SECURESPHERE by EPITA : Former les entreprises à la cybersécurité, l’affaire de tous
Former les entreprises à la cybersécurité, l’affaire de tous
Dans son dernier numéro, le IONIS Mag, le magazine du Groupe IONIS, proposait une tribune à Marie Moin, directrice de SECURESPHERE by EPITA qui forme les professionnels aux enjeux de la cybersécurité.
Marie Moin
La formation à la cybersécurité en entreprise n’est pas une simple affaire. Sa principale difficulté réside dans le fait qu’elle doit impérativement concerner l’ensemble des salariés, quel que soit leur poste. Sans exception. Pour renforcer la sécurité d’une structure, on ne peut pas se contenter d’outils : chacun se doit d’acquérir les compétences et les bonnes pratiques qu’il doit mettre en œuvre à son niveau.
Chez SECURESPHERE, le centre de compétence en cybersécurité de l’EPITA, nous distinguons trois typologies de collaborateurs à former en entreprise, en fonction de leur poste. Le premier cercle concerne l’ensemble de ses membres : tous ceux qui vont utiliser un ordinateur ou se connecter au réseau de la société – autrement dit, quasiment tout le monde. Constituant le premier rempart, ils doivent avoir les bons réflexes, notamment en cas d’attaque par « phishing », pratique très répandue. Deuxième cercle, celui des personnes de l’IT : ceux qui, par exemple, conçoivent les outils et les réseaux. Ils ont besoin d’une formation courte, pragmatique et technique, de sorte que l’enjeu sécuritaire soit d’emblée intégré à n’importe lequel de leurs projets. Le dernier cercle est celui des experts : ceux qui ont besoin de parfaire leur expertise avec des formations sur mesure. La cybersécurité est un domaine vaste et très complet, difficile de la maîtriser dans sa totalité, y compris pour ses spécialistes. Certains sont experts en « forensic », d’autres en « pentest » ou en sécurité défensive… Dans tous les cas, les formations doivent s’adapter aux contraintes des collaborateurs et au contexte de leur entreprise.
L’accélération RGPD
En parallèle à la frontière du droit et de la cybersécurité, le Règlement général sur la protection des données (RGPD), promulgué par l’Union européenne, a accéléré les choses. Entré en vigueur l’année dernière, il instaure des sanctions en cas de violation des données personnelles. De facto, le texte a forcé les entreprises à se doter d’outils sécurisés. Il s’agit, au fond, d’une convergence d’intérêts : à la fois pour les entreprises, qui se sécurisent, et pour les utilisateurs, qui se protègent. En ce sens, il rejoint le positionnement de SECURESPHERE pour qui la cybersécurité doit être une préoccupation partagée par la totalité de l’entreprise, par tous les acteurs. En restant un sujet réservé à une minorité, cela ne pourra pas fonctionner. Comme la sécurité routière ne peut pas dépendre que des seuls constructeurs automobiles : en effet si un conducteur possède la meilleure ceinture de sécurité mais qu’il ne la met pas…
La protection, alliée du business
Il existe un grand hiatus entre l’état des connaissances des dirigeants d’entreprises, qui augmente, et le fait qu’ils ne fassent pas grand-chose. D’un côté, ils ne se sentent pas concernés tant qu’ils n’ont pas été confrontés à une attaque. De l’autre, former ses collaborateurs n’est pas encore une priorité pour les structures. C’est un arbitrage financier à opérer et certaines entreprises choisissent d’autres sujets apparemment plus proches de leurs préoccupations business. Aussi, est-ce toujours compliqué de faire comprendre que la dépense en formation à la cybersécurité permet d’éviter de grands frais engagés en cas de crise. Beaucoup d’entreprises privilégient encore le curatif au préventif. C’est un tort stratégique ; toutes les études montrent que la cybersécurité est, et le sera encore plus, un accélérateur de business et un gage de confiance. C’est pourquoi il faut l’envisager en termes de gain, pas sous l’angle du coût.
Des menaces très diverses
Les menaces sont de plus en plus sophistiquées et les attaquants se professionnalisent, clairement. Les cyber-attaques sont protéiformes, comme les profils des attaquants. Les raisons d’attaquer sont multiples : détruire, porter atteinte à une image de marque, voler des données… On peut aussi, via une entreprise, attaquer un État et ses infrastructures. En s’en prenant à des entreprises stratégiques, des administrations particulières, on peut facilement paralyser une nation. Imaginez un instant l’attaque de la SNCF ou de la RATP… Ces agressions peuvent être d’ordre purement technique, mais c’est bien souvent la manipulation humaine qui permet aux intrus de s’immiscer dans l’entreprise : un cheval de Troie sur une clé USB, un clic sur un mail vérolé… Il y a aussi un point auquel on ne pense généralement pas : les nombreuses informations laissées sur les réseaux sociaux. Par de la simple ingénierie sociale, un pirate peut ainsi récupérer légalement des informations. Cela peut passer par les réseaux wifi et Bluetooth. Il faut bien intégrer le fait qu’un attaquant a le temps pour lui et il peut, patiemment, recueillir des informations…
Face à ces menaces, il y a de bons élèves. À commencer par les entreprises qui se sont déjà fait attaquer et celles pour qui la sécurité est obligatoire, comme les organisations et les entreprises que l’État a définies comme opérateurs d’importance vitale, dont les activités sont stratégiques. La tâche reste immense, car pour le grand public, comme pour la plupart des entreprises (en particulier les PME et les TPE), la formation à la cybersécurité n’en est qu’à sa genèse. Encore une fois, la cybersécurité est l’affaire de tous.
