Sensibilisation et formation pare-feu idéal contre les cyberattaques?

Alors que les enjeux liés à la cybersécurité sont croissants, l’incitation à protéger les entreprises se transforme peu à peu en injonction. Une ambition qui se heurte cependant à un manque de connaissances manifeste chez les collaborateurs.

Ce n’est un secret pour personne : l’être humain, aussi intelligent soit-il, est faillible. Un constat auquel n’échappe pas la cybersécurité. Bien que la technologie apporte son lot de garanties, notamment grâce aux bénéfices de l’I.A., il est impossible de tout analyser, tout protéger, tant les flux de données sont continus et colossaux. Si l’on ajoute le manque de vigilance, on réduit encore la propension à protéger son système d’information. Pour autant, il s’agit moins d’incriminer les entreprises que d’alerter chaque personne sur le caractère vicieux des attaques, et leurs conséquences sur l’activité.

La France paie son manque de culture informatique à bien des niveaux. Au-delà de la méconnaissance des sujets, il apparaît que les PME sont sous-équipées pour faire face aux intrusions. C’est aussi le cas d’hôpitaux qui utilisent encore des systèmes d’exploitation archaïques comme Windows XP. Afin de suivre le rythme soutenu de la numérisation, ces entités sont obligées de s’équiper tous azimuts. Et rapidement.

AU COEUR DE LA STRATÉGIE DE CYBERSÉCURITÉ : LA FORMATION

Presque tous les cadres et employés regrettent leurs faibles connaissances en cybersécurité. Ils éprouvent le besoin de développer davantage l’idée d’une culture IT partagée. Toutefois, il ne faut pas se leurrer. La demande en formation vient majoritairement des DSI, conscients d’un bout à l’autre de la chaîne des risques en cas de cyberattaque. Il faut leur fournir les outils nécessaires, de sorte qu’ils systématisent les processus de sensibilisation au sein même de leur structure. Il est nécessaire de proposer du sur-mesure évolutif pour faire monter les collaborateurs en compétences, et leur permettre de rester en phase avec les nouvelles formes d’attaques. Dans ce contexte, des formations associées à un travail préalable de sensibilisation sont requises pour que l’entreprise soit concernée et proactive.

Le contre-argument du coût élevé des formations ne doit plus masquer le besoin de se doter d’un « pare-feu humain », complémentaire de la simple technologie. C’est d’autant plus vrai en présence d’un turnover important dans les sociétés, car il contrevient au besoin de régularité dans la formation. Face au risque grandissant des cyberattaques, les entreprises qui ne souhaitent pas déployer une stratégie dédiée, seront confrontées à un monde qui évolue et prend en charge cette question de cybersécurité.

PAS DE RETOUR EN ARRIÈRE

En témoignent les assurances, qui cherchent à inclure davantage de clauses liées à la protection des données. Voici donc un immense champ de compétences autour des enjeux liés à la cybersécurité qui se déploie. Cette perspective est positive, mais elle demeurera insuffisante tant que la sphère politique n’offrira pas de directives claires. Et ce n’est pas l’arrivée du nouveau cloud européen, Gaia-X, qui changera grand-chose. Dans la réalité, une course contre la montre est lancée entre les tenants du progrès et de la concurrence loyale d’une part, et les spécialistes du malware et de la cybercriminalité, d’autre part. Faut-il en déduire que la prise de conscience de ces problématiques implique une forme de paranoïa généralisée ? C’est un risque.

BIO EXPRESS
Titulaire d’un MBA en gestion des achats industriels obtenu à la Kedge Business School, Eric Heddeland commence sa carrière dans la sécurité numérique. D’abord chez Backbone puis chez Quest, après le rachat du premier par le second. Après un passage par Arcserve et CA Technologies, il entre en 2017 chez Barracuda Networks pour occuper successivement plusieurs postes à responsabilité, toujours dans le domaine de la cybersécurité des données.