Prévenir les cybermenaces : les clefs d'une sensibilisation efficace
Lors du Cyber Women Day, organisé par le Cefcys le 27 octobre 2020, une table ronde était consacrée à la sensibilisation à la cybersécurité. Quatre spécialistes du domaine, dont deux RSSI, ont partagé leurs conseils pour réussir ce volet essentiel de la prévention du risque Cyber en entreprise.
PublicitéParmi les nombreuses missions du RSSI, sensibiliser les métiers et les utilisateurs du numérique à la cybersécurité joue un rôle central pour prévenir les cyberattaques. Toutefois, les actions mises en place ne portent pas toujours leurs fruits, comme en témoigne le nombre d'organisations victimes de cyberincidents que la vigilance suffit normalement à éviter. Durant son Cyber Women Day, le 27 octobre 2020, le Cercle des Femmes de la Cybersécurité (Cefcys) a organisé une table ronde intitulée « Comment réussir la sensibilisation à la cybersécurité ? ». Animée par Caroline Moulin Schwartz, chargée de conférences pour le Cefcys, cette table ronde a permis d'écouter plusieurs RSSI et professionnelles du domaine échanger sur ce thème, partageant leurs bonnes pratiques et pointant certains écueils à éviter pour réussir la sensibilisation.
Pour lancer le débat, Caroline Moulin Schwartz a repris les propos de l'une des invitées, Stéphanie Buscayret, Chief Information Security Officer chez Latécoère, qui n'a pu être présente. « La sensibilisation, c'est au moins 30 ans de travail, et dans 30 ans, nous en aurons encore pour 30 ans », a déclarée celle-ci, soulignant à quel point il s'agit d'un travail dans la durée. Si la sensibilisation demande un effort permanent, il s'agit toutefois d'un volet indispensable dans la prévention des cybermenaces, comme l'a ensuite rappelé Amandine Del Amo, chargée de mission partenariats pour le dispositif national d'aide aux victimes de cybermalveillance. Mis en place en 2017, celui-ci a trois missions : fournir une assistance aux victimes d'actes de cybermalveillance, qu'il s'agisse de particuliers, d'entreprises ou de collectivités ; prévenir et sensibiliser et enfin observer les cybermenaces. « Nous avons aidé plus de 185 000 victimes depuis le lancement de la plateforme. En étudiant ces incidents, nous avons constaté que si la majorité avait été sensibilisée au préalable, les attaques auraient été évitées », a indiqué Amandine Del Amo. Une récente enquête menée avec l'ANSSI à l'occasion du Cybermoi/s, intitulée « Citoyenneté et perception de la cybersécurité », a montré que si 96% de la population avait conscience des cyber risques, la majorité méconnaissait les différentes menaces, ignorant par exemple ce que recouvrait les termes « hameçonnage » ou « ransomware ».
Ne pas laisser la cybersécurité aux experts
Dans ce contexte, la sensibilisation des utilisateurs peut s'apparenter à un défi pour les RSSI. « Oui, c'est compliqué de sensibiliser à la cybersécurité en entreprise », admet Foteini Jean, la RSSI de GRT Gaz. « Au-delà de sensibiliser, l'enjeu est de faire adopter la cybersécurité. Il n'est pas possible de se contenter d'à peu près dans ce domaine. » De son côté, Mounir Chaabane, RSSI France de Volkswagen estime à l'inverse que la sensibilisation n'est pas un sujet compliqué. « Ce sont les professionnels qui la rendent complexe, notamment en utilisant un vocabulaire d'experts, qui n'intéresse pas les utilisateurs, par ailleurs bien conscients du risque. Ce qui intéresse ces derniers, c'est de savoir comment se protéger, sans entrer dans les détails techniques. » Il met plus particulièrement en garde contre un écueil de base auquel se heurte la sensibilisation : « une cybersécurité reléguée dans un placard, aux côtés de l'Informatique avec un grand I ». Pour Mounir Chaabane, c'est un cliché dont il faut absolument se départir. « Nous devons sortir de cette image d'expert alors qu'en réalité nous intervenons tous les jours auprès des utilisateurs. Le piège, c'est de se cacher, de rester dans l'ombre. Il faut montrer que nous sommes à leur service au quotidien, pas une fois par an. »
PublicitéLes différents intervenants s'accordent en revanche sur les objectifs à atteindre. Pour la RSSI de GRT Gaz, les entreprises et les collaborateurs doivent adopter les mêmes réflexes face aux risques d'incidents numériques que pour la santé au travail et la prévention des accidents. « Il faut faire en sorte que la cybersécurité devienne un réflexe », renchérit Louise Bautista, Regional Sales Manager de l'éditeur The Green Bow. Dans ce but, celle-ci suggère de développer chez les utilisateurs une capacité à répondre automatiquement quand certaines situations se présentent, à l'image des militaires entraînés à se défendre. Elle suggère aussi d'adopter en matière d'outils numériques « le même bon sens paysan que celui qui pousse à fermer ses volets quand on part. » Le RSSI France de Volkswagen parle quant à lui de motivation pour la prévention du risque cyber, « afin de construire une vigilance collective. » Pour illustrer son propos, il prend l'exemple des panneaux « Attention sol glissant » ou des nombreuses affiches présentes sur les sites industriels pour avertir des risques. « Il faut faire pareil pour la cybersécurité : mettre en place une communication constante, dirigée vers les utilisateurs, pour les utilisateurs - tout l'inverse d'un discours d'experts », pointe Mounir Chaabane. Selon lui, des affiches « Fermez votre session avant de partir » pourraient ainsi devenir l'équivalent des panneaux « Port du casque obligatoire » sur les chantiers.
Outiller et vulgariser
Pour le RSSI France de Volkswagen, le sujet de la sensibilisation ne doit pas être confié au seul RSSI. « C'est l'affaire de tous : il faut le confier aux utilisateurs, aux métiers, en particulier aux départements RH chargés de la formation, qui savent recueillir les besoins des utilisateurs en termes de cybersécurité, ou encore à la communication », insiste-t-il. Selon lui, il revient à ces départements, en lien avec l'ensemble de l'entreprise, de définir le « quoi », tandis que le RSSI intervient en support, sur le « comment ». Foteini Jean mentionne aussi un autre partenaire majeur des RSSI dans l'entreprise, le département de gestion des risques. « Les cybermenaces sont un risque d'entreprise, la vigilance cyber doit être au même niveau que la vigilance industrielle. Nous travaillons avec les risk managers sur la prévention et nous avons construit ensemble le plan d'adoption de la cybersécurité. » Dans le cadre de ces collaborations internes, le rôle du RSSI est notamment de vulgariser les sujets « afin que les autres acteurs se l'approprient », selon Mounir Chaabane. Dans la continuité de cette approche, il suggère d'inverser les indicateurs habituellement utilisés pour mesurer l'efficacité des actions de sensibilisation, qui testent souvent les connaissances des utilisateurs, en demandant plutôt à ces derniers d'évaluer la communication du RSSI. « Le KPI, c'est moi : ai-je bien fait mon travail ? », lance Mounir Chaabane.
Ce travail des RSSI, c'est notamment de donner les bons outils aux utilisateurs. « On ne peut pas sensibiliser les utilisateurs si on ne les outille pas », prévient le RSSI France de Volkswagen. Pour Amandine Del Amo aussi, l'un des premiers enjeux est de créer des outils pour simplifier la tâche aux utilisateurs. En effet, selon l'enquête évoquée plus haut, la moitié des personnes interrogées n'étaient pas prêtes face aux cybermenaces, « faute notamment de solutions faciles pour résoudre les problèmes. » Louise Bautista dresse quant à elle un parallèle avec l'écologie. « Plus les gestes demandés sont compliqués, moins ils sont faits ». Pour elle, il est important d'avoir des produits simples à utiliser, qui fonctionnent sans problème. « Toutefois, si les interfaces doivent être les plus simples et accessibles qu'il est possible, cela n'enlève pas la complexité sous-jacente des solutions », relève-t-elle, rappelant par ce biais que les experts techniques ont eux aussi un rôle à jouer dans la chaîne.
Des actions régulières et ciblées
Au-delà des outils de cybersécurité proprement dits, la sensibilisation passe aussi par la mise en place d'un dispositif, avec des actions de formation et des supports de communication. « Il ne s'agit pas de parler de cybersécurité une fois par an, il faut intervenir de façon régulière, en utilisant tous les outils à disposition », rappelle Foteini Jean. « Nous avons par exemple réalisé plusieurs webinaires, chacun introduit par un membre du Comex. » Elle souligne aussi l'importance de l'engagement du comité exécutif, « qui doit expliquer pourquoi c'est important de faire attention à des choses simples ». Les actions doivent également être ciblées, comme en témoignent aussi les intervenantes. « Nous avons fait des webinaires pour différents publics : le management, depuis les managers de proximité jusqu'au Comex, afin qu'ils puissent expliquer la cybersécurité à leurs équipes ; les utilisateurs eux-mêmes et enfin les administrateurs et développeurs. On ne s'adresse pas de la même façon à ces derniers », prévient Foteini Jean. « Nous mettons en place des outils avec des messages très vulgarisés, adaptés au contexte métier, aux problématiques quotidiennes des différents publics. Nous avons par exemple développé un programme de sensibilisation à destination des élus, en essayant de partir des questions remontées par les maires », explique de son côté Amandine Del Amo. Pour celle-ci, il faut également adapter les interlocuteurs chargés de la sensibilisation au public visé. « Le simple fait de savoir qu'il s'agit d'un expert peut mettre des freins, faire peur. Il faut identifier les bons relais au sein de l'entreprise : des managers, des pairs peuvent être plus à même de faire passer les messages que l'on souhaite transmettre », conseille-t-elle.
Interrogés sur le coût de la sensibilisation, parfois perçu comme un frein, les intervenants balayent rapidement l'objection. « La sensibilisation représente un coût, mais c'est un coût acceptable, qui est en général inclus dans le budget du RSSI. Ce qui coûte le plus cher, ce n'est pas tant de multiplier les outils (webinaires, quizz, wargames...), c'est le temps nécessaire. Une formation de deux heures pour 1000 employés, c'est 2000 heures de travail en moins », explique Mounir Chaabane, qui rappelle toutefois qu'il s'agit d'un coût ponctuel. « Le coût d'une attaque réussie peut être bien supérieur », observe Amandine Del Amo. « Mieux vaut payer un bonus qu'une rançon », ajoute Louise Bautista, soulignant par exemple qu'il revient moins cher mieux recourir à des hackers éthiques pour tester un périmètre que de réparer les dégâts a posteriori. Pour faire comprendre que négliger la cybersécurité peut coûter cher, elle propose même de lancer de petits défis, comme « celui qui laisse sa session ouverte paye les croissants » : une façon simple et ludique d'ancrer rapidement certaines habitudes.
Sanctionner ou pas ?
En fin de débat, Caroline Moulin Schwartz a également soulevé la question délicate de la sanction, demandant aux participants si celle-ci avait sa place dans les dispositifs de sensibilisation. « Je n'y suis pas favorable », lui a répondu Foteini Jean. « La sanction ne doit intervenir qu'en cas de faute lourde, il ne faut pas l'utiliser si l'on souhaite que les collaborateurs adoptent la cybersécurité. » En revanche, elle estime que le recours à la sanction peut s'appliquer pour les utilisateurs de comptes à privilèges. « Pour ceux-ci, nous faisons signer des chartes, dans lesquelles administrateurs et développeurs s'engagent à suivre certaines règles. Y manquer peut donner lieu à un avertissement, puis un blâme, voire aller jusqu'au licenciement en cas de négligence grave. » Néanmoins, la RSSI de GRT Gaz estime bien plus préférable de passer par d'autres approches pour sensibiliser ces publics techniques. « DevSecOps, c'est un peu notre rêve à tous », conclut-elle.
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire