Box Fibre Entreprise jusqu'à 2Gb/s pour booster votre activité. Exclu web à 40€HT /mois. Cliquez ici pour en savoir plusNous contacterAssistanceEspace Client
Nos offres et solutions SFR Business
Les pirates informatiques utiliseront toujours une erreur d’origine humaine pour s’introduire dans un réseau d’entreprise. Voilà pourquoi il y a un réel enjeu pour celles-ci à sensibiliser l’ensemble de leurs collaborateurs quant à leur comportement, mauvaises habitudes et négligences. La culture du risque doit devenir un objectif majeur.
Le salon FIC (Forum International de la Cybersécurité) qui s’est tenu à Lille en janvier dernier a notamment rappelé que 70% des problèmes de sécurité impliquent directement les employés. Ces derniers sont visés pour une bonne et simple raison : ils sont la véritable valeur ajoutée de l’entreprise et sont à ce titre ciblés prioritairement par les pirates. De l’assistant commercial à la secrétaire, du dirigeant à l’ingénieur en passant par le recruteur, chacun porte une part de responsabilité dans la sécurité de la société qui le fait vivre. Personne n’est à l’abri et certainement pas les managers et dirigeants « VIP » qui s’avèrent même les premiers relais de compromission d’une entreprise.
Les cybercriminels tentent par tous les moyens de s’infiltrer dans les réseaux d’entreprise. Ils savent pertinemment que les collaborateurs, dans leur grande majorité, non seulement ne sont pas formés à la culture du risque, mais se croient à l’abri de toute compromission. Or de la même manière que chacun peut être victime d’un pickpocket dans le métro, n’importe quel employé peut être victime d’une cyberattaque. Dans un cas comme dans l’autre, le voleur va exploiter une faille humaine pour commettre son forfait et réussir son méfait. Il profitera par exemple d’une poche mal fermée ou d’un smartphone mal paramétré. Quoiqu’il en soit, le pirate exploitera toujours une erreur d’origine humaine.
La sécurité informatique ne pourra s’améliorer que par la mobilisation de l’ensemble des salariés. Ce combat au quotidien débute par la mise en place d’une salutaire culture de la sécurité du doute à tous les échelons. Puisque chacun peut être le vecteur d’une attaque, mieux vaut apprendre à remettre en cause ce qu’un ordinateur ou smartphone affiche à l’écran. Car le pirate va toujours tenter de leurrer sa proie. Un site web n’est peut-être pas celui que l’on a l’habitude de visiter, un email n’a peut-être pas été envoyé par un interlocuteur traditionnel, un simple fichier ou clé USB peut contenir un virus. Les exemples sont nombreux d’employés floués par des liens vers de faux sites web dont l’adresse URL ne diffère que par la modification d’un simple caractère (fishing). Ou bien par l’envoi de fausses factures en pièces-jointes porteuses de codes malicieux visant à inoculer un ransomware et bloquant le réseau jusqu’au paiement d’une rançon.
De nombreuses entreprises ont déjà eu affaire à des ransomwares et ont été obligées de payer une forte somme d’argent pour débloquer leur réseau interne. Certaines ne s’en sont pas relevées. Pour éviter le pire, il y a lieu d’adopter quelques règles simples. La première consiste à ne jamais communiquer d’identifiants confidentiels (email, n° de téléphone…) suite à une demande sortant de l’ordinaire. En cas de doute, mieux vaut vérifier son authenticité par le biais d’un second canal. La seconde vise à éradiquer l’emploi de mots de passe simples à déchiffrer. Au lieu de créer des sésames complexes et ardus à retenir, il est plus judicieux d’imaginer une suite de mots (ecranverregobeletvase par exemple) difficile à décrypter et que l’utilisateur pourra et devra modifier périodiquement. D’autres gestes assureront l’intégrité de la sphère professionnelle comme le fait de ne pas ouvrir un fichier Word/PDF émanant d’une source inconnue, éteindre l’ordinateur en quittant l’entreprise, et bien évidemment ne pas se connecter à des sites pornographiques ni ne communiquer d’informations confidentielles à des inconnus.
Les pirates se font fort d’exploiter les liens que chacun entretient entre vie privée et professionnelle. Il y a donc lieu d’édifier une barrière entre ces deux mondes. La consultation d’emails personnels ou de réseaux sociaux sur son lieu de travail s’avère une source de risques, de même que l’utilisation de mots de passe identiques pour s’identifier à la fois dans son entreprise et chez soi. Le développement du coworking et du télétravail ajoute une couche de risque supplémentaire, les espaces en dehors de l’entreprise pouvant être vecteurs d’inoculation de malwares. C’est par exemple le cas lorsqu’un collaborateur recharge son mobile professionnel sur un ordinateur d’un espace de travail partagé, ou lorsqu’il utilise sa clé USB personnelle pour transférer des données sur le serveur de l’entreprise.
A LIRE AUSSI
Mobilité : Le terminal, un maillon à protéger des cyberattaques
La cybersécurité est encore trop souvent synonyme de contrainte professionnelle, allant parfois jusqu’à nuire à la productivité et à la simplicité. Cependant, elle permet de diminuer les dangers des cyberattaques et garantir la bonne marche de l’entreprise. Il est donc urgent de mettre en place des règles sécuritaires au quotidien en formant les personnels à la culture du risque.
Sébastien Viou
Consultant Cybersécurité