La formation n’a pas encore la place qu’elle mérite dans l’entreprise

coiffe d'étudiant, graduateNon pas qu’elle soit considérée comme improductive ou inefficace, mais l’urgence des tâches quotidiennes remet souvent les formations à plus tard et elles sont faiblement priorisées. Malheureusement, sous l’angle de la cyber-sécurité, plus tard veut toujours dire trop tard.

La cyber-criminalité s’attaque essentiellement aux données informatiques. Et a contrario d’un Picasso dérobé dans un musée qu’une enquête attentive offre une chance de récupérer, vos documents informatiques resteront volés ad eternam : une fois qu’une tierce partie les a obtenus, vous ne pourrez jamais en retrouver l’usage exclusif. Ils seront copiés, archivés, vendus ou donnés sans que vous ne puissiez l’empêcher.

Si on prend le cas d’une exfiltration de données sensibles (des dossiers médicaux par exemple), vos sauvegardes vous permettront certainement de remettre vos infrastructures informatiques en état de fonctionnement avant l’intrusion. Mais les dossiers qui ont été copiés ne pourront jamais être récupérés et seront exploités d’une façon ou d’une autre. Pas de CTRL-Z, de CMD-Z ou de menu « Annuler » !


L’organisation traditionnelle des lignes de défense

En schématisant (beaucoup), on peut décrire les habituels niveaux de protection des données et des entreprises ainsi :

  • Périmètre du réseau

Le réseau de l’entreprise est protégé par un pare-feu qui en limite l’accès aux seuls services nécessaires. Il permet également de contrôler quelles parties du monde extérieur sont visibles depuis l’intérieur de l’entreprise et limite ainsi les exfiltrations de données.

Un antivirus et un antispam de périphérie permettent de filtrer les échanges de courriels, surveiller les logiciels et les activités sur le réseau qui pourraient être dangereux.

Des services externes (anti-DDoS par exemple) auprès de prestataires spécialisés offrent une protection supplémentaire contre certaines attaques.

Le suivi et l’ajustement de ces défenses sont fastidieux et exténuants car  c’est une tâche sans fin tant les cyber-criminels sont créatifs et mobiles.

  • Collaborateurs

Ils se trouvent en première ligne et sont le point de contact privilégié avec le monde extérieur (les clients, les fournisseurs, et les criminels). Ils reçoivent et traitent les courriels, gèrent les appels téléphoniques et surfent sur internet.

  • Services IT

Les services informatiques ont en charge la gestion du réseau, des infrastructures et le développement des logiciels utilisés par les collaborateurs et les clients. Ils doivent notamment assurer la sécurité et la pérennité des données, les protéger des accès et des modifications non autorisées, et garantir leur résilience.

  • Cyber-assurances

En toute dernière ligne, elles proposent des services classiques de couverture de risques. Elles offrent une prise en charge des coûts de reconstitution des données, du soutien/dédommagement en cas d’atteinte à l’image ou de vols de données (via un rançongiciels p.ex.), des protections juridiques, etc. Une assurance ne peut cependant pas recréer ce qui a disparu. Comme un sparadrap qu’on applique sur une vilaine coupure : le saignement va cesser plus rapidement mais vous garderez la cicatrice.

Et il faut garder à l’esprit que le travail d’une assurance est de dépenser le moins d’argent possible!

Il est futile de protéger le château avec des remparts insurmontables lorsqu’il existe des tunnels qui passent sous les douves

Ces efforts sont malheureusement inutiles lorsqu’un collaborateur reçoit malgré tout un courriel malveillant que les filtres n’ont pas intercepté et qu’il ouvre la pièce-jointe attachée. Le contrôle effectué au niveau du réseau de l’entreprise peut aussi s’avérer inefficace lorsque le collaborateur consulte son courrier privé depuis son lieu de travail (via gmail.com par exemple) et y subit un hameçonnage.

De la même manière, les techniques d’ingénierie sociale consistent à s’efforcer d’obtenir des informations de la part des collaborateurs qu’ils ne communiqueraient pas en situation normale. Ils peuvent utiliser la mise sous pression, vous mettre en confiance, mais aussi simplement détourner votre attention ou utiliser d’autres mécanismes psychologiques. Cela peut se produire par téléphone mais aussi par courriel avec des questions qui semblent anodines et qui n’inquiéteront pas ni le pare-feu ni les autres mesures en place (antivirus/antipam).

Sans oublier l’utilisation de clés USB qui présente un risque certain que l’IT n’est pas toujours en mesure de contenir. Les virus et autres malwares sont ainsi apportés directement au coeur de l’entreprise, court-circuitant toutes les défenses installées en périphérie du réseau.

Comme tous ces points d’entrées sont centrés sur les actions des collaborateurs (cliquer sur une pièce jointe, surfer sur un site, répondre au téléphone, etc), ces derniers sont trop souvent décrits comme « les maillons faibles » en matière de sécurité. Et pour tenter de les contenir ou de limiter les risques, on peut par exemple filter l’accès à certains sites (facebook, gmail, bluewin) ou interdire certaines pièces jointes dans les courriels (pas de .zip ou de .exe). Et c’est faire fausse route !


Les collaborateurs sont votre principale ligne de défense.

Ils sont totalement complémentaires aux services IT qui ne peuvent pas réellement être efficaces seuls. Mais bien sûr, il ne s’agit pas de ceux à qui on a strictement expliqué comment s’acquitter de leurs tâches quotidiennes et qui font de leur mieux en l’absence de moyens. Les connaissances techniques pour comprendre le fonctionnement des activités criminelles leur manquent, et la plupart du temps ils ne peuvent simplement pas imaginer tout ce qui est en jeu.

Non! Je veux parler des collaborateurs formés aux cyber-risques et qui deviennent alors votre principale protection contre les menaces courantes ! Lorsqu’ils ont été sensibilisés aux activités des cyber-criminels, qu’ils ont vu comment fonctionnent le hameçonnage et les rancongiciels, les techniques du social engineering et ce que ça implique, ce qu’on peut faire avec une simple clé USB, et qu’ils ont découvert qui se trouve à l’autre bout du clavier et quelles sont leurs motivations et leurs objectifs, ils sont infiniment mieux préparés et armés pour prendre les bonnes décisions, avoir les bonnes réactions et seront particulièrement vigilants.

Il ne s’agit pas de transformer les collaborateurs en experts en cyber-criminalité

Cette formation, cette sensibilisation, leur apporte un confort déterminant dans leurs gestes de tous les jours, autant dans l’entreprise que dans leur sphère privée. Il est infiniment plus facile de détecter un courriel malveillant ou une demande téléphonique dont il faut se méfier une fois que l’on sait ce que c’est.

Cette insécurité pèse sur le quotidien de tous, et il est pourtant extrêmement facile de la convertir en confiance en soi.

Certes, les cyber-criminels ont besoin de la coopération involontaire d’un collaborateur pour infiltrer une entreprise. Pas toujours bien sûr, mais la plupart du temps. En revanche, les collaborateurs formés, éduqués, accompagnés, constituent alors un pare-feu supplémentaire et redoutablement efficace pour les données de l’entreprise.

Ils ne régleront pas la question à eux seuls, mais la cyber-sécurité ne s’obtiendra pas sans eux.

Les entreprises doivent faire évoluer leur modèle qui consiste à régler les problèmes de sécurité informatique à coup de logiciels spécialisés, de matériel hors de prix, d’équipes IT renforcées ou de cyber-assurances ; la réponse doit être globale et l’intégralité de la structure doit être impliquée, du service d’entretien jusqu’à la direction. Nous sommes tous concernés et nous avons tous un rôle à jouer.

La cyber-sécurité implique un travail collectif et il est temps de s’y mettre!