Face aux cyberattaques, mobilisons l'intelligence collective
Distanciation sociale et accélération du télétravail, multiplication et sophistications des attaques des hackers, impact sur la réputation et pénurie des talents…La cybersécurité, enjeu majeur des dirigeants mondiaux, devient une composante stratégique des entreprises. Passée la prise de conscience des risques, et si les cyberattaques constituaient l'opportunité de remobiliser tout un collectif, d'apporter du sens et de poser le cadre d'une nouvelle culture collaborative de cybersécurité ?
Une prise de conscience des enjeux au plus haut niveau
Dans le secteur des nouvelles technologies, le risque cyber est jugé prioritaire par plus d’un dirigeant sur trois. Si cet enseignement est relativement attendu, on est davantage surpris de découvrir - d’après l’étude KPMG CEO Outlook 2021 - qu’il arrive en tête des préoccupations des chefs d’entreprise dans le monde[1], devant la supply chain et le changement climatique. Nul doute que la crise Covid a participé à cette prise de conscience, avec l’accélération de la transformation numérique qu’elle a engendrée dans bon nombre d’entreprises. Quand les collaborateurs, partenaires et clients sont en distanciel, les systèmes, les données et les flux qui permettent l’activité sont encore plus critiques. En outre, la recrudescence depuis plusieurs mois des cyberattaques qui ont frappé les organisations, grandes, moyennes ou petites, et dans tous les secteurs, a marqué les esprits. Quel dirigeant ne s’est pas demandé ces derniers mois si son entreprise était suffisamment armée et préparée en cas d’attaque ?
Les failles humaines
85 % des cyberattaques à l’échelle mondiale prennent appui sur le facteur humain[2], en exploitant des techniques de phishing (ou hameçonnage). Il suffit qu’un seul collaborateur clique sur un lien présent dans un email ou ouvre une pièce jointe malveillante pour que des attaquants prennent pied au sein du système d’information. Certaines attaques sont très ciblées, extrêmement bien préparées, et d’autant plus difficile à déjouer. Pour les contrer, les entreprises les plus avancées mettent en place des outils de détection, doublés par des programmes de sensibilisation et de formation de collaborateurs, mis à jour régulièrement pour prendre en compte la créativité des hackers. Mais le facteur humain doit être pris en compte à tous les niveaux pour protéger l’entreprise contre les cyberattaques. Dans les projets comme dans les opérations, les dirigeants, les managers et les collaborateurs prennent au quotidien des décisions et suivent des comportements qui peuvent faciliter la vie des attaquants, comme installer par imprudence un cheval de Troie sur son ordinateur, ne pas faire supprimer, par négligence, les accès d’un collaborateur qui change de service, sélectionner pour réduire des coûts un sous-traitant qui ne présente pas les garanties suffisantes de sécurité, ou sous-estimer un risque pour ne pas ralentir un projet.
New ways of … doing cybersecurity
New ways of working, travail hybride, nouvelles formes de collaboration…, la transformation numérique et la crise Covid modifient en profondeur les modes organisationnels, les modèles économiques et les pratiques managériales. Les entreprises doivent être plus agiles, donner plus d’autonomie aux collaborateurs et les responsabiliser. Ces caractéristiques deviennent prépondérantes pour attirer et retenir les talents. Dans ce contexte, la cyber sécurité ne peut plus être abordée comme un empilement de règles et de contraintes assenées sans explication. La pédagogie doit permettre à chaque acteur au sein de l’entreprise et de son écosystème (freelance, partenaires, voire clients) de comprendre pleinement les risques liés à la cybersécurité, et de saisir le « quoi », mais aussi et surtout le « pourquoi » des dispositifs, règles, outils, processus de protection en place.
La formation et la sensibilisation doivent en outre aller au-delà de la seule protection contre les attaques. Lorsque des acteurs malveillants parviennent à contourner les défenses et à porter atteinte à l’organisation, la résilience des équipes est un facteur clef. Dans une entreprise non préparée au choc, une cyberattaque peut avoir des impacts très dommageables pour des collaborateurs, les laissant dans des états de grand découragement car le fruit de leur travail aura été détruit. Une organisation de gestion de crise cyber, des procédures et des exercices de simulation de crise sont aujourd’hui des éléments importants pour assurer la résilience de l’entreprise et de ses équipes.
Diffuser une véritable culture de la cybersécurité au sein de l’entreprise
La prise de conscience et l’implication des dirigeants sont nécessaires, mais partager plus largement une vision globale des enjeux de cybersécurité au même titre que les enjeux ESG[3] avec l’ensemble des collaborateurs est aujourd’hui fondamental pour leur permettre d’être des acteurs conscients et efficaces. L’engagement de tous est primordial, quels que soient les fonctions, missions etrôles : métiers, RH, IT, finance……, tout le monde est concerné. Il existe encore trop souvent sur le terrain des injections contradictoires entre développement, performance, rapidité et agilité d’une part, et prudence, vigilance, conformité et sécurité d’autre part. L’acceptation de règles passe par la cohérence et le sens que doivent y trouver les personnes concernées, ainsi que sur l’exemplarité du management et des dirigeants.
Un collectif mobilisé autour d’une stratégie de cybersécurité porteuse de sens est une force majeure voire un incontournable pour permettre de résister aux coups de boutoirs des cyber attaquants. La diffusion d’une véritable culture de la cybersécurité au sein de l’entreprise sera dans les années à venir une composante centrale de toute stratégie de cybersécurité, permettant de mobiliser toutes les énergies de l’entreprise au service de sa protection et de sa transformation.
[1] Etude KPMG CEO Outlook 2021
[2] Etude DBIR 2021 de Verizon
[3] ESG : enjeux Environnementaux, Sociaux et de Gouvernance