La démocratisation, grande priorité pour la cybersécurité en 2023

Malgré l'essor des menaces à l'échelle mondiale, la cybersécurité reste trop souvent cloisonnée aux professionnels du numérique, ce qui renforce les risques de failles.

5037. Il s’agit du nombre de signalements de violation des données personnelles reçus par la CNIL en 2021, soit une augmentation de 79% par rapport à 2020. Face à cette tendance croissante, les organisations se mobilisent, mais peinent à impliquer l’ensemble de leurs équipes. Or, pour paraphraser la thématique des dernières Assises 2022 de la Cybersécurité, « élever collectivement notre niveau » passe d’abord par l’engagement des individus, au-delà des spécialistes du digital. Sur ce point, l’Europe est en retard par rapport à l’Amérique du Nord, comme en témoigne un dernier rapport. Dès lors, quels sont les axes d’amélioration pour être à la hauteur des enjeux qui s’annoncent pour 2023 et les années à venir ? Comment mieux sensibiliser tout un chacun sur son rôle essentiel dans la protection critique des infrastructures numériques ?

Penser la cybersécurité de façon globale

Devons-nous tous devenir des geeks ? Cette question provocante a le mérite de poser le cœur du débat. Oui, la cybersécurité doit s’ouvrir et ne plus être cantonnée aux responsables ou aux experts du digital, que ce soit en entreprise ou dans la société. Parce qu’elle concerne nos données, nos informations, elle est l’affaire de tous. Au-delà du risque pour la vie privée, le manque de vigilance représente également un coût financier : la cybercriminalité aurait ainsi coûté 6000 milliards de dollars rien qu’en 2021 ! Pourtant, aujourd’hui, près des deux tiers (62%) des salariés français n’ont jamais reçu aucune formation à la cybersécurité d’après une enquête de Terranova Security.

Voilà pourquoi les entreprises ont un rôle à jouer pour introduire leurs collaborateurs, issus de tous services, de tous horizons, à cet enjeu. Au même titre que les critères ESG, la cybersécurité doit être une dimension obligatoire des programmes de transformation menés au sein des entreprises. Du changement de fournisseur à la gestion de la relation client, la « culture cyber » gagne à se diffuser dans toutes les strates des organisations. Les développeurs ont en effet besoin de cette approche systémique pour identifier et corriger les problèmes de sécurité et s'assurer que les logiciels utilisés restent sûrs et sécurisés. Pour cela, la coopération de l'ensemble des équipes, quelles que soient leur fonction ou leur département, constitue un élément incontournable. 

Faire le pari de la formation pour se préparer aux défis à venir

Au regard de la pénurie d’experts en cybersécurité (la France manque de 15 000 experts chaque année), les grandes entreprises assurent leurs recrutements en s’impliquant directement dans les formations. Certaines comme Orange ou Thalès travaillent déjà main dans la main avec les écoles, comme Oteria CyberSchool, afin d’attirer d’excellents profils « à la source ». L’Education Nationale elle-même comprend l’importance d’agir. Elle s’est ainsi récemment engagée avec le Campus Cyber, initié par le Président de République. Par la signature d’une convention, le Ministère s’engage à sensibiliser et à former les élèves et professeurs de lycée aux enjeux de la cybersécurité.

Ces initiatives vont dans le bon sens. Néanmoins, comme le révèle une enquête menée par Arlington Research, 86 % des organisations compromises au cours des six derniers mois auraient pu minimiser ces incidents de sécurité en investissant davantage dans des mesures préventives comme l’acquisition d’outils offrant une visibilité accrue sur leurs réseaux et… la formation de leur personnel. Car c’est bien ce qui ressort des multiples études et retours d’expérience sur le sujet : le pire ennemi en matière de faille cyber reste… l’individu lui-même.

Adopter une approche sur-mesure en fonction de la taille des organisations

Pourtant, toutes les organisations ne saisissent pas encore l’importance de mettre en œuvre de bonnes pratiques cyber. Les TPE-PME peuvent encore aller plus loin : 60% des PME technologiques européennes possèdent des ressources insuffisantes pour garantir leur protection cyber. Une contrainte financière qui s’effectue au détriment de la sécurité et peut parfois provoquer des dommages irréversibles. A la suite d’une cyberattaque, une entreprise sur cinq a déclaré que sa solvabilité avait été menacée en 2021, soit une augmentation de 24% en un an.

Alors qu’elles constituent le poumon de l’économie française, il est temps de fournir les ressources aux TPE-PME pour mieux se protéger. Il s’agit d’adapter la démarche car les enjeux ne sont pas les mêmes que pour les grandes organisations.  Pour cela, le Gouvernement a évoqué il y a peu l’option d’un « bouclier cyber » comprenant de l'audit, du conseil ainsi que de la formation à déployer pour mettre à l'abri les petites entreprises les plus sensibles. Un plan évalué à 30 millions d’euros pour garantir la pérennité de nos champions locaux.

Démocratiser l’accès à la cybersécurité. Voilà donc l’ambition, le cap que les organisations doivent se fixer pour 2023. Pour réaliser cela, il existe plusieurs étapes à commencer par la formation des individus et l’évolution de la perception des enjeux cyber. Une gageure indispensable pour préserver la qualité et la pérennité de l’infrastructure numérique.