Peut-on vraiment parler de cybersécurité sans prendre en compte son maillon souvent le plus faible : l’être humain ? Voilà maintenant quatre ans que j’évolue dans le monde de la cybersécurité. Ce texte se veut un partage des façons de faire de base les plus utilisées pour gérer le maillon faible de la cybersécurité, soit monsieur et madame tout le monde.

Des cybermenaces bien tangibles

Depuis déjà plusieurs années, la cybersécurité en entreprise constitue un sujet de préoccupation majeur. Plusieurs types de cybermenaces coexistent et s’en prennent régulièrement aux entreprises, dans tous les secteurs d’activité. Les courriels d’hameçonnage ou les rançongiciels, pour ne nommer que ceux-là, prolifèrent à un rythme fou et causent des dégâts bien tangibles que l’on constate dans les médias :

• Perte de productivité prolongée des employés, avec un matériel informatique non fonctionnel, parce qu’un pirate informatique nous paralyse ;
• Activités interrompues d’une chaine de production tenue en otage par des cybercriminels ;
• Listes d’informations sensibles (de clients, d’employés ou de partenaires d’affaires) rendues publiques par des entités malveillantes.

Le tout affectant directement les revenus ou la réputation de l’entreprise qui subit ce genre de chantage.

Les mesures qui existent pour contrer ces menaces sont nombreuses. Et comme ces menaces évoluent rapidement, les moyens pour les combattre se multiplient tout autant. Une fois les systèmes et les processus informatiques mis en place pour se protéger, il faut continuellement les mettre à jour. Cette lourde responsabilité et tâche reviennent au département des TI.

Le facteur humain en cybersécurité

Cependant, au-delà du travail des TI, il existe en cybersécurité un risque bien réel qui s’appelle l’erreur humaine.

On peut donc mettre en place tout l’arsenal informatique que l’on veut pour ériger une forteresse de protection autour des données, il n’en demeure pas moins qu’il y aura toujours un risque d’entrée malveillante ou de fuite de données. L’humain, dans ce contexte, est probablement le paramètre le plus difficile à circonscrire. C’est un risque difficile à gérer, mais on se doit tout de même d’essayer.

Les catalyseurs pour une meilleure cyberhygiène

La gestion du changement en cybersécurité s’articule donc souvent autour de changements de comportements des employés face à des menaces potentielles. Elle se façonne autour de plusieurs outils clés :

• Code de conduite. La mise en place d’un code de conduite ou d’une politique de cybersécurité claire et accessible dans son langage et dans sa diffusion.
• Sensibilisation. Des campagnes de sensibilisation internes et régulières sur la bonne cyberhygiène à adopter. Autant à la maison qu’au travail. D’ailleurs, depuis l’avènement quasi généralisé du télétravail, la frontière entre ces deux mondes s’amenuise. On a donc tout intérêt à éduquer les employés sur les deux fronts. Ils y verront de toute façon, une valeur ajoutée pour leur quotidien.
• Formation. Des formations ciblées pour les groupes les plus à risques. Il peut s’agir de départements qui gèrent des données particulièrement sensibles pour l’entreprise. On peut aussi s’adresser à des groupes qui ont déjà été ciblés par des attaques informatiques dans le passé pour éviter que malheur ne se répète.
• Veille. Des simulations d’hameçonnage sont souvent utilisés auprès des employés. Autrement dit, on envoie de faux courriels frauduleux à une liste d’employés et on observe leurs comportements face à la menace qu’il faut savamment identifier, rapporter et éliminer.

Le cycle d’évolution des cybermenaces

Toutes ces façons de faire doivent être mesurées pour vérifier jusqu’à quel point les bons comportements ont été intégrés par les membres du personnel. Elles doivent aussi être répétées de façon cyclique parce que :

• Les mêmes menaces évoluent rapidement et la bonne cyberhygiène qui s’y rapporte aussi. Par exemple, on ne gère plus aujourd’hui nos mots de passe de la même façon qu’il y a 10 ans.
• Il y a un roulement de la force de travail qui amène toujours de nouveaux employés qu’il faut sensibiliser dès leur arrivée.
• La capacité d’intégrer de nouveaux processus informatiques n’est pas la même pour tout le monde. Certains employés ont donc besoin qu’on leur répète plusieurs fois la même information afin de bien l’assimiler.

L’adoption de nouvelles façons de faire par les employés pour une meilleure protection des données est donc un travail de longue haleine qu’il faudra toujours recommencer.

La constance des efforts et des mécanismes de suivi en ce sens sont essentiels pour assurer un certain succès dans l’adoption des outils que l’on met à la disposition des employés. Il en va de même pour les processus mis en place pour eux en partenariat avec les TI.

Les changements de comportements, ça s’étale donc dans le temps.

Fudjika Bloncourt
Conseillère sénior en communication et en gestion du changement
Spécialiste en cybersécurité

Aplus