension à protéger son système d’information. Il est, en effet, relativement simple de se faire piéger par un lien malveillant. Pour autant, Il ne s’agit pas tant d’incriminer les entreprises et les collaborateurs que d’alerter sur le caractère vicieux des attaques et leurs conséquences sur l’activité.

En France comme dans bon nombre de pays, nous payons notre manque de culture informatique à bien des niveaux, notamment en entreprise. L’exemple du faux phishing déployé par le ministère des Finances en 2017 auprès de ses employés a montré que beaucoup ne sont pas encore sensibilisés à ces enjeux. Et on le sait, il suffit d’une simple faille pour qu’une attaque puisse s’y infiltrer. Au-delà de la méconnaissance de ces sujets, les plus petites et moyennes entreprises sont également sous-équipées pour faire face à des intrusions. C’est le cas de certains hôpitaux qui utilisent encore des systèmes d’exploitation « archaïques » comme Windows XP. Afin de suivre le rythme soutenu du phénomène de digitalisation touchant tous les secteurs, les entreprises doivent nécessairement s’équiper et rapidement.

La formation, pilier d’une stratégie cybersécurité

 Selon une enquête menée par iStorage, près de 9 employés sur 10 déclarent s’inquiéter du manque de formation en cybersécurité. Une donnée qui démontre que même s’il y encore une mauvaise connaissance de ces enjeux, les collaborateurs éprouvent le besoin de développer davantage l’idée d’une culture informatique en entreprise. Toutefois, il ne faut pas se leurrer, la demande en formation vient majoritairement des DSI, conscients d’un bout à l’autre de la chaîne des risques en cas de cyberattaque. Il est donc essentiel de leur fournir les outils nécessaires afin qu’ils puissent systématiser des processus de sensibilisation au sein de leur structure.

Si les formations sont à destination de tous, tout le monde ne dispose pas du même niveau de connaissance en la matière. Il y a tout intérêt à proposer du sur-mesure qui soit évolutif pour faire monter les collaborateurs en compétences et rester en phase avec les nouvelles formes d’attaques. Soyons clairs, les formations associées à un travail préalable de sensibilisation sont nécessaires pour que l’entreprise dans son ensemble soit concernée et proactive. Le contre-argument du coût élevé des formations et autres outils à cet effet ne doit progressivement plus masquer le besoin de se doter d’un « pare-feu humain », complémentaire de la technologie. Cela est d’autant plus vrai lorsqu’il y a un turnover important au sein des sociétés et qu’il y a un besoin de régularité dans la formation.

Pas de retour en arrière possible

 Face au risque grandissant des cyberattaques, les entreprises qui ne souhaitent pas déployer une stratégie dédiée vont de plus en plus être confrontées à un monde qui évolue en prenant compte de la question cyber. En témoigne le cas des assurances qui cherchent à inclure davantage de clauses liées à la protection des données et à celle des entreprises en générale. Aussi, observe-t-on que tout un champ de compétences autour des enjeux liés à la cybersécurité se déploie dans la société. Une perspective positive qui reste cependant insuffisante tant que la sphère politique n’impulsera pas des directives claires pour avancer dans le bon sens. Et ce n’est pas l’arrivée du nouveau cloud européen Gaia-X qui y changera grand-chose, à regret.

On pourrait alors penser qu’être au fait de ces problématiques impliquerait nécessairement une forme de paranoïa généralisée au sein de notre société. Comportement excessif ou non, pour lutter contre les attaques et leur caractère insidieux, il vaut mieux être trop vigilant que pas assez.