Cybermenaces : la pratique des salariés

Les cyberattaques sont de plus en plus médiatisées et les entreprises prennent le problème de plus en plus au sérieux. Néanmoins, contrairement à ce que l’on peut croire, la plupart des cyberattaques contre les entreprises sont d’origines internes.  Que ce soit par malveillance ou inadvertance, ces attaques sont initiées par une personne de confiance. Aujourd’hui, la question n’est plus de savoir si l’on va faire l’objet d’une cyber-attaque, mais la question est de savoir quand et comment y faire face. 


  • Tous les acteurs d’une entreprise sont concernés par la cybersécurité 


La cybersécurité est, selon l’ANSSI, l’état recherché pour un système d’information lui permettant de résister à des évènements issus du cyberespace susceptible de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traités ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. 

La cybersécurité est l’affaire de tous les acteurs d’une entreprise. Les entreprises appréhendent souvent la cybersécurité de manière technique et la problématique est confiée aux informaticiens ou au directeur du système d’information. Néanmoins, chacun est acteur de la cybersécurité de l’entreprise, même un simple utilisateur.

La menace peut venir d’un stagiaire, d’un intérimaire, d’une personne embauchée en contrat à durée déterminée ou même une personne embauchée en contrat à durée indéterminée, qui est depuis longtemps intégrée dans l’entreprise.
La menace peut soit venir d’une maladresse, soit d’une intention de nuire de la part du collaborateur. 

Un cas classique de négligence est celle de l’employé qui laisse ses identifiants et mots de passe de connexion sur son poste de travail.
Le vol de l’ordinateur ou du smartphone d’un salarié constitue aussi l’une des cybermenaces les plus répandues et dangereuse dans la mesure où il est possible d’accéder à la messagerie professionnelle du salarié. La pratique du BYOD (Bring Your Own Device) multiplie également ce risque. 

La plupart des menaces internes ne sont pas malveillantes et résultent d’erreurs humaines qui pourraient largement être évitées via une sensibilisation constante et des outils adaptés. Les cybercriminels utilisent des techniques de plus en plus sophistiqués et abusent de la naïveté de certains salariés.  

Les dirigeants d’entreprises comprennent les cybermenaces et prennent conscience de leur gravité. Néanmoins, les prises d’actes pour éviter de telles attaques ne sont pas toujours initiées. En effet, il n’y a pas de réelles augmentations des budgets alloués à la sécurité informatique.


  • La mise en place d’une véritable politique de sécurité du système d’information 


Il est important de mettre en place une véritable politique de sécurité des systèmes d’information sur le plan technique mais aussi sur le plan humain.

Chaque entreprise, quelle que soit sa taille doit donc avoir une politique de sécurité des systèmes d’information. Cela implique de prendre en compte tous les risques, qu’ils soient endogènes ou exogènes en effectuant des audits de vulnérabilité et des tests d’intrusion dans les systèmes d’information. 

Beaucoup d’entreprises n’ont pas de gestion des identités, droits et actions y afférant. 

Il faut donc tout d’abord une meilleure gestion des accès et des sensibilisations régulières pour tous les salariés de l’entreprise. Le prérequis est l’authentification des utilisateurs. On classe les informations selon leur sensibilité, les données les plus sensibles seront ainsi accessibles à peu de personnes. 
On peut également insérer des clauses spécifiques dans les contrats de travail tel que des clauses de confidentialité, de propriété intellectuelle ou encore de non concurrence. Les employés doivent être sensibilisés à la protection des données et aux informations confidentielles. Une clause de confidentialité précise doit être stipulée dans leurs contrats de travail.

Il faut sensibiliser les salariés aux principaux textes de lois concernant les données personnelles, les contenus illicites, les moyens de contrôle mis en œuvre et les sanctions. 

Il est nécessaire de définir les contours et règles afférentes à l’utilisation à titre personnel des ressources informatiques de l’entreprise. 

La cybersécurité doit aller au delà de la technologie. Les équipes informatiques doivent donc prendre le temps de former leurs employés aux meilleures pratiques. Par exemple, on peut faire comprendre aux salariés l’importance de leurs mots de passe, qui doivent être complexes et uniques, sans le noter sur un post-it affiché sur le poste de travail. 

L’ANSSI donne plusieurs recommandations concernant les mots de passe. Il faudrait utiliser un mot de passe unique pour chaque service. Il est surtout très important de ne pas avoir le même mot de passe sur sa messagerie personnelle et professionnelle. Pour que le mot de passe soit robuste, il faut qu’il soit long, au moins 12 caractères de types différents, c’est à dire majuscules, minuscules, chiffres, caractères spéciaux. Il faut aussi qu’il soit complexe, donc il faut proscrire tout lien avec la personne (nom, date de naissance…). En outre, il faut qu’il soit renouvelé avec une fréquence raisonnable, en entreprise tout les 90 jours pourrait être envisageable, en contraignant l’employé à le changer. 

Pour plus de sécurité, il est indispensable de prévoir un dispositif de blocage ou de suppression des informations contenues sur les terminaux mobiles en cas de perte ou de vol. 
Si l’entreprise pratique le BYOD, il est indispensable d’informer sur les risques et l’accès aux comptes sur les réseaux Wi-fi. Idéalement, une politique de sécurité claire et concise devrait être élaborée. 
Il faut également mettre en place des sécurités si le droit au télétravail est admis dans l’entreprise.

En outre, il est important d’intégrer la cybersécurité à la fiche de poste des salariés ainsi qu’adopter une charte informatique adaptés aux technologies, pratiques et risques de l’entreprise. L’entreprise peut élaborer une charte d’utilisation des moyens informatiques et des outils numériques. C’est un document à portée juridique précédé d’une analyse de risque. Cette charte doit intégrer la cybersécurité. Elle informe le salarié sur les usages permis des moyens informatiques, les règles de sécurité, les mesures de contrôles et les sanctions. Le salarié doit donc faire une utilisation raisonnée et responsable des ressources informatiques et technologiques mises à sa disposition. 

En cas de cyberattaque, il faudra être prêt et donc avoir prédéfini un plan de secours informatique ainsi que des procédures de reprise d’activité en cas de dysfonctionnement lié à une cyberattaque.  

Atteinte à l’image, à la réputation, indisponibilité des infrastructures et impact financier… Il est important pour une entreprise d’arriver à une sécurité efficace. Il est nécessaire qu’il y ait une collaboration continue au sein de l’entreprise. Il faut protéger et mettre en valeur les informations stratégiques de l’entreprise afin d’optimiser leur exploitation dans le respect des règles du Règlement général sur la protection des données personnelles. 

Il est donc impératif d’avoir les bons réflexes pour se protéger en amont mais aussi pour limiter les conséquences d’une telle attaque. Comme beaucoup de menaces et d’incidents de cybersécurité proviennent d’un collaborateur actif au sein de l’entreprise, un management efficace est primordial.


Sophie FOISSET
Master 2 Cyberjustice – promotion 2018-2019




Sources:
photo: https://www.stormshield.com/fr/comment-insuffler-culture-cybersecurite-dans-entreprise/
http://grand-est.direccte.gouv.fr/Protegez-vos-entreprises-contre-les-cybermenaces
https://www.ssi.gouv.fr/entreprise/glossaire/c/
Cahiers de droit de l’entreprise n° 5, Septembre 2014, prat. 25
https://www.ssi.gouv.fr/guide/mot-de-passe/
https://www.ssi.gouv.fr/actualite/charte-dutilisation-des-moyens-informatiques-et-des-outils-numeriques-le-guide-indispensable-pour-les-pme-et-eti/
https://www.ssi.gouv.fr/uploads/2017/06/guide-charte-utilisation-moyens-informatiques-outils-numeriques_anssi.pd

Laisser un commentaire