Management
Cybersécurité, l’affaire de tous les salariés
20/05/2020
Pour quel genre d’attaques êtes-vous surtout contacté par les entreprises ?
Éric Freyssinet : Les inquiétudes des entreprises ont d’abord trait aux escroqueries, aux fraudes dont elles peuvent être victimes avec l’outil informatique. La préoccupation courante qui vient ensuite est actuellement le rançongiciel. Il ne doit toutefois pas cacher les menaces moins visibles. Dans la plupart des cas, une attaque par rançongiciel est précédée par l’exfiltration des données confidentielles de l’entreprise. Pendant cette crise sanitaire, nous avons eu énormément d’échanges avec les entreprises et le format des séminaires en ligne permet des interactions plus nombreuses et riches.
À qui est destiné votre document « cybermenaces et Covid-19 » (PJ) ?
É. F. : Ce document est un travail de mon équipe et repose aussi en partie sur des contributions de nos équipes régionales. Il est destiné aux entreprises, que nous contactons dans le cadre de nos actions de prévention collectives ou ciblées. Depuis le lancement de nos actions de prévention cyber pendant la crise sanitaire, 38 000 contacts ont eu lieu, dont près de trente mille dans les entreprises, ainsi que dans les hôpitaux ou les pharmacies.
Sera-t-il enrichi de nouvelles recommandations, les cybercriminels étant réputés pour leur imagination à inventer de nouvelles techniques ?
É. F. : Il est complété par d’autres documents et nous allons en développer de nouveaux dans le cadre du déconfinement et des prochaines phases de la crise, pour nous adapter aux menaces émergentes[1], certainement en ciblant des typologies d’attaques. Par exemple, nous avons développé un document d’alerte sur les vulnérabilités des serveurs de type « accès au bureau Windows à distance » utilisant le protocole RDP (Remote Desktop Protocol). Ces vulnérabilités sont activement exploitées pour déployer des rançongiciels.
Le telétravail a-t-il accru les cybermenaces ? Dans quels domaines et que faut-il sécuriser en priorité ?
É. F. : L’évolution de la menace liée au travail, avec cette crise, est de plusieurs natures : désorganisation des entreprises, pertes de repères, personnels parfois hors des protections des réseaux locaux quand un VPN (Virtual Private Network) n’est pas utilisé, interactions avec le milieu familial… Il est essentiel que les entreprises rappellent à leurs employés les mesures de sécurité et les contacts en cas d’incident. En outre, elles doivent leur fournir les moyens de sécurisation minimaux adaptés à leur architecture, par exemple un antivirus à installer sur leur poste si les employés utilisent un ordinateur personnel.
Les cybermenaces concernent-elles plus particulièrement certaines entreprises ou secteurs ?
É. F. : Tous les secteurs sont concernés, mais pendant les premières semaines de la crise nous avons focalisé nos actions de contact et prévention sur les plus sensibles, donc d’abord le secteur médical.
La cybersécurité nécessite-elle une formation particulière et une fonction spéciale dans l’entreprise ?
É. F. : Tout dépend de la taille de l’entreprise, mais même si ce rôle est cumulé avec d’autres, la formation est indispensable. Il ne faut pas non plus hésiter, pour les petites structures, à faire appel à un prestataire externe de confiance.
À quel niveau du management le responsable cybersécurité doit-il rendre compte ?
É. F. : Tous les niveaux doivent être impliqués et sensibilisés. Le patron d’une entreprise doit intégrer la cybersécurité dans sa feuille de route, quand il lance un nouveau service, un nouveau produit, lorsqu’il développe les contacts avec ses prospects et clients. Il doit aussi avoir à cœur de protéger les savoir-faire et les données confidentielles de son entreprise.
Crise un jour, relâchement le lendemain : comment maintenir la vigilance sans qu’elle devienne obsessionnelle ?
É. F. : Échanger, dialoguer, développer un réseau de contacts autour de ces questions, pour renouveler les points de vue et profiter du vécu des autres.
La lutte contre les cybermenaces appelle-t-elle une compétence particulière ?
É. F. : Elle doit d’abord être l’affaire de tous. Et cela passe souvent par des messages simples. Des vidéos de sensibilisation sont par exemple un format efficace pour passer des messages, des affiches plus ludiques qu’anxiogènes incitent à la lecture.
Peut-elle être un moyen d’impliquer davantage les salariés dans l’entreprise ?
É. F. : Il faut s’intéresser à la cybersécurité individuelle des employés ; s’ils ont conscience des risques personnels liés à leur environnement familial, à leur poste de travail spécifiquement, ou à leur environnement immédiat, ils seront motivés à protéger leur entreprise de façon plus générale.