La crise sanitaire a contraint les entreprises françaises à adopter en masse le télétravail. A Selon une étude Citrix, un salarié sur deux se dit favorable à des modèles hybrides mêlant travail à distance et sur site ; c’est alors que les entreprises doivent faire face à un défi de taille : comment sensibiliser efficacement l’ensemble des collaborateurs à la cybersécurité qu’ils soient en home office ou au bureau ?
Des risques non négligeables
Les environnements de travail à distance sont désormais la norme. Les hackers chercheront donc à exploiter les faiblesses, comme par exemple les appareils personnels moins sécurisés et le Wi-Fi domestique. Ils continueront à prospérer dans un environnement très incertain. Il faut donc faire preuve de vigilance face à la désinformation, qui constituera une menace persistante, et aux rançongiciels, qui continueront de nuire aux activités des entreprises, PME incluses.
Les données stockées sur les postes fixes, les ordinateurs portables et les tablettes sont bien sûr vulnérables aux ransomwares, aux défaillances matérielles, aux erreurs humaines, aux pertes et aux vols - autant de risques amplifiés par le passage massif au travail à distance et la réduction de la surveillance exercée par les équipes IT sur les employés dispersés. Pour empêcher les collaborateurs de ramener ces mauvaises pratiques à la maison, les entreprises doivent absolument créer une culture de la cyber-résilience.
Le paysage des menaces étant amené à se développer dans les mois à venir, les entreprises doivent agir dès maintenant pour se protéger sur le long terme en adoptant une approche proactive comprenant des formations, des solutions technologiques de détection et de réponse, des simulations et des tests permanents, et enfin des solutions de sauvegarde et de restauration.
Si une entreprise est poursuivie pour des cas de cyber-violation causés par des employés mal formés, les implications juridiques vont s’imposer. Par nature, un assureur souhaite limiter son exposition à des paiements importants et inclura probablement une clause lui permettant de refuser la couverture dans certaines circonstances. L'une de ces clauses peut être un "défaut de maintien" de normes de sécurité minimales ou "adéquates". Par exemple, si une entreprise n'a pas mis en place un contrôle de base tel que le cryptage des données sensibles ou protégées, la clause « Failure to Maintain » permettra à l'assureur de refuser la couverture. À ce stade, la formation de sensibilisation à la cybersécurité pourrait être considérée comme un contrôle de sécurité minimal ou adéquat par certains assureurs. L'absence d'une telle formation dans ce cas, pourrait entraîner un refus de couverture si l'entité assurée ne fournit pas une telle formation à ses employés.
Vers une culture de cyber-résilience avec automatisation
La cyber-résilience réside dans la capacité à fournir en permanence les résultats opérationnels escomptés malgré les obstacles dressés par des cyberattaques. Elle nécessite une protection globale du réseau, des terminaux et des utilisateurs, ainsi que la récupération des données, dans le cadre d'une solide stratégie de « défense en profondeur ». Mais ce n’est pas suffisant.
Si toutes les entreprises ont mis en place une certaine forme de cybersécurité, il convient de se concentrer sur la cyber-résilience pour assurer une véritable sécurité. Les stratégies de résilience sont souvent compartimentées, traitées comme une entité distincte de tout cadre ou politique de sécurité. La cybersécurité comme élément d'une stratégie de cyber-résilience plus large apporte bien plus de valeur. Les entreprises peuvent alors se protéger contre l'inévitable et atténuer les dommages potentiels causés par une violation.
Les entreprises vont probablement accroître leurs investissements technologiques afin de multiplier la force des équipes de sécurité, qui sont déjà très sollicitées. Une automatisation et une contextualisation accrues des alertes de sécurité aideront les équipes à passer au peigne fin un nombre considérable de fausses alertes pour donner la priorité aux véritables menaces.
Malheureusement, toute technologie utilisée pour améliorer la cyberdéfense peut également être appliquée par les cyberattaquants. Les entreprises les plus sûres se concentreront sur la gouvernance de l'information pour protéger leurs informations les plus précieuses, utiliseront l'automatisation intelligente pour traiter les cybermenaces à grande échelle et adopteront une approche Zero Trust.
Une formation indispensable pour tous
L'organisation de sessions de formation régulières pour s'assurer que les employés sont conscients des cyber risques est un élément essentiel de la cyber-résilience. Ces mesures permettront aux organisations de poursuivre leurs activités sans être perturbées par le verrouillage des fichiers et des serveurs à la suite d'une cyberattaque.
Il est par ailleurs évident que la formation doit commencer au sommet de la hiérarchie. Tous les membres d’une entreprise et des équipes IT doivent s'assurer qu'ils mettent ces leçons en pratique, comme tout le monde.
En termes de spécificités, dans certains pays, comme les États-Unis, de nombreuses entreprises et agences fédérales sont tenues par la loi de fournir une formation de sensibilisation à la sécurité. Par exemple, la loi HIPPA exige que toutes les entités de soins de santé couvertes et les associés commerciaux dispensent une formation de sensibilisation à la cybersécurité à leurs employés. Quid de la France pour les années à venir ?
Les parties prenantes devraient toutes connaître leur rôle en cas de cyberattaque, avant qu'elle ne se produise. En réalité, non seulement la direction doit s'assurer que les employés ont ces compétences, mais cette responsabilité incombe aussi aux services IT, ressources humaines, relations publiques et aux services juridiques. Des ateliers doivent être organisés pour renforcer les rôles et combler les éventuelles lacunes du plan. Une technologie de réponse aux incidents ou des contrats de services gérés doivent être mis en place et prêts à fonctionner lorsque l'inévitable se produit.