5 idées reçues dans les entreprises sur la cybersécurité en France

Alors que le risque cyber explose, la cybersécurité en France semble peiner à pénétrer la culture des entreprises. Trop d’idées reçues sur cet enjeu majeur de la sécurité des sociétés persistent malgré la prégnance du phénomène. Les dirigeants, les membres du conseil d’administration et tous les collaborateurs de l’organisation doivent pourtant être au fait des cyber-menaces. L’information, la sensibilisation et la prévention doivent se répandre au sein des organisations pour développer une véritable culture de la cybersécurité. Il devient urgent de balayer toutes les fausses croyances qui fragilisent la protection des sociétés et augmentent leur vulnérabilité au piratage informatique.

Idée reçue n°1 : La cybersécurité en France est de la responsabilité des services informatiques

La DSI (Direction des services informatiques) est compétente pour évaluer le risque cyber, mettre en place des process et des outils pour protéger l’entreprise ainsi que pour détecter et résoudre toute attaque. Une partie importante des missions de la direction IT est orientée vers la protection des cyber-risques depuis plusieurs années du fait de l’explosion du risque. Néanmoins, elle ne peut être la seule responsable.

Si le service IT doit favoriser l’application des meilleures pratiques pour maintenir la société en sécurité, l’ensemble du personnel et des membres du conseil d’administration ayant accès aux équipements informatiques détient une part de responsabilité dans le maintien de la sécurité du système. L’utilisation d’emails personnels non sécurisés, de systèmes de messageries personnels type WhatsApp ou des mots de passe trop peu sécurisés sont autant de comportements à risque qui représentent des portes ouvertes au hackers et mettent en péril l’ensemble de la société. La gestion du cyber-risque est partagé entre tous au sein de chaque société. Les comportements des collaborateurs et des administrateurs ont un réel impact sur la protection de l’entreprise face aux cyber-attaques.

Idée reçue n°2 : La cyber-sécurité consiste à acquérir les bons outils technologiques

Le risque cyber ne se maîtrise pas uniquement en achetant du matériel et des logiciels adéquats. Les compétences des hackers ont progressé avec le développement d’attaques plus complexes et sophistiquées. Aussi, la cybersécurité en France s’est compléxifiée avec l’apparition de nouvelles menaces. Il est nécessaire de toujours se maintenir le mieux informé possible des évolutions car les attaques ne cessent d’évoluer.

Les pirates informatiques mettent au point des assauts de plus en plus variés et sophistiqués, qui obligent les DSI à être sans cesse aux aguets des nouvelles innovations. Du fait de leur professionnalisation, le but des hackers est de plus en plus tourné vers des gains financiers. Ils vont donc chercher des données qu’ils peuvent vendre ou se tourner vers le rançonnage. Des objectifs secondaires peuvent aussi être poursuivis comme la détérioration de l’image de marque de la société ou la perturbation de ses activités. Aussi, la veille informationnelle est une action essentielle pour lutter contre les cyber-attaques.

Idée reçue n°3 : Il est impossible de prévenir le cyber risque

Il est nécessaire de mener des actions internes pour être en mesure d’anticiper le cyber-risque. Il est surtout primordial de maintenir une veille active sur les dernières tendances des cyber-attaques ainsi que sur les risques et vulnérabilités des sociétés en France. Maintenir à jour en permanence ses connaissances du domaine est en en effet primordial pour en faire la prévention, tant il est évolutif.

Par ailleurs, il est essentiel de développer la culture du cyber-risque dans l’entreprise. Les dirigeants et les membres du conseil d’administration doivent être non seulement parfaitement informés, mais également actifs sur cette question. Ils doivent être des acteurs de premier plan pour la gestion de ce risque et ses conséquences éventuelles.

Enfin, pour assurer un niveau de prévention efficace, il est important que la société dispose d’un expert en cyber-sécurité qui pilote la question au sein de l’organisation. Si sa maîtrise technique du sujet est indispensable, l’expert doit également pouvoir intervenir comme manager et stratège en cas de crise cyber.

Idée reçue n°4 : Le cyber-risque ne concerne que la personne ayant un comportement à risque

Si les bonnes pratiques ne sont pas mises en œuvre par tous, le risque-cyber touche l’intégralité de la société. Un seul collaborateur qui n’adopte pas le bon comportement fait courir un risque à toute l’entreprise. En effet, il suffit d’une seule petite brèche dans le système informatique et un hacker peut entrer.

Cela s’explique par les réseaux internes qui, dans la quasi totalité des sociétés, relie l’ensemble des postes de travail. Aussi un pirate informatique peut avoir accès à tout le système de l’organisation à partir d’un seul ordinateur. Un salarié qui installe une application sur son ordinateur peut être touché par un malware qui va ensuite se propager dans l’ensemble de la société. C’est aussi pourquoi la cybersécurité en France est l’affaire de chacun des collaborateurs, peu importe la taille de l’entreprise.

Idée reçue n°5 : Le cybersécurité en France pèse uniquement sur les technologies

Il est bien évident que le risque cyber porte sur les technologies informatiques employées par les sociétés, mais pas seulement. La cybersécurité est une problématique plus complexe qu’une seule discipline technique. Elle concerne également, et amplement, les comportements des utilisateurs de ces technologies. La vulnérabilité d’une société tient pour une large part au facteur humain.

Par ignorance, erreur ou malveillance, les collaborateurs de l’entreprise exposent leur société au risque cyber. Le facteur humain est trop souvent le maillon faible de la cyber-protection. Aussi il est fondamental pour chaque organisation de se prémunir en mettant en œuvre les actions appropriées. L’information sur la cyber-sécurité et les risques cyber est fondamentale pour que tous les collaborateurs, les dirigeants et les administrateurs adoptent les bons comportements. Il faut que chacun comprenne son rôle fondamental sur cette question et modifie ses comportements.

La cybersécurité en France est une problématique devenue centrale du fait de la multiplication exponentielle des cyber-menaces et des préjudices subis par les sociétés de toute taille. Développer une culture de la cyber-sécurité au sein des entreprises leur permet d’être mieux protégées et de pouvoir mieux se défendre. Chaque acteur de l’organisation est concerné : le top management, les administrateurs et l’ensemble des collaborateurs qui accèdent au système informatique.