Service abonnements 01 83 97 46 50

Revenir en haut de la page
Home| Social / RH| Ressources humaines| Dépêche n°560848

"Ce n’est pas en un clic qu’on crée une culture de la cybersécurité dans l’entreprise" (S. Biessy, Willis Towers Watson)

Face au risque informatique, les entreprises ont tendance à se focaliser sur une réponse technologique. Pourtant, "selon les entreprises qui ont connu un sinistre, les deux tiers des compromissions de données viennent de négligences, voire de malveillance des collaborateurs", indique Sébastien Biessy, directeur de l'activité "talent" du cabinet Willis Towers Watson France. Aussi, "il est indispensable de susciter la prise de conscience des collaborateurs et d’obtenir une vraie adhésion à la politique de lutte contre le risque cyber". Pour ce faire, il convient, dans un premier temps, de mesurer le risque en interrogeant les collaborateurs, avant de déployer des formations et informations régulières. Et les managers de proximité sont en première ligne pour sensibiliser leurs équipes au quotidien.

AEF : Les entreprises tendent à appréhender le risque informatique uniquement sous l’angle technologique. Qu’en est-il du risque humain en la matière ?

Sébastien Biessy : Bien sûr, il faut des réponses technologiques, qui fonctionnent très bien pour les attaques extérieures. Mais selon les entreprises qui ont connu un sinistre, les deux tiers des compromissions de données viennent de négligences, voire de malveillance des collaborateurs. Le plus souvent, il ne s’agit pas de mauvaise volonté de la part des collaborateurs, mais d’une simple méconnaissance, comme lorsqu’un salarié oublie un ordinateur portable dans un train. Mais souvent, derrière ce genre d’oubli, il y a aussi le fait que le salarié a conservé des fichiers confidentiels sur son ordinateur au lieu de les enregistrer sur le serveur, que les données ne sont pas cryptées et qu’on peut y accéder sans mot de passe… Il y a aussi des salariés qui envoient des fichiers confidentiels par email ou les partagent par des plateformes de transfert qui ne sont pas assez sécurisées. Imaginez que le DRH d’une entreprise envoie des données relatives aux salaires par WeTransfer ou Google Docs : ces données peuvent très facilement être lues par n’importe qui.

Les cas de malveillance interviennent plutôt lors d’un conflit avec un collaborateur. Par exemple, un salarié qui travaille depuis des années au service informatique a accès à toutes les données, parfois à travers des portes que vous ne maîtrisez pas, et il peut en faire un mauvais usage. Le risque est encore plus grand quand vous travaillez avec des fournisseurs ou des consultants indépendants depuis des années, qui ont peut-être "customisé" votre système.

AEF : Comment les entreprises peuvent-elles se prémunir contre ce risque interne ?

Sébastien Biessy : Il est indispensable de susciter la prise de conscience des collaborateurs et d’obtenir une vraie adhésion à la politique de lutte contre le risque cyber. La première chose que peut faire l’entreprise, c’est de mesurer ce risque à travers une enquête ciblée auprès des collaborateurs, en posant non seulement des questions sur la sécurité informatique elle-même – les bons et les mauvais réflexes –, mais aussi sur la façon dont est perçue la politique de l’entreprise en la matière et sur l’intérêt qu’ont les collaborateurs pour le sujet. Lancer une enquête est en soi un signal envoyé aux salariés que l’entreprise prend le risque cyber au sérieux. Et le taux de réponse est, en lui-même, un indicateur intéressant.

Ensuite, quand on fait une enquête, il faut communiquer sur les résultats de façon transparente, sans créer de panique : il s’agit de pointer les risques identifiés, ce qui permet une prise de conscience des salariés.

AEF : Une fois cet état des lieux réalisé, que peut faire l’entreprise ?

Sébastien Biessy : La formation est un élément très important, notamment au moment de l’intégration, pour s’assurer que les nouvelles recrues ont conscience que l’entreprise prend la cybersécurité au sérieux. Mais il faut aussi former et informer les autres salariés de l’entreprise, et ce de manière régulière. C’est un travail de longue haleine, il faut souvent rappeler les règles. Ce n’est pas en un clic ou en un claquement de doigts qu’on crée une culture de la sécurité. En ce sens, la démarche se rapproche un peu de la problématique de la sécurité dans une usine : le message doit être répété tous les jours.

L’autre point commun, c’est que l’implication du management est extrêmement importante. Comme toujours, l’exemple vient d’en haut. Plus le management est impliqué, plus les collaborateurs vont être conscients du risque. D’ailleurs, on peut tout à fait envisager de fixer des objectifs en la matière. Il faut prendre le risque cyber aussi au sérieux que la sécurité physique.

Fermer

Bonjour

Vous souhaitez contacter

Lucie Prusak, journaliste