Dans un contexte de transformation numérique, notamment accéléré par la généralisation du télétravail, le paysage de la cybersécurité en entreprise évolue. En effet, alors que la surface d’attaques augmente, les méthodes des cybercriminels sont de plus en plus sophistiquées et diverses. Le rapport « Global Risk Report 2021 » du World Economic Forum classe d’ailleurs la cybercriminalité parmi les risques les plus probables au cours de la prochaine décennie, aux côtés des conditions météorologiques extrêmes et de l’inégalité numérique entre autres.
Selon le rapport « Les coûts cachés de la cybercriminalité », publié l’année dernière par McAfee, les pertes mondiales dues à la cybercriminalité s’élèvent désormais à plus de 1 000 milliards de dollars, soit une augmentation de plus de 50 % par rapport à 2018. Ces coûts sont notamment liés aux temps d’arrêt, à l’efficacité réduite, aux coûts d’intervention des experts en sécurité, et à l’atteinte à l’image de marque qui se traduit souvent par la perte de clients, partenaires ou investisseurs.
La cybersécurité en entreprise : une responsabilité partagée
Les entreprises ont bien entendu compris l’importance d’ajouter une couche de sécurité à leurs infrastructures et applications pour se protéger des cybermenaces. Certaines adoptent d’ailleurs une approche « zero trust », partant du principe qu’aucun utilisateur ou périphérique n’est digne de confiance sur un réseau, et renforcent les règles d’authentification. D’autres ont opté pour une stratégie « security by design » en intégrant l’aspect sécurité dès le début du développement des applications.
Néanmoins, pour que ces initiatives portent leurs fruits et soient efficaces, les entreprises doivent sensibiliser leurs employés via une communication adaptée. En effet, lorsque l’on parle de cybersécurité d’entreprise, la responsabilité est partagée entre l’entreprise et les employés.
Les employés, cible privilégiée des hackers.
Les employés sont en effet une des portes d’entrée privilégiées des hackers, notamment via des techniques d’ingénierie sociale comme le phishing (ou hameçonnage).
Les techniques d’ingénierie sociale consistent à approcher des employés via leurs réseaux sociaux ou comptes personnels, gagner leur confiance, et ensuite lancer une attaque. Celle-ci peut être sous forme de lien corrompu pour récolter des informations confidentielles (phishing), sous forme de logiciel malveillant qui subtilisent des informations (malware), ou de logiciel qui prend en otage des données contre une rançon (ransomware).
Avec le BYOD, place au Shadow IT
Les employés sont la cible privilégiée des hackers car ils sont des proies faciles, mais également parce que leurs pratiques leur facilitent parfois l’accès à l’entreprise. En effet, les employés ont souvent recours, consciemment ou non des risques, au Shadow IT. Le Shadow IT consiste à utiliser des outils (smartphones, ordinateurs personnels…) ou applications (services de messageries, chat, site de partage de fichiers…) qui ne sont pas approuvés par le service informatique, et qui donc échappent à leur surveillance. C’est d’autant plus le cas à l’heure du télétravail où les employés utilisent parfois leur ordinateur personnel ou dont l’entreprise ne fourniraient pas les outils de collaboration nécessaires.
Sensibiliser les employés, clés de voûte de la cybersécurité en entreprise
Lorsqu’une entreprise est victime de cyberattaque via un ou plusieurs employés, ces derniers étaient rarement mal intentionnés. Les enjeux et risques sont en effet souvent mal connus des employés, et l’entreprise a ici un travail de communication et de pédagogie pour que les solutions de sécurité mises en place soient efficaces. Cela peut notamment passer par une charte des bonnes pratiques ou des formations. Car si l’utilisateur est une partie du problème, il est également une partie importante de la solution.
Et vous, avez-vous déjà entrepris une stratégie de communication auprès de vos équipes pour les sensibiliser aux cyber-risques ?