Formation en cybersécurité : comment protéger votre entreprise des cybermenaces
Aussi bien pour les particuliers que pour les entreprises de toutes tailles, il est devenu de plus en plus important de considérer les problématiques de sécurité informatique. La pandémie du coronavirus que nous vivons depuis 2019 a énormément renforcé ce besoin. En effet, de nombreuses entreprises (des PME aux multinationales) ont dû adapter leur fonctionnement pour permettre à leurs employés de continuer à travailler. Les nouvelles technologies ont été mises à contribution en déployant massivement le travail à distance.
Le contexte de la cybersécurité dans le monde et en France
La surface d’attaque des systèmes d’information se retrouve ainsi très élargie. Il devient donc vital de considérer la défense de ces systèmes. En France le taux de cyberattaques est multiplié par quatre au cours des années 2020 et 2021. D’où une hausse du taux d’embauche dans ce domaine, en moyenne 7% d’emplois supplémentaires sont créés chaque année dans la sécurité informatique.
Pour encourager les pays à améliorer leur gestion de sécurité et intensifier leurs efforts en termes de cybersécurité, un indice de cybersécurité (Global Cybersecurity Index ou GCI) a été développé par l’union internationale de télécommunication pour mesurer l’avancement de chaque pays dans ce domaine. Les cinq piliers d’évaluation du GCI sont :
- Juridique
- Stratégique
- Organisation
- Prise de conscience
- Coopération internationale
En France, l’agence nationale de la sécurité des systèmes informatiques (ANSSI) a été créée en 2009 avec pour mission de proposer des mesures de sécurité à appliquer par l’État et de contrôler leur mise en œuvre. L’ANSSI propose également un service de veille et de soutien des entreprises françaises en temps normal et en temps d’attaque. Pour cela, elle propose régulièrement des documents décrivant l’ensemble des actions de bonne conduite pour les entreprises afin de préserver leur sécurité.
Des entreprises de plus en plus vulnérables face aux cybermenaces
Depuis le déploiement de la nouvelle politique de BYOD « Bring Your Own Device » ou PAP « Prenez vos Appareils Personnels », les problèmes de sécurité ne font qu’accroître. Cette pratique consiste à l’utilisation de ses équipements personnels (smartphone, ordinateur, etc.) pour des raisons professionnelles. De plus en plus de collaborateurs utilisent cette approche, ce qui pose un problème relatif à la protection des données et de l’information. Surtout après la propagation de la pandémie du COVID-19, la plupart des organisations se sont trouvées dans l’obligation de mettre leurs employés en télétravail entraînant l’utilisation de leur équipement personnel dans le cadre de leur travail. En raison de ces risques de sécurité beaucoup d’entreprises préfèrent l’utilisation d’équipements qu’ils peuvent contrôler et administrer pour bloquer toute tentative de fraude. Sachant que les équipements personnels ne sont pas nécessairement conçus pour un usage professionnel (absence de pare-feu et de chiffrement de données) ce qui rend la perte de données récurrente. Il est toujours possible d’installer un agent sur les appareils pour surveiller leurs actions. Mais ce type d’action est assez lourd et ne peut pas toujours être effectué. Il faut donc protéger les ressources au niveau des serveurs où elles sont stockées pour pouvoir alléger au maximum les actions nécessaires de l’agent.
Réduire les risques en optant pour la formation en cybersécurité
Un expert en cybersécurité est celui qui s’occupe de la sécurité des systèmes informatiques d’une organisation et qui assure la fiabilité et la sûreté de ce système. Pour cela, l’expert est chargé de l’analyse des risques et des performances des systèmes de sécurité informatique. Il contribue aussi à la mise en œuvre et le suivi des dispositifs de sécurité internet. Il peut aussi être chargé de faire des audits sur la sécurité des systèmes informatiques et de communiquer les enjeux et les instructions liés à cela.
Si un pôle d’experts en cybersécurité devient de plus en plus nécessaire au bon fonctionnement de l’entreprise, il est presque aussi important de donner une formation en cybersécurité à l’ensemble des employés. En effet, de nombreuses attaques sont basées sur le « social engineering »: l’idée est d’exploiter les failles humaines plutôt que les failles informatiques. On retrouve, dans le social engineering :
- Le phishing (hameçonnage) : la victime croit parler à un tier de confiance (banque, employeur, assurance…) et donne ses informations personnelles de son plein gré. Les entreprises sont généralement victimes de vagues de mails de phishing.
- Attaque de l’homme du milieu (man in the middle) : l’utilisateur se connecte à un réseau wifi mis en place par l’attaquant (ce réseau peut avoir le même wifi que la boite ou juste être un wifi gratuit) l’attaquant transfère les paquets qu’il reçoit à un vrai réseau internet et transfert de la même manière la réponse. De cette manière l’utilisateur ne se rend pas compte de ce qu’il se passe. L’attaquant a ainsi tout le loisir d’analyser et d’espionner les paquets que lui envoie et reçoit l’utilisateur connecté. La connexion à un réseau wifi doit donc être réfléchie et si possible évitée surtout dans le cas d’un réseau gratuit ou inconnu.
- Une dernière faille peut être liée aux clés USB. Dans une expérience réalisée en 2016, un chercheur de cybersécurité de Google a mis en avant que plus de la moitié des clés USB abandonnées dans un campus ont été branchées sur des ordinateurs. Les risques sont multiples : ils vont de la simple destruction du matériel informatique (les USB killer envoient une forte décharge électrique qui grillent les composants d’ordinateurs) le pc peut également être infecté par un virus chargé sur la clé USB. Windows exécute automatiquement un programme appelé Autorun lorsqu’on branche une clé USB. Il est donc important lorsqu’un utilisateur trouve une clé USB de ne pas la brancher sur un pc sans respecter certaines règles de sécurité (par exemple démarrer la clé dans une machine virtuelle).
Une formation en cybersécurité pour les utilisateurs est donc un investissement rentable pour tous types d’entreprises. Un employé est souvent amené à manipuler des documents ou des données classées confidentielles. Perdre ces données peut être fatal pour l’entreprise.