« L’humain d’abord » : reformuler les risques de cyber-sécurité

La liste des cyber-menaces ne cesse de s’allonger, mais dans un monde dirigé par la technologie, on peut vite se perdre quand on tente de résoudre le problème. Dans cet article, notre invité Roland Carandang, directeur général de la practice conseil en technologie du cabinet Protiviti UK, invite les entreprises à adopter une approche plus axée sur l’humain.

Les risques de cyber-sécurité induits par le télétravail ont fait couler beaucoup d’encre ces derniers temps : de plus grandes surfaces d’attaque, des environnements plus informels et l’intensification des menaces sont autant de facteurs qui contribuent à ce phénomène. Quand certains estiment que nos environnements de travail sont désormais plus vulnérables, d’autres constatent que les entreprises apprennent à mieux prévenir les attaques. La vérité se trouve sans doute quelque part entre les deux, mais il est évident que les risques inhérents à la cyber-sécurité ont augmenté.

Selon des recherches menées par Interpol en août 2020, « il est fort probable que la cybercriminalité augmente à nouveau dans un avenir proche ». L’influente organisation internationale de police criminelle suggérait également que les cybercriminels allaient exploiter les vulnérabilités induites par le télétravail. Les entreprises réagissent rapidement à cette menace perçue : une récente étude de Robert Half révèle que 44 % des directeurs informatiques considèrent le « maintien de la sécurité informatique » et la « protection des données de l’entreprise » comme des priorités pour le premier semestre 2021 .

L’évolution rapide de la situation présente des défis pour tout le monde. Les responsables de la sécurité sont capables de s’attaquer à ces problèmes grâce au nombre croissant de technologies à leur disposition, mais ils font face à des menaces évolutives qui changent en permanence. Autrement dit, ils ont de plus en plus de mal à savoir si leur entreprise est vraiment bien protégée.

Pallier les failles et parer au plus pressé ne fonctionne que jusqu’à un certain point.

Faciliter la compréhension de la cyber-sécurité

Pour que chacun puisse progresser dans ce domaine, la clé consiste à formuler ces enjeux dans un langage qui soit compréhensible par les chefs d’entreprise, pas uniquement par les professionnels de la technologie. L’industrie est très douée pour parler de cyber-sécurité en termes de produits et de solutions, mais l’évaluation des risques en prenant en compte le facteur humain, ou plus spécifiquement les « cybercriminels », peut aider tout le monde à mieux comprendre les risques.

En interne, il est courant que des utilisateurs bien intentionnés ignorent les mesures de sécurité en place pour faire leur travail : par exemple, si un utilisateur doit envoyer un gros document à un client, il passera probablement par un service de transfert de fichiers, bien que celui-ci ne soit pas nécessairement sécurisé. De plus, les initiés opportunistes sont parfois ravis de saper la sécurité, mais ne sont pas criminels au point d’ignorer les contrôles établis. Quand ces contrôles ne sont pas en place, ils considèrent cela comme un feu vert. Un initié opportuniste ne volerait jamais un billet de dix euros dans le portefeuille de quelqu’un, mais il le garderait s’il le trouvait par terre sur le trottoir.

Il existe toutes sortes d’auteurs de menaces externes, des plus sophistiqués comme les syndicats du crime organisé aux moins sophistiqués, qui utilisent des méthodes compréhensibles mais facilement détectables. La plupart des chefs d’entreprise s’attendent à des attaques sophistiquées parce qu’elles sont hautement coordonnées et plus difficiles à prévenir, mais dans une moindre mesure, le phishing et les adresses URL malveillantes peuvent aussi créer beaucoup de problèmes aux entreprises si elles ne réagissent pas rapidement.

Notre expérience montre que les chefs d’entreprise, c’est-à-dire ceux qui assument vraiment la responsabilité des risques, comprennent beaucoup mieux la cyber-sécurité à travers l’humain que sous l’angle des structures techniques comme la kill chain, ou « chaîne de frappe ». Une fois qu’on comprend qui sont les auteurs des menaces, il devient beaucoup plus simple de définir des scénarios de risque et des mesures préventives.

De la compréhension à l’action

À ce stade, l’évaluation des risques de l’entreprise devient une structure qui l’aide à avancer. En identifiant les problèmes, il est possible de développer et de fournir les bonnes solutions. Cela peut inclure une nouvelle technologie qui aide à prévenir les menaces externes, mais aussi de nouveaux contrôles qui contribuent également à faire changer le comportement des utilisateurs internes de l’entreprise.

Quand les chefs d’entreprise comprennent la façon de procéder des cybercriminels, mais aussi leur impact sur des problèmes aussi concrets que la confidentialité, l’intégrité, la disponibilité et la vie privée, ils peuvent réfléchir autrement à la sécurité. L’exploration de ces enjeux par différentes équipes peut être intéressante et utile pour tout le monde. Cela signifie aussi que le changement se décide en tenant compte de chaque aspect de l’entreprise.

Alors que les entreprises naviguent dans le paysage évolutif de la cyber-sécurité, elles doivent formuler leurs défis dans un langage compréhensible par les dirigeants. Envisagée sous l’angle des auteurs et des scénarios de menaces, la cyber-sécurité n’est plus perçue comme un sujet spécialisé et suscite l’adhésion des équipes. Les chefs d’entreprise peuvent recruter des spécialistes pour les aider, mais aussi travailler avec des professionnels de la sécurité pour faciliter le transfert de connaissances et former leurs collaborateurs. Cette approche offre la possibilité d’une meilleure compréhension commune, aujourd’hui comme demain.

Dans un monde où les cyber-menaces évoluent rapidement et où les professionnels de la sécurité informatique sont très demandés, cette approche centrée sur l’humain aide davantage de personnes à comprendre les risques auxquels les entreprises sont confrontées – et leur permet finalement de fédérer leurs équipes pour avancer ensemble.

Robert Half continue à placer des spécialistes en informatique chez de nombreux clients. Nous avons accès à un solide réseau d’intérimaires qualifiés et de candidats recherchant un poste en CDI. Ils sont prêts à aider votre entreprise à s’adapter à l’évolution constante de ses besoins en termes d’informatique et de cyber-sécurité. Contactez-nous dès aujourd’hui.