Peut-on manager la cybersécurité ? – Conférence IAE Poitiers

Le mardi 08 octobre, praticiens et chercheurs du CEREGE et de l’IAE de Poitiers se sont entretenus, en présence de la RCF, sur une question de société fondamentale à l’occasion de la cinquième édition des Regards Croisés. Messieurs Yannick Pech, consultant en intelligence économique et cybersécurité, Jean-Michel Lathiere du cabinet de conseil INTELLIE, Bruno Vétel, maître de conférences en Sciences de l’Information et de la Communication et Yohann Burgan, directeur des systèmes d’information de RCF Radio, ont débattu sur une seule et même idée : peut-on manager la cybersécurité ? Retour sur cette conférence.

Cybersécurité : un vaste thème regroupant les technologies servant à protéger un patrimoine informationnel et à préserver les personnes des atteintes à leurs données. Sans tomber dans la paranoïa, ce terme est bel et bien présent au quotidien et ce, sans que nous le remarquions. Cette notion prend tout son sens avec l’avènement d’internet car nous vivons désormais dans un univers hyper connecté. Nos données sont constamment exposées et nous rendent nous-même objets de convoitise. Cybersécurité sous-entend donc cyberattaque potentielle. La performance des entreprises est la première touchée : des vols de fichiers, en passant par les comptes détournés, la réputation et la survie de celles-ci peuvent être remises en cause. Face à cette ampleur, le MIT ( Massachusetts Institue of Technology)  a dressé le portrait de l’écosystème des cyberattaques.  Il en ressort des notions de management, avec la sélection des cibles, de ressources humaines, concernant le recrutement et la formation des hackers mais aussi l’apparition et le développement d’un réel marketplace de la cyberattaque. Plus impressionnant encore, ce concept touche un public toujours plus jeune : les enfants apprennent à prendre le contrôle à distance d’une webcam ou encore à retrouver l’historique des navigations. Il s’agit donc en réalité d’une question managériale et, en conséquence, stratégique. De ce fait, une organisation particulière est nécessaire pour les entreprises voulant se prémunir de toutes attaques. A noter qu’il est impossible de prévoir l’intégralité des cyberattaques. Que ce soit dans un contexte interne ou externe aux entreprises, celles-ci doivent mettre en place des solutions organisationnelles et managériales, issues de l’analyse des risques, afin de rendre un avis sur la perméabilité des systèmes à des attaques. Néanmoins, « les personnels des entreprises ne sont pas suffisamment formés à cette problématique », selon monsieur Jérôme Méric, directeur de l’IAE de Poitiers. Les organisations doivent-elles en prendre conscience ?

 

Une prise de conscience collective pour une sécurité globale

Plus qu’une cybersécurité, il s’agit également d’une sécurité humaine, technique, matérielle et physique. Nous sommes tous peu protégés, mais nous tendons de plus en plus vers la sensibilisation du personnel. L’usage générationnel nous impacte : nous ne sommes pas formés aux nouvelles technologies. Il y a un véritable retard culturel en France. Parfois, la sécurité est vue par certains comme une entrave à l’activité économique et pratique. A l’image de nos collègues anglo-saxons, la France devrait opter pour une culture de proactivité. Quand certains négligent la sensibilisation, d’autres, notamment les jeunes, ne voient pas ou font semblant de ne pas voir la face noire qui se cache derrière tous ces enjeux. Finalement, ce rejet de sensibilisation est lié à l’autarcie numérique. Les entreprises pensent maîtriser le numérique et ses outils, car les plateformes sont ergonomiques et faciles d’utilisation. Elles sont donc convaincues de ne pas avoir besoin de cette protection. Quelques concepts sont connus de tous tels que les spams, mais la méfiance est désormais constamment sollicitée. C’est la vie personnelle et la manière même de travailler qui peuvent amener à des risques : financiers, technologiques, de marchés, d’images, de pertes de données … autant de menaces pouvant attaquer les entreprises. Pire, les rançongiciels peuvent les faire disparaître. Les sous-traitants ne doivent pas être négligés et avoir le même niveau sécuritaire que les entreprises mères afin de contrer les intrusions. Là encore, des moyens financiers sont nécessaires pour une protection efficace.

La modélisation des cyberattaques

Selon nos experts, 95% des failles tels que l’exploitation et les revendeurs de données proviennent de facteurs humains. Difficile donc de lutter contre ces menaces. Bien que controversée, la notion de hacker est portée par trois types de personnes : les Black Hat, les White Hat et les Grey Hat. Autant de dénominations qui perturbent les acteurs de la cybersécurité. Ces « pirates » cherchent les lacunes dans la masse humaine en utilisant des moyens d’ingénierie sociale très élaborés tels que les spam ou le phishing. De plus, l’utilisation massive des réseaux sociaux change la donne : des entreprises dévoilent des informations importantes en voulant simplement communiquer. La plus grosse industrie culturelle française est également de la partie. Les jeux vidéo permettent d’acquérir un volume de données personnelles des joueurs important. Sont dispensés également des tutoriaux d’intrusion et des entraînements d’hacking en ligne. Ainsi, on observe un manque de discrétion de l’ensemble de la société. Cadres et dirigeants ont tout intérêt à faire attention dans les lieux publics. Leur quotidien peut avoir un impact sur leur entreprise même. Ils sont devenus les cibles privilégiées des espions, des portes d’entrée en quelque sorte. Enregistrements vidéo lors de l’inscription du mot de passe dans le train, mots de passe identiques pour chaque site, mail confidentiel écrit dans le RER … des menaces quotidiennes qu’il faut tenter de rectifier afin de contrecarrer l’espionnage économique. Les pirates informatiques se plaisent à se servir des outils numériques dont les entreprises disposent. Des gestes simples pour se protéger selon les intervenants : utiliser, au minimum, un écran de confidentialité et avoir recours à la double-identification. Il est conseillé d’éviter les SMS, qui ne sont pas sécurisés et de chiffrer les disques durs externes.

Vers une sécurisation efficace

Les entreprises redoublent d’efforts pour abriter leurs informations. Elles procèdent à des task d’intrusion, afin de détecter les failles d’une manière intrusive, mettent en place des plans de reprise d’action et sécurisent l’ensemble des smartphones de l’entreprise. Au-delà de ces outils, c’est avant tout une excellente communication interne qui est nécessaire pour sensibiliser le personnel avec des supports de communication adaptés. Il faut vulgariser les employés à la cybersécurité et les accompagner. Malgré tout, nous observons une porosité, globalement, entre les activités internes et externes à l’entreprise. En effet, la gestion d’un système de sécurité pose problème : est-ce une innovation ? faut-il une sécurité globale pour l’entreprise ? Ce sont ces questions qui encapsulent les problèmes d’audit concernant la sécurité. Il ne faut pas oublier que les métiers de la sécurité sont intimement liés à ceux de la gestion des connaissances et des données. Tous les métiers sont connexes, ils doivent être décloisonnés et s’allier. Travailler en collaboration apparaît être un des meilleurs moyens pour atteindre une sécurité globale. Toujours est-il que tout ne peut pas être protégé. Il s’agit de donner un périmètre au champ d’actions. Finalement, nous voyons qu’il faut, ou du moins faudrait, manager la cybersécurité, en ayant recours à des processus clairs. Il est indispensable d’être vigilant et de se protéger. Concernant cette vigilance, monsieur Marcon (professeur en sciences de l’Information et de la Communication) s’est interrogé sur l’aspect inutile de cette méthode, dans le cas où nous ne constatons aucun changement. Comment éviter le retour aux habitudes des employés ? Selon nos experts, mettre en place des fiches réflexes et des exercices permettraient d’éviter cette difficulté. Je finirai par les paroles de Yannick Pech : « il faut se mettre à la place des attaquants pour comprendre le processus d’attaque ».

Ce qu’il faut retenir 

Le décloisonnement des compétences et le travail en collaboration sont primordiaux afin de prendre en compte la sécurité globale de l’entreprise et assurer ainsi une bonne organisation de celle-ci. Trouver un juste équilibre entre la liberté des salariés et la sécurité de l’entreprise est indispensable. Il faut rester vigilant et se protéger au maximum, même dans la vie privée et surtout dans les lieux publics. Il faut donc manager la cybersécurité, car les défauts sont principalement humains, ce qui nécessite des processus d’organisation afin de déterminer les failles.

Avez-vous un anti-virus sur votre smartphone ? Vous déconnectez-vous souvent de vos réseaux sociaux ? Avez-vous des mots de passe différents ? Utilisez-vous un réseau privé virtuel dit VPN ?  A méditer.

Capucine Chicault


Sources :

AUCUN COMMENTAIRES

Désolé, les commentaires ne sont plus admis pour le moment.