Cybersécurité, humains et résilience
Vous le savez, je suis convaincu que la cybersécurité d’une entreprise, quelle que soit sa taille, passe avant tout par ses utilisateurs, quel que soit leur position.
Au sein de l’entreprise, chaque maillon est vecteur potentiel d’une attaque.
Dans ce schéma, la cybersécurité n’est pas qu’un sujet de RSSI et d’équipe IT, c’est un sujet global, du service RH, avec une information dédiée dans les contrats de travail, à la Direction en insufflant des messages forts en interne qui sensibiliseront les collaborateurs à la cybersécurité.
Intégrer l’humain dès le début
Faire de la cybersécurité, c’est faire confiance à l’humain, c’est placer vos collaborateurs au cœur de votre plan global.
Fini le syndrome de « l’interface chaise-clavier », fini les équipes IT perçues comme « inutiles » par les utilisateurs. Il est temps de réconcilier tout le monde et de co-construire un projet global de cybersécurité.
Votre plan cybersécurité est une identification des « joyaux de la couronne » pour votre entreprise et des choix d’outillage en conséquence. Votre partenaire peut vous aider à identifier les outils dont vous avez besoin en fonction de vos technologies et vos métiers.
Ainsi, ce sera votre organisation entière qui fera face aux cyber-attaques :
- Les services RH pour l’organisation des formations « classiques » et des « teams building » orienté cyber résilience.
- Les services IT et la « response team » pour préparer les scénarios de désastres.
- Et enfin tous vos collaborateurs pour participer et se former à la cybersécurité.
On se protège au bureau comme à la maison
Vos scénarios doivent être en adéquation avec ce que vous avez à protéger, mais pensez à parler au quotidien des utilisateurs. S’ils s’identifient au risque, ils seront plus réceptifs aux méthodes pour se protéger.
Organisez votre communication pour qu’elle soit simple, et surtout permanente. Il est inutile de faire une opération coup de poing, puis ne plus communiquer par la suite. Le résultat sera nul, ou quasi nul.
Il est judicieux dans votre plan de communication de créer une affiche par mois présentant un cas simple d’attaque et de l’afficher dans les zones communes des bureaux ou à la machine à café.
Une histoire simple, des images, un résultat clair. « Ce que l’on conçoit bien s’énonce clairement. Et les mots pour le dire arrivent aisément », cette citation de Nicolas Boileau n’a jamais été aussi vrai afin d’illustrer ce qu’est la communication autour de la cybersécurité.
Faites de cette citation la vôtre et travaillez avec votre partenaire (si vous en avez un) pour proposer un accompagnement digne de ce nom à vos collaborateurs.
On sort du sacro-saint cours magistral
Former vos utilisateurs ne veut pas dire les renvoyer à l’école. Il existe aujourd’hui de nombreuses méthodes bien plus efficaces et surtout complémentaires.
Des solutions de « serious game », sur des sessions de 10 minutes au maximum, permettent lors de « compétitions » internes de pousser vos utilisateurs vers des apprentissages alternatifs bien plus profitables. Ces compétitions perçues comme non rébarbatives et innovantes, assureront la mobilisation de tous vos collaborateurs.
De même et parce qu’il en faut un peu, les sessions de cours doivent durer 30 minutes au maximum. Ne pas avoir lieu juste avant ou juste après manger (ce n’est pas spécifique à la cybersécurité, c’est humain).
Enfin, et parce que rien ne vaut une mise en situation « réelle », la construction d’un environnement miroir au votre pour vous permettre de créer des conditions réelles de désastre sont aussi à envisager.
Dans ces mises en situation, prenez le soin de créer des équipes en plusieurs pôles :
- Le pôle le plus évident, celui des équipes IT, pour circonscrire le désastre et préparer la reconstruction.
- Le pôle métier, qui compte les pertes et qui organise la reconstruction ou la récupération des joyaux perdus ou détruits.
- Et enfin un pôle moins évident, une équipe entièrement dédiée à la poursuite de l’activité. Elle va rechercher et mettre en œuvre tous les moyens alternatifs pour que l’entreprise continue d’avancer, à marche réduite certes, mais qu’elle avance tout de même pendant la phase de désastre. Cette équipe de résilience aura carte blanche pour trouver des méthodes et des outils de maintien des activités (Passage sur les smartphones perso, usage d’application grand public telles que WhatsApp ou Facebook, utilisation de postes informatiques achetés au Darty du coin, papier-crayons, réorganisation opérationnelle). Et tout cela sans être entravée par les contraintes habituelles (entre autres du RSSI).
De plus, cette activité de mise en situation permettra de mettre en lumière les défauts de vos processus actuels. Comme par exemple la sauvegarde de tous vos documents de récupération en cas de désastre au format numérique, sans aucune version papier, alors que votre serveur de bibliothèque documentaire est corrompu. Comme quoi, le papier, c’est bien aussi.
Comment évaluer ?
Faire tout cela indique que vous avez déjà un pied dans la cyber-résilience, mais savoir où l’on en est, c’est quand même mieux. Surtout quand on doit justifier l’usage de ses budgets.
Cette démarche doit donc s’intégrer dans un processus de mesure de la maturité cybersécurité.
Les outils existent et permettent de simuler un ensemble d’attaques.
Ces attaques seront quant à elles adaptées à votre environnement utilisateurs et serviront de mètre étalon pour toutes les autres mesures.
Dans votre processus d’évaluation de la maturité, vous allez commencer par « scanner » tous vos utilisateurs pour identifier les zones de faiblesse.
Est-ce vos comptables, vos commerciaux ou vos directeurs qui sont les moins « étanches » aux attaques ?
Après avoir identifié ces zones de faiblesse, vous pourrez lancer les campagnes de formation et de sensibilisation, puis à intervalles réguliers, vous recommencez. Vous aurez ainsi une vue précise sur l’évolution de vos faiblesses et sur l’efficacité de votre plan de résilience.
En conclusion
La cyber résilience est un voyage sans fin, tout comme la vie de votre système d’information et l’évolution de votre entreprise dans un environnement numérique global.
Prenez le temps de poser un regard sur votre capacité à redémarrer après une attaque. Comme tous les spécialistes le disent, la question n’est pas de savoir si vous allez être attaqué, mais bien de savoir quand.
Une fois ce regard posé, organisez-vous pour vous rendre le plus étanche possible aux attaques. Sachant qu’être étanche ne veut pas dire inattaquable, mais résilient : capable de supporter l’attaque sans mettre un genou à terre (ou les deux).