Avec une entreprise française sur deux, victime de cyberattaques et un nombre d’arnaques qui ne cesse de croître depuis 2020, protéger ses actifs informatiques matériels et immatériels devient vital. Réglementations, technologies, outils, process et organisation, la cybersécurité s’articule autour de plusieurs axes stratégiques mais la formation demeure l’un des piliers essentiels, surtout avec une sophistication toujours plus grande des actes de piraterie (phishing pour récupérer des données, virus informatiques, ransomware…). Replacer l’humain au cœur de la cybersécurité s’avère plus que jamais nécessaire pour permettre aux entreprises comme aux administrations publiques d’élever leur propre enceinte de sécurité.
Utile et engageante : la formation cyber dans tous ses états
On considère encore parfois que les formations en sécurité informatique sont destinées à un cercle restreint d’initiés. Or, il n’en est rien, car tout le monde aujourd’hui est acteur de cette sécurité et constitue un maillon de la chaîne. Il s’agit donc avant tout de proposer une formation théorique suffisamment concrète et générale pour être accessible à n’importe qui et que toutes les branches de l’organisation s’en emparent. L’objectif étant qu’il n’y ait aucun maillon faible. Habillées de cas concrets, tels que l’enregistrement d’une fraude au président pour se rendre compte du mode opératoire employé, d’anecdotes et de mises en situation simples et ludiques, les formations ont pour but de marquer les esprits de manière à ce que les bons gestes soient appliqués le plus vite possible. Faire des analogies avec des expériences du quotidien s’avère également être un moyen efficace pour y parvenir, à l’image de la pièce d’identité à ranger dans un endroit sécurisé lorsque l’on est en vacances. Afin de mettre en place le mécanisme de défense le plus adéquat au contexte de la structure, il faut réaliser en amont une étude des attaques qui ont déjà pu avoir lieu pour identifier ce qui a péché et pouvoir personnaliser la formation.
Elle sera ainsi construite en fonction des missions du collaborateur et en adéquation avec les besoins de l’organisation. Par exemple, en R&D, on abordera des notions de propriétés intellectuelles et on insistera sur le code (comment produire du code fiable, non vulnérable, et le protéger). Côté finances, on se concentrera davantage sur la gestion des comptes et la question de la copie papier. En résumé, il y a un tronc commun et ensuite des spécifications par métier. La formation permet donc de cibler et d’optimiser les informations.
Véritable levier de protection des entreprises et des services publics
Le facteur humain est responsable, dans la très grande majorité des cas, des causes d’infiltration. D’après un rapport IBM, 95 % des brèches de cybersécurité sont liées à l’erreur humaine. En formant les équipes régulièrement, on réduit par conséquent considérablement le risque d’incidents. Aujourd’hui, la démarche se répand car n’importe quelle structure peut être victime d’une cyberattaque, y compris les TPE / PME. Certains secteurs sont toutefois plus touchés que d’autres, à l’instar des administrations publiques et des institutions de santé. D’ailleurs, le nombre d’incidents de sécurité informatique visant les établissements de santé n’a cessé d’augmenter ces derniers temps. Les experts en sécurité informatique de l’ANS (l’Agence du Numérique en Santé) indiquent que le chiffre a doublé en 2021. En effet, si auparavant le logiciel antivirus d’une organisation semblait suffir à détecter les dangers et empêcher les fichiers suspects de causer des dégâts plus étendus, les responsables informatiques doivent désormais s’inquiéter de menaces avancées qui permettent aux pirates d’entrer par des portes dérobées, et de rester sur les réseaux sans être détectés pendant des mois. En sensibilisant l’ensemble des personnels aux nouvelles formes d’attaques et en leur apprenant les basiques (gestion du poste de travail et de la boîte e-mails, mot de passe fort, etc.), on supprime déjà une part importante des problèmes.
En outre, comme la formation prend en compte les particularités des fonctions de chacun, elle permet de repenser et de fluidifier certains processus, voire de mettre en place des systèmes de protection automatique, tels que l’auto-verrouillage ou l’interdiction de certains accès. Former tous les acteurs d’un écosystème, aussi diversifié soit-il, c’est donc agir efficacement contre le risque d’attaques qui peut se traduire par des demandes de rançons se chiffrant en millions, voire même par un arrêt général de l’établissement conduisant à des dommages collatéraux, techniques ou pire dans le cas des hôpitaux, où des vies dépendent de l’accès aux données.
Avec l’essor du télétravail, l’expansion du numérique et des technologies toujours plus pointues, le monde fait face à une épidémie de la cybercriminalité sans précédent (elle a coûté pas moins de 6000 milliards de dollars en 2021). De nouvelles attaques voient le jour et les entreprises comme les services publics se retrouvent face à des situations qu’elles ne peuvent pas toujours résoudre. La formation constitue l’un des meilleurs remparts à ce phénomène croissant, une régularité étant néanmoins de mise au regard de l’évolution des techniques et plus largement de la société dans laquelle nous vivons.
Tribune rédigée par Edouard Camoin, VP Résilience chez 3DS OUTSCALE
<<< A lire également : Systèmes d’information : faut-il tout miser sur le « cloud de confiance » ? >>>
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
