À l’heure actuelle, la sécurité informatique des entreprises se base sur les protections techniques. On se demande s’il ne serait pas plus efficace de faire plus d’investissement dans la formation des différents utilisateurs.
La sécurité informatique en danger
De nos jours, la sécurité informatique est en danger. Presque tous les jours, on entend parler de nouveaux virus, ransomware, de vols de données et de nouvelles cybermenaces. D’où la crainte en permanente des utilisateurs finaux qui se demandent avant de cliquer un lien s’il ne va pas contaminer son appareil et, par ricochet, tout le système de l’entreprise. Auparavant, la sécurité informatique était maîtrisée et était une spécialité des techniciens et professionnels. Aujourd’hui, tout le monde se sent concerné. Les professionnels sont donc obligés de faire-part de leur savoir-faire au public. Pourtant, beaucoup d’entre eux ne savent pas comment y procéder.
La solution face aux problèmes
Pour trouver une solution à ce problème, une étude a été réalisée par trois chercheurs de Google. Elle consistait à obtenir auprès de 231 experts de cyberdéfense de donner trois conseils pour se trouver à l’abri des cyberattaques. À la fin, 152 réponses ont été récoltées après élimination des doublons. L’étude a relevé que la formation des professionnels de la cybersécurité visant à transposer aux utilisateurs leur savoir-faire en termes de langage et de technique est indispensable. Cela permettra d’avoir une sécurité informatique plus humaine.
En 1983, années de la première tentative d’intrusion à distance de Kevin Mitnick dans les ordinateurs du Pentagone depuis une université californienne, des moyens techniques de lutte contre toutes attaques ont été de plus en plus demandés par les directions des systèmes informatiques ou DSI. Cependant, leur efficacité face aux différentes attaques puissantes réalisées par des hackers malveillants est remise en question, et cela depuis plus d’une trentaine d’années. La raison est simple et elle a été révélée par Emanuel Germain : on omet souvent que l’humain constitue l’une des failles les plus exploitées par les pirates.
L’humain, la principale défense contre les cyberattaques
La plupart des cyberattaques commencent par du phishing. Un salarié se fait piéger et peut mettre l’entreprise en danger. Selon Angela Sasse, même si plusieurs salariés ont laissé passer une attaque, l’entreprise devrait pouvoir continuer à fonctionner. Pour ce faire, les compères se doivent d’être capables d’en empêcher la propagation de l’attaque. Ce qui rend indispensable la formation des ressources humaines dans l’utilisation de bons outils.
D’après Benoît Grunemwald, expert en cybersécurité chez Eset, éditeur de solutions de cyberdéfense, la cybersécurité de l’entreprise est composée de trois maillons. Le premier est la direction. C’est elle qui se charge de l’allocation des moyens financiers et humains. Le second est le service informatique. C’est lui qui s’occupe de la gestion des moyens. Il y a, enfin, l’utilisateur final, dont le comportement est fonction de la stratégie de l’entreprise. L’affaiblissement de l’un de ces trois maillons entraînera la vulnérabilité de toute la chaîne.
Si la cybersécurité, dans la plupart des temps perçus comme un centre de coût, se met à bien fonctionner, toute tentative de piratage de l’entreprise sera anéantie. Pour ce faire, la direction doit sensibiliser les experts pour former tous les salariés sur les règles de base à connaître. Ce qui n’est pas une tâche facile.