Qu’on le veuille ou non, la cybersécurité commence et finit toujours par l’homme. Indépendamment de la technologie désormais mise en œuvre – tant au niveau de la sécurité que des attaques -, le facteur humain reste en effet déterminant. Les entreprises ont dès lors besoin de déployer une véritable stratégie de sécurité en mettant en avant la sensibilisation aux solutions, outre un plan en cas d’éventuel problème.
« L’ingénierie sociale et l’hameçonnage visant à dérober des mots de passe sont autant d’actions qui ciblent l’être humain », fait remarquer Bart Appelen, Country Lead HPE Aruba Networking. « On constate que la plupart des entreprises ont certes désormais investi dans la sécurité de base comme un parefeu par exemple, mais reste à savoir si elles maîtrisent l’ensemble de la problématique. » En effet, la cybersécurité ne se limite actuellement plus au château-fort classique : les collaborateurs travaillent en effet de plus en plus en dehors du périmètre traditionnel de l’organisation. D’où l’émergence de nouveaux risques, et donc la nécessité d’une autre approche de la sécurité.
Dans ce contexte, se pose la question de la nécessité d’une stratégie de sécurité cohérente. En effet, les entreprises se limitent encore trop souvent à une approche très pragmatique en abordant des problèmes spécifiques dans le cadre de solutions ponctuelles. « Cela prouve qu’une approche stratégique fait encore souvent défaut dans les entreprises », considère Bart Appelen. « À l’endroit où le toit fuit, celles-ci placent un seau plutôt que de colmater la fuite, ou si besoin en est de remplacer l’ensemble du toit. »
Vision globale dans le cadre d’un framework
Des interventions ponctuelles ne peuvent donc suffire et se révèlent même totalement inefficaces si la décision est prise par l’utilisateur final. Ainsi, dans une entreprise où l’authentification mutlifactorielle est optionnelle, cette mesure proposée est un coup dans l’eau. « Car la MFA représente pour cet utilisateur final un frein supplémentaire dans l’exécution de son travail qu’il préfère dès lors éviter. C’est pourquoi nous estimons qu’il faut envisager la sécurité au départ d’un cadre global. Et bien sûr, la satisfaction de l’employé est l’un des éléments qu’il convient de prendre en compte. »
Mais un tel framework exige évidemment un investissement, ce qui amène à nouveau à souligner l’importance de la sensibilisation au niveau du conseil d’administration. Autrefois, la sécurité ne bénéficiait que d’une attention limitée, jusqu’à ce qu’un incident se produise. Pour la direction, il se révèle souvent très difficile d’évaluer la rentabilité d’un investissement en sécurité. En pratique, il s’agit simplement d’effectuer le calcul suivant : estimer la perte sans une sécurité de qualité, puis lui attribuer une valeur financière, qu’il s’agisse d’une baisse de production ou d’une perte de chiffre d’affaires, mais aussi d’un préjudice à la réputation, de coûts juridiques, d’indemnisations, etc.
Les petites entreprises ne font que trop rarement ce type d’exercice et estiment ne pas être une cible intéressante pour les cybercriminels. « Eh oui, la PME belge typique peut se révéler très obstinée dans ce domaine », sourit Bart Appelen, « même si l’on voit progressivement apparaître certains changements. » Lésiner en matière de sécurité n’est sans doute pas une bonne idée, considère encore Bart Appelen. « Vous ne recherchez pas non plus le médecin le moins cher ? Vous voulez simplement le meilleur. »
L’Europe montre l’exemple
Un framework de sécurité englobe non seulement la technologie de sécurité, mais nécessite aussi divers cadres en cas de problème sous la forme de plans par étape pour limiter les dommages et garantir la continuité d’activité, le tout associé à un plan de communication. Un tel plan ne suffit d’ailleurs pas, encore faut-il le tester sur le terrain. C’est précisément ce qu’impose désormais DORA au secteur financier. D’ailleurs, les observateurs s’attendent à voir cette obligation s’étendre à l’avenir à d’autres domaines. « Ces dispositions nouvelles impliquent des contraintes supplémentaires – et donc aussi des coûts additionnels. »
« Une approche stratégique fait encore souvent défaut dans les entreprises. À l’endroit où le toit fuit, celles-ci placent un seau plutôt que de colmater la fuite, ou si besoin en est de remplacer l’ensemble du toit. »
Bart Appelen, Country Lead HPE Aruba Networking
Cela étant, les entreprises prennent non seulement des mesures et se préparent, mais elles recherchent un soutien supplémentaire sous la forme d’une police d’assurance. Une telle assurance cyber – qui indemnise les coûts d’un incident, et éventuellement même le versement d’une rançon – est une formule qui s’avère à terme intenable. « D’ailleurs, les assureurs eux-mêmes s’adaptent », conclut Bart Appelen. « Ils ne vous assureront que si vous avez d’abord pris en interne les mesures nécessaires. » Tout comme vous ne pourrez souscrire une assurance vol pour votre véhicule que si vous avez prévu un système d’alarme.
Plus d’infos sur www.hpe.com