BFM Business

Sans formation en cybersécurité le risque humain reste toujours le plus fort

Formations, séminaires, démonstrations, mises en situation, communication interne… les modes de sensibilisation à la cybersécurité sont divers et variés, l’essentiel étant d’être pédagogue.

Formations, séminaires, démonstrations, mises en situation, communication interne… les modes de sensibilisation à la cybersécurité sont divers et variés, l’essentiel étant d’être pédagogue. - Pixabay

Le risque humain figure toujours parmi les failles principales dans les affaires de cybersécurité. Les entreprises redoublent donc d'effort pour sensibiliser davantage leurs collaborateurs. La tâche est ardue.

Cela fait quelques années qu'au sein des entreprises, les principes de cybersécurité ne sont plus l’apanage des seuls experts (DSI, RSSI, responsables techniques). En effet, pour se prémunir contre les vulnérabilités d’origine humaine, les entreprises, avec plus ou moins de détermination, ont developpé des processus de sensibilisation auprès de leurs collaborateurs, comité exécutif compris. "La mise en place de cette politique de sécurité doit être compréhensible par tous. Elle ne doit donc pas être écrite dans un jargon technique de spécialiste, explique Franck Greverie, Corporate Vice-president des activités cybersécurité chez Capgemini. Surtout les collaborateurs doivent apprendre à comprendre les risques qu’ils font courir à leur entreprise s’ils ne la respectent pas". La sensibilisation passe donc pas une communication pédagogique sur des sujets tels que la gestion des mots de passe, le phishing, l’ingénierie sociale, l’utilisation d’applications qui ne sont pas à jour, etc. et les conséquences liées à ces attaques et au non respect des procédures.

Alterner des sessions de formations obligatoires avec des ateliers de mise en situation

De façon concrète, cette éducation peut prendre la forme de modules de formations obligatoires, de journées de démonstrations de piratage en comités restreints ou encore de mises en situation. En complément de ces évènements de sensibilisation ponctuels, le niveau de maturité des collaborateurs doit être entretenu et mis à jour, par une communication interne régulière. "L’intranet, par exemple, représente un outil adapté pour aider les entreprises à planifier une campagne de sensibilisation à long terme", suggère Franck Greverie. Les pouvoirs publics ont également leur rôle à jouer. "En septembre 2015, certaines entités de l’Etat associées au CIGREF (une association rassemblant les patrons informatiques des grandes entreprises) annonceront conjointement une campagne de sensibilisation de grande ampleur", révèle l’expert.

Eddye Dibar