La cybersécurité ne peut se réduire aux événements informatiques – ransomware, virus, etc. – quand, par exemple, une fuite d’information peut provenir d’un concurrent ! Toutefois, dans l’entreprise, comme en télétravail, le principal moyen de vigilance repose sur le facteur humain, et tient en un mot : la prévention.
« La cybersécurité est d'abord un état recherché. L'idée est bien de « se mettre en cybersécurité », lance d'emblée Pierre Dal Zotto, professeur de système d'information et coordinateur de la Chaire Digital, Organization and Society (DOS), de Grenoble Ecole de Management.
Le premier enjeu pour l'entreprise est donc de réfléchir aux protocoles et processus qui garantissent la non-compromission du patrimoine informationnel de l'organisation, ce qui se traduit par la préservation de la disponibilité, de l'intégrité et de la confidentialité des données, souligne encore Pierre Dal Zotto. Aujourd'hui, si les moyens d'attaque évoluent en permanence, ils sont pour la plupart connus. On peut imaginer leurs fonctionnements et les risques inhérents à ces attaques. »
PEBCAK, rendre l'utilisateur vigilant
La cybersécurité se fonde sur une prise de conscience à l'échelle individuelle et de l'organisation. PEBCAK, terme utilisé par le support technique pour expliquer que le problème est généralement l'utilisateur (littéralement le problème se situe entre la chaise et le clavier), interroge le rôle clé des utilisateurs finaux. « La cybersécurité est avant tout un problème humain, et relève d'un défaut de formation. Concrètement, cela se traduit par le fait de brancher sur son ordinateur une clé USB provenant d'on ne sait où ; de cliquer sur un email « urgent » ou sur une pièce-jointe, un lien… Ou par un mot de passe de session, laissé à vue sur son ordinateur… Aussi, ce qui importe avant tout de travailler, c'est le niveau de conscience du risque des employés, cadres et dirigeants en matière de cybersécurité. C'est pourquoi, la formation de tous à la sécurité informatique devrait être considérée comme un investissement, et non comme une dépense », insiste Pierre Dal Zotto.
Prévenir, c'est d'abord anticiper !
La cybersécurité se fonde donc sur un état d'esprit, sur des processus, mais aussi, sur l'intervention de bons prestataires, spécialistes du domaine. « Des sociétés sont spécialisées par exemple dans les « pentests », ou tests de pénétrations. Si l'entreprise dispose d'un site de e-commerce par exemple, le recours à un prestataire spécialisé permettra de procéder à la chasse aux bugs (ou « bug bounty ») », souligne encore Pierre Dal Zotto. Au-delà, il faudrait systématiquement réfléchir et formaliser un plan d'action en cas de fuite d'informations ou de piratage informatique, en se posant trois questions clés : sur quoi portent les risques, comment les limiter et comment réagir ?
Vigilance enfin concernant le risque juridique, lié à la sécurité informatique. Selon le règlement général sur la protection des données (RGPD), une entreprise, victime d'une violation de données à caractères personnels, dispose ni plus ni moins de 72 heures pour effectuer une déclaration en bonne et due forme auprès de la CNIL (Commission nationale informatique et libertés).
« C'est pourquoi, plus que jamais, la cybersécurité bien conduite se fonde sur un subtil compromis entre un investissement en formation, un niveau de sécurité convenable et un niveau d'utilisabilité acceptable. On ne peut définitivement pas se reposer sur la technique. Il est ainsi inutile d'utiliser par exemple les meilleurs algorithmes de chiffrements pour protéger ses données, si le mot de passe est noté sur un papier collé sous le PC » ! prévient Pierre Dal Zotto.
Quelques conseils avisés dans l'entreprise
- Séparer autant que possible l'activité personnelle et professionnelle sur deux ordinateurs distincts
- Utiliser le réseau privé virtuel (VPN) si l'entreprise en a.
- Définir un mot de passe fort, incluant majuscules et minuscules et caractères spéciaux, en utilisant une technique de mémorisation phonétique. Un exemple : J'ai sur mon bureau un livre, mon ordinateur et un casque audio ! donnera : GsMb1L,mO&1cA! (NE PAS UTILISER CE MOT DE PASSE, il est désormais diffusé sur le web.)
Pour aller plus loin
Télétravail : comment bien se protéger ?
Une fois les ordinateurs et terminaux mobiles sortis de l'infrastructure réseau de la société et connectés à un nouveau réseau Wi-Fi, le risque de piratage des données de l'entreprise grandit. Hors des murs, le niveau de vigilance doit être accru pour conserver un standard de sécurité maximum, notamment pour les activités sensibles comme celles visant les données financières ou les informations confidentielles.
- Utilisez le VPN de l'entreprise – c'est-à-dire un réseau privé virtuel qui permet de se connecter de manière sécurisée, par exemple, aux applications de l'entreprise – s'il existe.
- Ne pas mélanger le PC perso et le PC pro, ou brancher n'importe qu'elle clé USB sur l'un et l'autre.
- Ne pas laisser le PC pro ou perso non verrouillé, notamment si vous avez des enfants.
- Mettre à jour vos systèmes d'exploitation, logiciels et antivirus.
- Etre VRAIMENT vigilant sur les pièces jointes et les liens dans les emails, notamment ceux qui sont corrélés aux informations sur le Covid-19…
Recommandations de sécurité relatives aux mots de passe
La Cybersécurité selon l'Anssi
L'Agence nationale de la sécurité des systèmes d'information (Anssi) définit la cybersécurité comme telle : « État recherché pour un système d'information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d'information et s'appuie sur la lutte contre la cybercriminalité et sur la mise en place d'une cyberdéfense. »
