Cela fait longtemps que les concepts de cybersécurité et de respect de la vie privée au travail sont sortis du cadre de la Direction des systèmes d’information — des dirigeants aux télétravailleurs, tous les employés sont concernés.
Malgré le formidable travail de sensibilisation réalisé par les médias et les éditeurs de navigateurs comme Chrome, les personnes qui maîtrisent mal l’informatique n’ont pas encore bien pris la mesure des actions à mettre en œuvre pour être en cybersécurité.
A l'aube du 9ème Forum International de la Cybersécurité qui ouvrira ses portes le 24 janvier, nous pensions vous livrer quelques conseils sur la meilleure façon de procéder pour instaurer une culture de la cybersécurité au travail.
La cybersécurité se joue tout d’abord au niveau de la direction ou du conseil d’administration
Aucune stratégie de changement digne de ce nom n’est jamais partie de la base. Pour mettre en place une culture de la cybersécurité, vous devez «attaquer» par la direction. Sans préparation adéquate, c’est-à-dire sans chiffres démontrant le retour sur investissement, les dirigeants seront difficiles à convaincre.
Dans le domaine de la cybersécurité, mieux vaut investir que recoller les morceaux après une violation de données : question de rentabilité pour l’entreprise. D’après une étude Ponemon réalisée en 2015 : «les sociétés perdent en moyenne plus de 7,7 millions de dollars US chaque année (à cause de la cybercriminalité).»
Le pire est que le coût d’une violation de données n’est pas toujours possible à chiffrer. Dans certains cas, les conséquences se traduisent par une dégradation de la réputation ou un effondrement du cours de l’action.
Si l’on prend l’exemple de Talk Talk, l’action aurait chuté de 10,7 % pour s’effondrer à 239,7 p lorsque l’entreprise a été piratée pour la troisième fois. En octobre, le cours de l’action était de 210 p. Il serait inexact d’imputer cet effondrement uniquement à la cyberattaque, mais si l’on étudie l’évolution du cours de l’action sur 2016, on note une baisse à partir d’octobre 2015 avant l’amorce d’une certaine reprise. La dernière violation de données remonte d’ailleurs à octobre 2015.
Figure 1 - Image Google Finance
Pour convaincre les Directeurs de l’eXpérience Client (CXO), les Directeurs des Systèmes d’Information (DSI) vont devoir parler le même langage et centrer leur discours sur les enjeux financiers en évitant le jargon technique.
Vous devrez également rappeler à votre conseil d’administration et aux CXO qu’à défaut d’un niveau de cybersécurité adapté, ce sont vos secrets commerciaux que vous livrez potentiellement aux hackers. Conséquence : moins en pointe sur l’innovation, vous aurez plus de mal à conserver votre avance sur la concurrence.
Vos CXO et votre conseil d’administration doivent être prêts à intégrer les bonnes pratiques de cybersécurité à leur quotidien. Ils envoient d’ailleurs probablement des messages de haute importance lors de leurs nombreux déplacements professionnels. Mais mesurent-ils le degré de vulnérabilité de leurs communications et les risques d’interceptions une fois en dehors de l’entreprise ? Réutilisent-ils les mêmes mots de passe ? Autant de questions qui méritent de leur être posées avant de leur expliquer que la vulnérabilité à laquelle ils s’exposent fragilise leur propre entreprise. Incitez-les à réfléchir à deux fois avant de se connecter à un réseau Wifi ouvert pour envoyer des données sensibles concernant l’entreprise.
Investir dans la formation à la cybersécurité dans toute l’entreprise
Une fois l’approbation et l’adhésion du conseil d’administration et des CXO recueillies, investissez dans des formations sur le long terme ouvertes à l’ensemble des collaborateurs avec un programme sur la cybersécurité.
L’information devra être transmise à vos collaborateurs de la manière la plus claire et la plus pratique possible sans impacter la productivité des employés. Prenez les méthodes suivantes :
Intégration et cybersécurité
Travaillez en collaboration avec le département RH pour lancer un programme d’intégration des nouvelles recrues axé sur la cybersécurité. Avant toute prise de fonction dans l’entreprise, les collaborateurs doivent être sensibilisés aux bases de la cybersécurité avant de se voir remettre leur matériel informatique. Vous pourrez ainsi aborder les sujets suivants :
- Principes de base de la gestion des mots de passe
- Principes de bases du chiffrement et de la signature numérique, si vous utilisez ce type de solutions
- Phishing, comprendre ce qu’est le hameçonnage
- Sauvegarder son travail
- Envoyer des données personnelles et des informations importantes
- Comptes utilisateurs : limites, accès et authentification
- Règles et bonnes pratiques
Les nouvelles recrues auront sans doute hâte de se mettre au travail et ne feront pas grand cas de cette formation, surtout si c’est la première chose à laquelle elles sont confrontées. Tenez à leur disposition la documentation nécessaire à consulter avant toute prise de fonction. Vous pourrez ensuite les aider à se familiariser avec leur matériel qu’elles pourront ensuite configurer par elles-mêmes.
Le moment sera bien choisi pour leur expliquer que les collaborateurs représentent le maillon faible dans la cybersécurité d’une entreprise. Si vous commencez par les bases, vous pourrez ensuite les faire monter en compétence.
Formation continue à la cybersécurité
Chaque jour, de nouvelles attaques ou vulnérabilités frappent – certaines avec un retentissement médiatique plus important que d’autres. L’idéal serait que la DSI envoie des bulletins réguliers sur les types d’attaques et les points auxquels les employés doivent prêter attention.
Optez pour la «gamification» pour vos simulations d’attaques de phishing — le but étant d’inciter vos collaborateurs à rester sur leurs gardes face à de potentiels e-mails ou sites Web de hameçonnage. Vous pouvez ainsi suggérer que les premiers à informer leur DSI de ce type d’attaques recevront quelque chose.
Politiques et guides en matière de cybersécurité
Rapprochez-vous des départements RH et Juridique pour définir la politique de cybersécurité de votre entreprise. Pour cela, vous tiendrez compte des principaux vecteurs d’attaques de l’entreprise. Si vos collaborateurs sont nombreux à utiliser leur smartphone et leur tablette au travail, vous devrez mettre en place une politique régissant le travail mobile ou le BYOD. Si le télétravail est très répandu dans votre entreprise, vous pourrez par exemple définir les recommandations ou les bonnes pratiques à mettre en œuvre pour l’utilisation des réseaux de l’entreprise depuis le domicile des collaborateurs.
Ces politiques et recommandations devront être régulièrement mises à jour en fonction des nouvelles menaces et bonnes pratiques. Chaque mise à jour devra faire l’objet d’une communication régulière auprès de l’ensemble des collaborateurs.
Communiquer sur la cybersécurité avec vos collaborateurs
Pour instaurer une culture de la cybersécurité au travail, pensez à communiquer sur la cybersécurité dans votre entreprise. En clair :
- Tenez vos collaborateurs informés des nouvelles réglementations ou politiques.
- Organisez des réunions ou formations trimestrielles ou semestrielles sur la cybersécurité.
- Ajoutez une rubrique consacrée à la cybersécurité dans la newsletter de l’entreprise.
- Associez-vous aux initiatives comme la National Cyber Security Alliance.
Ou (et de préférence) à l’ensemble des mesures ci-dessus !
Les autres types de communications sur la cybersécurité pourront porter sur les stratégies d’intervention sur incident et sur la communication à tenir avec vos collaborateurs en cas de violation de données. Que dire aux employés et comment leur demander de réagir ?
Entreprise mondiale, GlobalSign participe (à des degrés divers) à des initiatives pour sensibiliser les entreprises à ce sujet. Suivez-nous et aidez-nous à relayer ce message !