Entretien avec Olivier Antoine, Head of Information Security Management, au sein de POST Cyberforce.
Pourquoi le facteur humain est-il si important dans la stratégie de cybersécurité d’une entreprise ?
Les entreprises doivent protéger leurs informations, qu’elles soient physiques ou informatisées. De plus, les menaces ne proviennent pas seulement de l’extérieur, la menace interne est bien réelle mais ce point est souvent négligé.
L’erreur humaine serait à la base de 75% des problèmes de sécurité informatique et de cybercriminalité (source : FEDIL). Les 4 facteurs humains identifiés comme pouvant être déclencheurs d’incidents de sécurité sont l’ignorance, la routine, la naïveté et la négligence. Il est donc important de sensibiliser ses équipes et de leur faire prendre conscience de leur rôle, aussi bien dans les TPE, PME que les Grandes Entreprises.
Les hackers connaissent ces failles et n’hésitent pas à en jouer. Nous avons notamment constaté une recrudescence d’attaques en mars pendant la période de confinement : les collaborateurs s’imaginent plus en sécurité chez eux et baissent leur vigilance.
Comment créer efficacement une culture de sécurité de l’information en entreprise ?
La première étape pour une entreprise, après les avoir rédigées, est de vulgariser ses politiques de sécurité de l’information. Force est de constater qu’une politique rédigée sur 50 pages ne fonctionne pas. En effet, les collaborateurs la verront comme une contrainte supplémentaire et ne la liront donc pas.
Pour remédier à cela, les entreprises peuvent tout d’abord sensibiliser leurs équipes via des contenus agréables à regarder (infographies, vidéos…). Ensuite pour impliquer, engager et consolider cette culture, des actions plus « ludiques » peuvent être mises en place. L’objectif est de pouvoir faire prendre conscience aux collaborateurs qu’ils sont eux aussi impliqués dans la sécurité et que la sécurité est l’affaire de tous au sein de l’entreprise.
Peux-tu nous citer justement des exemples d’actions qui ont été testées au sein de POST ?
Plusieurs actions ont été mises en place au sein de POST notamment pour obtenir des indicateurs de performance et ainsi pouvoir mesurer concrètement l’impact de nos différentes campagnes de sensibilisation à la cybersécurité.
La première action dite d’« happening » consistait à vérifier le respect de la Clean Desk Policy par les différents services de l’entreprise. Après la diffusion d’une vidéo de sensibilisation sur l’intranet de l’entreprise qui simulait un vol d’information par des martiens, l’équipe ISM a décidé, de nuit, de faire le tour des bureaux et d’y déposer une carte avec un alien vert sur les bureaux qui respectaient la Clean Desk Policy et une carte avec un alien rouge ainsi que le rappel des règles sur les bureaux qui ne la respectaient pas. Cette action a marqué les collaborateurs car certains en parlent encore !
L’autre action que nous faisons régulièrement consiste à faire des tests de phishing en interne étant donné que la plupart des incidents proviennent du vol de données via phishing aujourd’hui. Récemment nous avons utilisé l’adresse email de notre service marketing, en ayant pris soin de changer subtilement le nom de domaine, pour proposer un concours interne pour tenter de gagner un lot. Les collaborateurs étaient invités à y participer en s’y inscrivant via un lien et en y fournissant des informations personnelles. Dans de telles situations la vigilance des collaborateurs peut facilement baisser mais un rappel des règles à respecter a été fait aux personnes qui ont réagi à ce jeu concours.
Quel est ton souvenir le plus amusant en termes de sensibilisation à la cybersécurité ?
Le souvenir le plus drôle a été lors d’une mission de sensibilisation pour une entreprise du secteur bancaire située en Belgique. Afin de sensibiliser ses utilisateurs à la sécurité physique, le client m’a demandé de sortir une poubelle sécurisée à roulettes du bâtiment sans utiliser le badge d’accès qui me permettait d’ouvrir les portes. Aussi étrange que cela puisse paraître, personne n’a cherché à savoir pourquoi une personne en costume se promenait dans le bâtiment avec une poubelle. Et pire encore, comme je n’avais pas de badge d’accès, les employés m’ont gentiment ouvert les différentes portes sécurisées du bâtiment pour me faciliter la tâche. Les cybers attaquants ne sont pas toujours derrière leur écran, alors méfiez-vous et sensibilisez vos équipes !
Quels conseils donnerais-tu à ceux qui souhaitent approfondir la mise en place d’un environnement « cyber-sécurisé » dans leur entreprise ?
Nous devons rester raisonnables et ne pas avoir d’objectifs trop ambitieux qui ne peuvent être atteints.
La sécurité de l’information et sa gestion telles que mentionnées par la norme ISO/CEI : 27001 doivent être continuellement améliorées.
Pourquoi cette norme ? La norme fournit un cadre pour la mise en œuvre d’un système de gestion de la sécurité de l’information (SMSI). Elle vise à mettre en place un système de gestion de la sécurité dans l’entreprise et à assurer son amélioration continue selon le cycle « Plan – Do – Check – Act », dans un périmètre prédéfini.
Le choix des mesures et du niveau de sécurité se fait ensuite en fonction des risques identifiés. La gestion basée sur les risques nécessite un engagement fort de la direction : non seulement pour valider ces risques, mais aussi pour fournir les ressources – financières, humaines et techniques – nécessaires à la mise en œuvre des plans d’action.
Alors que de nombreuses entreprises dans le monde appliquent déjà cette norme, en Europe, les entreprises semblent encore réticentes à adopter l’ISO 27001 et sont encore moins désireuses d’étendre cette approche à la certification, qui est encore trop souvent perçue comme un processus long et coûteux. Cependant, l’adoption de cette approche est le meilleur moyen de mettre l’ensemble de l’entreprise sur la voie d’une plus grande sensibilisation à la sécurité.
Si vous souhaitez créer une culture de sécurité au sein de votre entreprise, POST peut vous accompagner dans la construction et la réalisation du plan d’action.
