La sécurité informatique : une priorité de l'heure ?

Laurent Pelud : L’actualité récente en France a entrainé un accroissement significatif du nombre d’attaques informatiques visant des sites Internet d’entreprises ou d’administrations françaises. Nous vivons dans un monde numérique et connecté, ce n’est plus un secret pour personne. Le Cloud, le Wifi ou le Bluetooth font désormais partie de nos usages quotidiens, tant dans la sphère privée que professionnelle. Pourtant, et les récents événements nous l’ont rappelé, l’usage du numérique en entreprise n’est pas sans danger. En tant qu’entreprise ou salarié nous sommes forcément exposés à un certain nombre de risques. Vol de données, intrusion sur le Système d’Information de l’entreprise, fraude, atteinte au patrimoine, voire blocage de la production industrielle du fait d’un réseau informatique piraté sont quelques-uns des risques que nous encourons plus ou moins sciemment en tant qu’entreprises connectées aujourd’hui. Néamoins, la culture de la peur n’est pas une bonne chose, et avec des pratiques connues, on peut réduire ces risques.

Quelle est l’incidence sur ces risques d’un certain nombre de développements (Cloud, BYOD (Bring Your Own Device) ou objets connectés…) ?

Laurent Pelud : Ces nouveaux usages du numérique que vous citez ont pour vertu de démultiplier nos accès au digital… en même temps qu’ils augmentent, diffusent et multiplient les cyber-risques ! Le WIFI par exemple, en augmentant les points d’entrée sur le réseau Internet, augmente de fait les points de vulnérabilité sur lesquels l’entreprise n’a pas de maîtrise. Comment contrôler en effet la sécurité informatique du salarié qui se connecte, via le wifi public du McDonald’s du quartier, au Google Drive de son entreprise ? Et que dire du smartphone personnel connecté au réseau de l’entreprise (BYOD), quand on sait par exemple, selon une récente étude de Karpersky, qu’il existe plus de 10 millions d’applications Android malveillantes. Qu’elles aient pour but de récupérer des données personnelles pour faire des campagnes de phishing, ou de voler des données confidentielles de l’entreprise, toutes exploitent notre méconnaissance des cyber-risques.

Quels sont les moyens et les bonnes pratiques à développer pour réduire ces risques ?

Laurent Pelud : Pour se prémunir, pas de solution miracle, mais un ensemble de bonnes pratiques. A un niveau très basique tout d’abord : installer un anti-virus, s’assurer que les mises à jour sont faites sur tous les logiciels utilisés dans l’entreprise, ne pas se connecter à des AppStores alternatifs…

Mais la clé réside surtout, comme souvent, sur le plan humain : il faut dans l’entreprise développer les bons réflexes. Nous l’avons vu, l’entreprise ne maîtrise plus les terminaisons de son Système d’Information, elle n’a plus de prise sur les usages de ses salariés. En conséquence, la sécurité informatique repose toujours davantage sur les comportements de ses salariés. Chacun doit être conscient des risques auxquels il expose son entreprise.

Une part donc importante à accorder à la formation ?

Laurent Pelud : La sécurité informatique de l’entreprise repose en effet grandement sur ses salariés. Tout le monde est concerné dans l’entreprise, pas seulement l'équipe informatique en charge du bon fonctionnement du système d’information. Si les experts du métier ont besoin de formations techniques (sécurité du Cloud, sécurité des réseaux, Plan de Continuité d’Activité, Tests d’Intrusion…), des formatins parfois certifiantes comme les approches ISO 27001, ISO 27005 ou CISSP (Certified Information Systems Security Professional), l’ensemble des employés (branches métier, département administratif, commercial…) ont eux la nécessité d’être sensibilisés sur un sujet qui leur apparait parfois loin de leurs préoccupations…

C'est un besoin grandissant que nous couvrons, chez Scassi, par Phosforea® : une offre de formation intégrale destinée au public professionnel, expert ou non des métiers de l’informatique. Cette offre se présente comme une place de marché référence pour la formation et la sensibilisation en cybersécurité. Elle propose plus de  600 modules de formation en cybersécurité, sous forme de parcours blended-learning, supportés par une plateforme LMS permettant de personnaliser la formation selon le profil du stagiaire. Phosforea permet également de gérer des campagnes de sensibilisation à la cybersécurité en ligne à grande échelle, depuis la conception de contenus innovants (serious games, jeux-concours, workshop, webinaires…) jusqu’au suivi qualitatif de la campagne à travers la livraison d’indicateurs de reporting.

Faire prendre conscience aux salariés des enjeux de la cybersécurité au quotidien afin d’assurer la sécurité et la pérennité de l’entreprise dans son ensemble… C'est un des défis lancés en ce début 2015 aux Directions Générales et Services Formation. Une mission accomplie par exemple à l’Etablissement Français du Sang, qui a utilisé notre plateforme pour sensibiliser plus de 3700 salariés en à peine 2 mois, et pu mesurer toute l’efficacité de cette campagne de sensibilisation.