ETI et cybersécurité : Comment minimiser le risque humain ?


Guillaume Laudière est consultant sécurité chez Orange Cyberdefense et spécialiste des questions de sensibilisation. Il donne, dans cet entretien, des conseils précieux aux entreprises de taille intermédiaire pour gérer le facteur humain dans leur approche du risque cyber.

Partager l’article :

Une étude Orange Business Services (OBS), menée en partenariat avec L’Usine Nouvelle et B2B Intelligence en 2018, montre que 65% des entreprises craignent une erreur humaine. Ce chiffre correspond-il à ce que tu perçois sur le terrain ?

Il est sûr que l’erreur humaine est un des risques les plus perceptibles dans une entreprise, toutefois, il est difficile de le quantifier sur le terrain. En général, cette problématique se mêle aux risques techniques et aux risques cyber que l’on peut voir fréquemment aux actualités (intrusion, vol de données, zero-day…).

Quelles solutions ces dernières peuvent-elles mettre en place pour minimiser le risque humain ?

Pour pouvoir répondre aux menaces, les entreprises s’orientent principalement sur des mesures techniques et organisationnelles en oubliant parfois que ce sont des personnes qui doivent les implémenter et les respecter.

L’erreur humaine peut en partie être compensée avec des équipements informatiques qui vont limiter les risques potentiels comme les filtres antiphishing et antispam sur la messagerie par exemple. Toutefois, ces équipements ne sont pas absolus, et ne permettent pas de prévenir l’ensemble des menaces, il faut donc s’en remettre aux utilisateurs.

C’est en ce sens qu’il est nécessaire de leur rappeler les bonnes pratiques et que les entreprises ETI complètent le dispositif de protection en sensibilisant les collaborateurs.

Toujours selon cette même étude, 81% des entreprises déclarent communiquer sur leur politique de sécurité en interne. Ce chiffre te paraît-il satisfaisant ?

C’est un bon début, mais il ne faut pas se limiter à communiquer sur la politique de  sécurité. Certains collaborateurs la liront, d’autres non. Cela ne sous-entend pas que les informés sauront quelles mesures mettre en place au quotidien. Le dispositif de sécurité doit être présenté aux collaborateurs dans une approche de gestion du changement, avec des règles concrètes qui sont présentées et expliquées.

Lors de tes interventions chez nos clients, tu distingues la communication, la sensibilisation et la formation en cybersécurité. Peux-tu nous en dire davantage ?

La communication permet de faire un focus sur un ou deux thèmes et de marquer les esprits, il s’agit en général de présenter les risques avec une approche coup de poing ou des visuels décalés. C’est une action assez courte. La sensibilisation apporte une certaine connaissance ainsi que des explications sur les bonnes pratiques de sécurité. C’est un moment où l’on peut prendre davantage de temps pour entrer dans le détail. Enfin, la formation sert à acquérir un savoir ou une compétence : nous sommes sur un temps plus long, le contenu est extrêmement détaillé et les capacités de mise en œuvre sont plus grandes et précises.

Pour mener une politique de sensibilisation sur le long terme, tu conseilles de procéder dans un premier temps sur l’ identification du besoin de sensibilisation. Peux-tu donner plus de détails ?

Avant de commencer, il est primordial d’identifier les besoins et de les qualifier : cela permet de définir une stratégie de sensibilisation. De cette stratégie découlera les cibles à adresser. Il faut alors se poser les bonnes questions : quelles populations dois-je sensibiliser ? Sur quels sujets ? Les réponses doivent orienter les actions à réaliser et leur mise en œuvre. Prenons l’exemple d’une banque : elle ne peut pas fermer toute une agence pour sensibiliser son personnel. Comment peut-elle faire ? Distribue-t-elle un guide ? Organisons-nous plusieurs sessions de sensibilisation ? En tant que consultants, nous devons nous adapter à la réalité de chaque client.

Par exemple, lorsqu’une entreprise n’a qu’un seul site, la mise en œuvre demeure beaucoup plus simple et l’utilisation de relais sur site peut être privilégiée. Dans le même temps, il est important également de se poser la question de la gouvernance de la sensibilisation. Le RSSI peut-il piloter et réaliser l’ensemble des actions ? C’est rarement le cas : il va donc devoir s’appuyer sur d’autres ressources, des référents sécurité par exemple qui permettront une diffusion locale des communications et sensibilisations.

Côté communication, quelles sont les bonnes
pratiques (et les erreurs souvent commises) ?

On ne voit pas beaucoup d’erreurs. Mais pour les entreprises qui seraient les moins familiarisées à ce genre de pratique, je conseillerais de faire simple. Pour ce qui est des sociétés avec des antennes internationales, il faut faire attention aux traductions maladroites ou aux interprétations négatives de certains messages de sensibilisation.

Tu travailles beaucoup sur l’apprentissage par le jeu. Peux-tu nous en dire davantage ? Est-ce une technique plus efficace que les leçons classiques ?

Pour pouvoir toucher un maximum de collaborateurs, il faut sortir du lot. On sait par exemple que les salariés reçoivent trop de mails et ne les ouvrent pas forcément tous. Il faut alors attirer l’attention par d’autres vecteurs et l’approche ludique reste très efficace. Après, certaines personnalités y sont réfractaires, comme toujours, il faut savoir s’adapter.

Peux-tu nous parler du Cybersecurity Training Center, le centre de formation d’Orange Cyberdefense. A quel public s’adresse les formations dispensées ?

Elles s’adressent en partie aux RSSI. Nous les aidons par exemple dans leur prise de fonction sur des sujets de sécurité, d’analyses de risques, de solutions à mettre en place face à des problèmes techniques ou juridiques. Nous proposons également des mises à niveau sur les connaissances règlementaires (RGPD), le monde industriel ou sur les techniques de sensibilisation. Des formations techniques sont aussi au rendez-vous : développement sécurisé, ethical hacking…

Comment passer de la théorie à la pratique pour que les collaborateurs mettent en place les nouvelles manières de faire au quotidien ?

La prise de conscience des menaces et l’écoute des bonnes pratiques de sécurité doit s’accompagner d’une mise en application au quotidien. Si les réflexes et les connaissances ne sont pas testés, il arrive fréquemment que les collaborateurs oublient les bonnes pratiques. Il faut donc vérifier leur mise en œuvre en réalisant des contrôles. Certaines entreprises organisent ainsi des campagnes de phishing ou des audits de robustesse de mots de passe par exemple.

Peux-tu nous citer un exemple de sensibilisation particulièrement réussie ?

La mission la plus complexe sur laquelle j’ai dû travailler sur ce genre de sujet a été pour un client du monde de la santé. Nous devions réaliser une campagne au niveau mondial sur la protection des données et sensibiliser plus de 110 000 collaborateurs. C’était un gros challenge ! Mais nous l’avons relevé.

A propos du blogueur

Consultant sécurité et auditeur
13 ans d’expérience
En 2005, Guillaume Laudière intègre le monde de la sécurité. Il travaille pendant 3 ans et demi sur les problématiques de continuité d’activité avant de se pencher sur la gouvernance (classification d’informations,
analyse de réseaux sociaux).
En parallèle, Guillaume travaille depuis 2007 en tant qu’auditeur et mène régulièrement des audits de conformité de prestataires. Il se spécialise ainsi sur ce type d’audit et complète son périmètre d’intervention avec l’audit de datacenters.
Il a ainsi réalisé plus de 450 audits de prestataires et plus de 50 audits de datacenters.

Guillaume Laudière, consultant sécurité chez Orange Cyberdefense