La culture de la cybersécurité en entreprise, l’enjeu majeur de 2020!

La culture de la cybersécurité en entreprise, l’enjeu majeur de 2020!

Cela fait longtemps que la culture de la cybersécurité et du respect de la vie privée au travail sont sortis du cadre de la Direction des systèmes d’information — des dirigeants aux collaborateurs, tous les employés sont concernés.

Malgré le formidable travail de sensibilisation réalisé par les médias, ou encore par les moteurs de recherche comme Qwant ou encore Firefox et Brave, les personnes qui maîtrisent mal l’informatique n’ont pas encore bien pris la mesure des actions à mettre en œuvre pour être en cybersécurité!

Au-delà des indispensables outils de protection et des mails bienveillants de bonnes pratiques CNIL ou ANSSI, la clé de la réussite en matière de cybersécurité se résume en un mot : l’humain. Sensibiliser et former ses équipes aux risques informatiques ne se limite pas seulement à l’application de quelques règles élémentaires. Il s’agit également d’arriver à développer une véritable « culture de cybersécurité » en interne.

En plein Forum International de la Cybersécurité qui se tient à Lille jusqu’au 30 Janvier, nous vous proposons de vous dévoiler les résultats de la cinquième enquête du CESIN sur la perception et la réalité concrète de la cybersécurité dans les grandes entreprises de vous distiller quelques conseils sur notre vision et notre stratégie d’instauration d’une  vraie culture de la cybersécurité au travail.

Retour sur les résultats de l’enquête

Cherchant à cerner l’état de l’art et la perception de la cybersécurité et de ses enjeux au sein des grandes entreprises françaises, le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, réalise chaque année depuis 5 ans une grande étude avec OpinionWay.

Pour cette cinquième édition, l’enquête confirme que le Phishing reste le vecteur d’attaque le plus fréquent : 79% des entreprises en ont été victimes, l’arnaque au Président – ou BEC Business Email Compromised – touchant encore 47% d’entre elles.

Le Phishing est suivi par l’exploitation des vulnérabilités (43%) ou l’ingénierie sociale (35%) sur le podium des principaux vecteurs d’attaque.

Une tendance à la structuration et la prévention

Sur le papier tout au moins, les grandes entreprises suivies par le CESIN semblent pourtant prendre toujours plus en considération les problématiques de cybersécurité et de cyber-résilience. 91% d’entre elles mettent en place un programme de cyber-résilience ou envisagent de le faire, soit une augmentation notable de 12% en un an.

En parallèle, 60% des entreprises ont souscrit à une cyber-assurance et 13% sont en cours de souscription, des chiffres une hausse constante ces trois dernières années. Ils traduisent une prise de conscience des cyber-risques aux échelons les plus élevés de l’entreprise mais pas nécessairement une volonté de changer de culture et d’adopter partout les bonnes pratiques. Une cyber-assurance ne protège pas des attaques.

Heureusement, bien des entreprises semblent en avoir pris conscience même si elles se tournent encore trop vers les solutions techniques dans l’espoir de compenser le manque de formations et le changement de culture indispensable. Parmi les outils de protection mis en place dans les entreprises, l’enquête révèle une hausse notable de 13% des solutions d’authentification multi-facteurs (adoptées par 72% des entreprises) et des « Endpoint Detection & Response » adoptés par 34% des entreprises (soit une augmentation de 14% en un an).

Un changement de culture cybersécurité long à imposer

Malgré tout, les entreprises françaises continuent d’afficher une certaine défiance dans l’approche Zero Trust assez révélatrice de l’absence de changement de culture. Même si 30 % des RSSI interrogés déclarent étudier la manière dont le modèle va se traduire, seulement 16 % des entreprises sont réellement engagées ou commencent à mettre en œuvre ce concept. Les offres innovantes issues de start-up sont adoptées par 42% du panel, pour les 58% qui n’y recourent pas le manque de maturité et la pérennité sont en question.

Des innovations sources de préoccupation

Par ailleurs, l’étude du CESIN revient sur les risques accrus engendrés par le cloud, l’IoT et même l’IA.

Le Cloud est bien évidemment pointé du doigt alors que 89% des entreprises du CESIN y ont recours, 55% d’entre elles stockant une partie de leurs données dans des clouds publics. Parmi les risques mis en avant : la non-maîtrise de la chaîne de sous-traitance de l’hébergeur (pour 50% des RSSI), la difficulté de mener des audits (pour 46% des RSSI), et la non-maîtrise de l’utilisation du cloud par les salariés (pour 46% des RSSI).Pour pallier ce manque de sécurité, 91% des entreprises estiment que des outils et/ou dispositifs spécifiques doivent être mis en place.


Dans un même ordre d’idées, le « Shadow IT » (ou « informatique fantôme »,  notion se rapportant aux matériels ou logiciels qui, dans une entreprise, ne sont pas pris en charge par le service informatique central. ) est mentionné par 98% des répondants comme étant une menace à traiter. L’usage des applications SaaS s’est banalisé dans les métiers et même au niveau individuel chez les collaborateurs, échappant toujours au contrôle de la DSI. Pour les RSSI, cela accroît significativement les risques notamment de fuites de données.

L’IoT est aussi une préoccupation croissante. Ils augmentent la surface d’attaque et engendrent de nouvelles typologies de menaces. 43% des RSSI interrogés s’inquiètent des failles de sécurité présentes dans ces équipements et 28% redoutent le flou dans lequel ils se sentent pour apprécier les risques potentiels.

L’étude montre également que l’IA embarquée au cœur de la plupart des solutions de cybersécurité doit encore faire ses preuves. 47% des RSSI ne lui font pas confiance.

Enfin, selon le rapport du CESIN, les efforts doivent aussi se focaliser sur la gouvernance (pour 70% des RSSI) et sur la formation et la sensibilisation des usagers (pour 57% des RSSI).

Pour plus de détails, la 5ème édition annuelle du baromètre du CESIN est disponible en téléchargement.

 

La culture de la cybersécurité doit être portée par le Comité de Direction de l’entreprise et reprise par tous !

Aucune stratégie de changement digne de ce nom n’est jamais partie de la base. Pour mettre en place une culture de la cybersécurité, vous devez commencer par la direction. Sans préparation adéquate, c’est-à-dire sans chiffres démontrant le retour sur investissement, les dirigeants seront difficiles à convaincre.

Dans le domaine de la cybersécurité, mieux vaut investir que recoller les morceaux après une violation de données : question de rentabilité pour l’entreprise. D’après une étude Ponemon réalisée en 2015 : «les sociétés perdent en moyenne plus de 7,7 millions de dollars US chaque année (à cause de la cybercriminalité).»

Les cybercriminels excellent dans l’identification de failles et de vulnérabilité au sein des entreprises, en exploitant notamment des informations personnelles affichées publiquement sur les réseaux sociaux. Les centres d’intérêt d’un employé, la date de naissance de ses enfants ou encore le petit nom de son chien sont autant d’éléments pour enrichir des e-mails de phishing ciblés ou d’indices pour casser ses mots de passe.

La compromission notamment est un risque de plus en plus grand. «Toutes les entreprises et tous les employés peuvent devenir vecteurs de menace. Que ce soit via des attaques de masse comme pour le ransomware WannaCry en 2017, mais aussi involontairement au travers d’attaques de plus en plus ciblées », indique Stéphane Prévost, Product Marketing Manager chez Stormshield.

Cybersécurité : nous sommes tous concernés !

Et une telle démarche n’est pas simple – et ce, pour plusieurs (bonnes) raisons. La première raison tient au fait que, ces nouveaux process de sécurité sont généralement perçus comme une contrainte supplémentaire par les collaborateurs. En parallèle, le fonctionnement en silos d’un certain nombre d’entreprises ne favorise pas toujours ce travail d’équipe puisqu’une collaboration minimaliste ne permet pas de diffuser de façon efficace une culture partagée. Ainsi, il semble difficile de collecter en temps réel des retours concrets sur les vulnérabilités de l’entreprise et de trouver comment les résoudre rapidement.

Cette culture de la cybersécurité devrait insister de manière encore plus importante sur l’intégration de la sécurité en amont, dans le cycle de développement des logiciels métiers. Un des meilleurs moyens de sensibiliser tous les services de l’entreprise à la gestion des données sensibles ! Avec le RGPD, le « Security by Design » est même devenu une norme pour empêcher que le logiciel ne devienne lui-même le maillon faible en matière de sécurité. Mais souvent, c’est le manque d’équipes qualifiées en interne qui freine ce travail de déploiement d’une politique récurrente d’information sur les risques informatiques.

Enfin, l’émergence d’une culture de cybersécurité peut également souffrir d’un mode de diffusion trop descendant. L’adhésion des collaborateurs passe par une forte implication de la direction mais aussi du middle management, ce qui implique de placer en permanence l’utilisateur final et ses besoins au centre des préoccupations. C’est par les usages au quotidien que la cybersécurité sera la plus efficace.

Proposer des solutions de protection adaptées aux usages métiers

Beaucoup d’entreprises ont un rapport distant à la cybersécurité. Pour ces entreprises, la sensibilisation des collaborateurs est autant une évidence qu’une urgence. Un utilisateur relativement averti peut à lui seul éviter beaucoup de risques ! D’autant que les menaces sont plus souvent liées à des collaborateurs imprudents ou malchanceux, qu’à des employés véritablement malveillants.

L’un des problèmes notamment à ne pas négliger dans l’usage que font les salariés des outils informatiques étant le « Shadow IT », cette propension des employés à utiliser de nouvelles applications à des fins professionnelles sans consulter la direction informatique. Autre impératif majeur : s’assurer que toutes les procédures de sécurité s’intègrent harmonieusement dans le process métier de chaque direction, pour cela n’hésitez pas à consulter Extern IT pour vous accompagner dans votre démarche !

Enfin, il faut également tenir compte du travail en mobilité. « Le périmètre de sécurité intra-entreprise n’ayant plus de sens à l’heure du travail nomade, des objets connectés ou des ERP externalisés, les entreprises doivent aujourd’hui construire une politique de sécurité renforcée en recourant par exemple à une segmentation plus fine des flux de données. Celle-ci, conçue selon le principe du « zero trust network », permet de confiner une menace et d’éviter qu’elle se propage.

Créer une culture de la cybersécurité dans les entreprises.

Les salariés, tout comme les outils et les processus sont les clés d’une cybersécurité performante, mais sans formation appropriée, les salariés peuvent devenir le maillon faible de la sécurité informatique en entreprise.

Il est important de rappeler qu’une sécurité informatique efficace repose sur trois piliers : les produits et les services de sécurité, les processus et les personnes. Le simple fait d’augmenter le budget alloué aux outils n’est pas une réponse suffisante face à la multiplication des menaces de plus en plus sophistiquées. Les salariés sont la clé d’une cybersécurité efficace et chacun à un rôle à jouer pour :

  • Identifier et prémunir son entreprise contre les menaces.
  • Détecter les incidents et exécuter un plan défini par ses équipes d’encadrement pour répondre aux incidents.
  • Reprendre le plus rapidement possible une activité normale suite à un incident.

Parce que la cybersécurité n’est pas une solution « one-shot », standardisée et applicable de la même façon à chaque entreprise, votre culture de la cybersécurité doit inclure :

  1. Une architecte orientée vers la sécurité
  2. Des mesures à adopter en cas d’incident.
  3. Ajouter le contrôle continu des process et du SI au sein de l’organisation.
  4. Concentrez-vous sur la sensibilisation et la responsabilité individuelle de chacun dans la sécurité informatique de son entreprise.

5 conseils pour créer une culture de la cybersécurité dans son entreprise :

  1. Trouver la motivation – Sachez que la sécurité est essentielle. De nos jours, les gens sont couramment exposés à des problèmes de mot de passe, au phishing, au vol de données et à diverses autres menaces. En s’attaquant aux préoccupations et aux risques de sécurité, les employés peuvent mieux se protéger contre de tels risques au travail et à la maison.
  2. Créer une émulation – En créant une saine concurrence au sein de l’organisation, les employés seront plus engagés et prendre les mesures de sécurité au sérieux. Non seulement les employés seront motivés pour adopter les mesures de sécurité, ils la promouvront à d’autres et rivaliseront d’idées pour avoir la meilleure sécurité. Par exemple, quand un collaborateur laisse son poste ouvert alors qu’il n’est pas à son poste, il se fait « hacker » sa boite e-mail et doit payer sa tournée de viennoiseries aux équipes. Redoutablement efficace et très ludique. Règles officielles disponibles sur le site chocoblast.fr.
  3. Former des alliés de sensibilisation à la sécurité – S’assurer que les mesures de sécurité sont prises au sérieux n’est pas la seule responsabilité de l’équipe informatique. Les autres départements de l’entreprise doivent être impliqués pour que tout le monde pratique les mêmes mesures et ne laisse aucun espace pour les menaces.
  4. Permettre aux employés de prendre des initiatives – En responsabilisant les employés au sein de l’organisation et en reconnaissant leurs initiatives, les niveaux de motivation vont augmenter, ce qui conduira vraisemblablement à l’efficacité.
  5. Rester dans la simplicité – Les objectifs de votre entreprise doivent être clairement définis et les processus doivent être alignés pour atteindre les objectifs d’affaires. Chaque employé doit être informé de ses priorités et la sécurité n’est pas différente car la valeur de la sécurité doit être instillée dans les processus visant à protéger l’ensemble de l’organisation.