Logo
Echo Connect offre aux organisations l'accès au réseau de L'Echo. Le partenaire impliqué est responsable du contenu.

"L'erreur est humaine, d'où l'intérêt de tisser un filet de sécurité"

Votre employé est-il vraiment le maillon faible de votre cybersécurité? Comment, le cas échéant, combler les brèches qu'il crée? “Les personnes ne sont pas le maillon le plus faible mais elles incarnent la cible principale des attaques”, souligne Patrick Coomans, expert en la matière.

Que doit faire un chef d'entreprise qui souhaiterait renforcer la cybersécurité de sa société? Investir dans des logiciels de sécurité coûteux, stocker ses informations sensibles sur un réseau protégé… Ces initiatives sont certes efficaces mais elles oublient un facteur important: l'humain, selon de nombreux experts le maillon faible de toute la chaîne de sécurité.

Patrick Coomans, expert en cybersécurité auprès de la fédération du secteur technologique Agoria et du centre de recherche Sirris, n'est pas de cet avis, cependant. “Bien sûr, les gens commettent des erreurs, mais la cybersécurité va bien au-delà du facteur humaine. Les personnes ne sont pas le maillon le plus faible mais elles sont la cible principale des attaques. Et parallèlement, elles sont aussi votre plus grand atout!”

Créer un filet de sécurité

Les réglementations seules ne suffisent pas. Il faut créer une véritable culture de la cybersécurité: comment se comporte-t-on quand personne ne regarde?
Patrick Coomans
expert en cybersécurité auprès de la fédération du secteur technologique Agoria et du centre de recherche Sirris

Aujourd'hui, les entreprises se sécurisent de plus en plus. Pour se prémunir contre une attaque, bien entendu, mais aussi parce que la cybersécurité s’impose comme un moyen de mieux positionner l'entreprise sur le marché. Dans ses formations, Patrick Coomans fait souvent la comparaison avec une voiture: “Une bonne ceinture de sécurité peut offrir une protection de 90% en cas d'accident, voire 95% s'il s'agit d'une ceinture perfectionnée, mais c'est la combinaison d'une ceinture, d'un airbag et d’un système ABS qui garantit une réelle sécurité. Il en va de même pour la cybersécurité. Chaque étape – la technologie, certains protocoles, la formation – est une tranche de fromage trouée. En mettant toutes ces tranches les unes sur les autres, plus rien ne filtre.”

Les grandes fuites de données ne sont pas dues à une seule erreur, en réalité, mais à une réaction en chaîne d'événements: mauvaise communication, personnel trop peu formé, problèmes techniques, etc. Il convient donc d'investir dans une sécurité à plusieurs niveaux. “L’erreur est humaine mais, avec la technologie et les protocoles appropriés, on crée un véritable filet de sécurité”, pointe Patrick Coomans.

Travailler sur la culture

Les gens apprennent par micro-étapes et ne sont prêts à changer réellement leur comportement qu'après une catastrophe, écrivait Marc Buelens, professeur émérite à Vlerick. Dans le domaine de la cybersécurité, une telle catastrophe est à prévoir, estime Patrick Coomans. Les entreprises qui souhaitent s'y préparer doivent dès lors travailler sur la culture de la sécurité.

“Les réglementations seules, qu'elles émanent du gouvernement ou d'un chef d'entreprise, ne suffisent pas”, prévient l’expert. “Il faut créer une véritable culture. Comment se comporte-t-on quand personne ne regarde?” À cet égard, les entreprises ont beaucoup à apprendre des secteurs où la sécurité est solidement ancrée, comme les centrales nucléaires et le secteur de l'aviation, qui repose sur une combinaison de formations solides et de procédures standard.

“Et si, hélas, une brèche est malgré tout mise au jour, assurez-vous que l'événement soit bien documenté afin qu'il ne se reproduise pas”, conseille Patrick Coomans, qui ajoute que l'organisation de ses propres tests de phishing ne devrait se faire qu'avec la supervision nécessaire. “Ne portez pas de jugement et ne réprimandez pas ceux qui ont cliqué sur un lien suspect. Les gens devraient toujours avoir le courage d'appeler le service informatique s'ils ont commis une erreur.”

Que ferait votre grand-mère?

Dans le cadre des formations à la cybersécurité, les employés apprennent par exemple pourquoi ils doivent utiliser un gestionnaire de mots de passe, ce qu'ils doivent et ne doivent pas faire sur un réseau public, quelles données les développeurs doivent supprimer après le lancement d'un site Web ou d'une application, comment reconnaître les messages suspects, etc.

Malgré le risque, de nombreuses entreprises ne s'en préoccupent pas – tout comme de nombreuses personnes dans les années 1970 se montraient sceptiques quant à l'obligation de porter la ceinture de sécurité. “Ce qui fonctionne le mieux, c'est de pénétrer le système de valeur des gens”, avance Patrick Coomans. “Lorsque vous entrez avec vos enfants dans un café où tout le monde fume, vous vous énervez car cela va à l'encontre de vos valeurs. Il faut être capable d'obtenir ce genre de réaction en matière de cybersécurité.” 

Comment procéder? Commencez par expliquer aux collaborateurs de quelle façon ils peuvent se protéger numériquement dans leur vie privée, suggère Patrick Coomans. “Dites-leur comment ils peuvent surfer en toute sécurité à la maison ou comment leurs enfants et leur grand-mère peuvent utiliser le Net en toute tranquillité. Ou de quelle manière ils peuvent s'assurer que leurs proches ne perdent pas d'argent à cause du phishing. Ils retiendront plus facilement ce qu'ils peuvent faire à la maison, et appliqueront les mêmes principes sur leur lieu de travail.”

Lire également

Logo
Echo Connect offre aux organisations l'accès au réseau de L'Echo. Le partenaire impliqué est responsable du contenu.