1) Pourquoi sensibiliser ?
La cybersécurité n’est pas qu’une question d’antivirus, ou de connaissances des réseaux de hackers internationaux… « On parle beaucoup d’actes de malveillance en cybersécurité, mais en réalité quand on entre dans le détail, l’essentiel des incidents ce ne sont pas des attaques, ce sont des erreurs, des petites fautes de salariés qui ont des conséquences ensuite », tempère Astrid-Marie Pirson, directrice technique souscription pour les assurances spécialisées Hiscox. Un laptop oublié dans un train, un téléphone portable perdu, des téléchargements intempestifs… Autant de failles qui permettent à des personnes malintentionnées - bien loin des hackers professionnels, plutôt des malfrats à la petite semaine - d'en profiter. « Le danger, c’est le quotidien. Et l’idée générale, c’est de faire en sorte que les truands frappent à la porte d’à côté », synthétise-t-elle. Depuis le RGPD, les données sont plus sensibles et peuvent attirer tous les regards, en restant tout autant accessibles sur n’importe quel outil de travail.
2) Faire Simple
Tout le monde ne peut pas être informaticien. Et le but n’est pas que tous les employés deviennent experts en cryptologie. « Il faut donner des conseils pratiques, basiques. Inciter facilement à changer ses mots de passe. Apprendre à inventer et retenir des moyens mnémotechniques », ajoute Astrid-Marie Pirson. C’est ainsi que la formation ne doit pas être longue, technique et rébarbative. Préférez expliquer par des exemples concrets pourquoi il faut faire les choses. « Dans notre formation, nous faisons des sessions par thèmes, simples, une fois toutes les deux ou trois semaines. Une longue session sera vite oubliée », prévient-elle. On parle parfois d’hygiène informatique pour les entreprises.
3) Convaincre tout le monde
Par le passé, les directeurs de la DSI eux-mêmes craignaient que l’on parle de cybersécurité. « Ils prenaient cela personnellement, et estimaient qu’on leur reprochait de mal faire leur travail. Mais la sécurisation des systèmes et la gestion de plateforme informatique sont deux métiers différents. Ça ne veut pas dire qu’ils ne peuvent pas le faire, juste que ce n’est pas forcément sa mission. On peut alors repenser sa mission, embaucher ou prendre un prestataire externe. » Idem, on ne mesure pas à quel point tous les employés sont concernés. L’assistante de direction gère les mails du directeur, la personne de l’accueil peut être connectée au réseau etc.
4) Oublier la répression
La répression est-elle un moyen efficace ? Non. « On ne fait bien que ce que l’on comprend », insiste Astrid-Marie Pirson. Trop souvent, des salariés ne disent pas immédiatement qu’ils ont perdu leurs ordinateurs par peur des représailles. Au contraire, il faut faire comprendre que c’est dans l’intérêt de l’entreprise. Et que le but n’est pas de les priver de liberté ou d’alourdir les processus, mais d’éviter des situations qui peuvent mettre en danger les entreprises.
5) Deux conseils de base
Mettre en place une sauvegarde externe des données – externe au réseau. Et bien faire les mises à jour de tous les logiciels. « Les éditeurs de logiciels connaissent et réparent régulièrement les failles dans leur produit. Quand vous mettez en place une mise à jour, vous réduisez déjà beaucoup le risque de faire face à des failles », conclut la spécialiste.