Aujourd’hui 80% des attaques cyber, que ce soit des vols, des destructions de données, ou des fraudes (fraude aux ordres de virement, FOV) sont liées à des comportements à risque de collaborateurs. D’une manière paradoxale, alors que les solutions de sécurité sont de plus en plus sophistiquées, et les budgets en constante augmentation, les atteintes générées par de tels comportements ne font qu’augmenter…
Par Pascaline Abdini
L’explication est finalement des plus logiques : la protection des données est encore trop organisée en silos. Avec une approche technique (celle du RSSI, du CISO et du DSI) une approche juridique (la fameuse « compliance » du DPO) et une approche classique de sureté des sites, au sens « protection physique ».
Les collaborateurs sont au centre de ces dispositifs, et en constituent à la fois le dénominateur commun mais également la variable la plus aléatoire !
C’est d’ailleurs l’élément central des résultats de la 4e édition du baromètre annuel du CESIN1. Ainsi d’après les RSSI «, l’enjeu principal pour l’avenir de la cybersécurité est l’acculturation et l’implication de l’ensemble des collaborateurs. Les usages des salariés apportent leur lot de risques, notamment via le shadow IT. Et si les salariés sont sensibilisés, ils restent peu impliqués en ne suivant pas forcément les recommandations. Un important travail de pédagogie reste à faire ».
Manque de conscience et connaissance biaisée
D’une manière générale, les collaborateurs d’une organisation n’ont pas toujours conscience des risques et des enjeux liés à la protection des données, notamment des données « sensibles » au sens « mention de protection » (études R&D, propositions clients, bases de données clients ou fournisseurs, etc.). Ils ne font pas, non plus, le lien entre leur propre comportement (y compris hors de l’entreprise !) et les risques qu’ils peuvent générer dans leur travail au quotidien. De plus, la mise en place d’un cadre normatif très strict (restrictif, voire punitif) au sein de certaines entités ne les incite pas à faire remonter des informations sur les failles éventuelles auprès de leur hiérarchie. Les risques inhérents au mode d’organisation peuvent ainsi être minorés, ou tout simplement ne pas être pris en compte (mise en place d’un nouveau système de gestion contraignant pour les collaborateurs, mauvaise ambiance pouvant entrainer la démotivation de certaines équipes, voire à l’extrême des actes malveillants, etc.). L’entreprise n’a donc pas connaissance des pratiques réelles de ses collaborateurs, voire pire : une connaissance biaisée.
Sensibiliser
ne suffit pas
Ces dernières années, les programmes de sensibilisation et de formation « classiques » se sont beaucoup développés, ainsi que les « serious games » notamment dans le cadre de la mise en place du RGPD. Ces formations ont bien souvent un impact faible auprès des collaborateurs et une efficacité limitée dans le temps, elles ne tiennent notamment pas compte des facteurs organisationnels propres à chaque entreprise. Quant aux « serious games » si intéressants sur le papier, ils ont deux grandes faiblesses. Par définition, les collaborateurs apportent toujours à la réponse attendue, un peu comme lors de ces fameux stages destinés à récupérer des points pour son permis de conduire…. Reste qu’il n’y a aucune véritable remontée d’informations « utiles » – bonnes ou mauvaises – auprès des responsables. Pire, un nouvel outil purement technologique est mis en place, qui va réduire encore plus les échanges entre collaborateurs en créant un nouveau « silo » virtuel…
La solution consiste donc de prendre en compte l’intégralité des comportements des collaborateurs, y compris hors de l’entreprise, mais également les modes de management et d’organisation. Cette approche globale intègre non seulement les collaborateurs ayant accès à des données, notamment « sensibles » mais également les RSSI, CISO, DSI et DPO, et, bien entendu, les autres directions concernées et la direction générale.
Un dispositif en 3 points clés
Celui-ci doit permettre aux collaborateurs de prendre conscience des enjeux et des risques liés à la protection des données, mettre à jour les comportements internes qui peuvent s’avérer à risques, mais également les bonnes pratiques et les axes d’amélioration tant au niveau organisationnel que des comportements, y compris hors de l’entreprise.
Ce dispositif doit offrir aux RSSI, CISO, DSI et DPO une vue d’ensemble de la mise en application – ou non – par les collaborateurs des différents dispositifs de sécurité/sûreté, permettre la mise à jour des pratiques à risque non détectées par les dispositifs traditionnels, et bien entendu d’aligner les comportements sur la stratégie de sécurité globale de l’organisation.
Enfin, il doit permettre aux directions concernées (direction commerciale, R&D, etc.) et à la direction générale de disposer d’un programme incluant les comportements des collaborateurs qui s’intègre dans les dispositifs existants, de réduire les risques et les coûts liés aux cyberattaques, et surtout d’avoir une vue globale et pratique des comportements qui peuvent s’avérer à risques, et bien entendu des améliorations possibles. Le tout en réduisant le coût des attaques cyber (notification des incidents, responsabilité de l’entreprise…) dans le cadre RGPD mais surtout les risques managériaux, financiers, juridiques, et en termes d’image pour l’entreprise.
L’objectif
central est de replacer les collaborateurs au cœur du sujet, de les
impliquer en qualités d’acteurs et de co-constructeurs de la
protection des données de « leur » entreprise. De les engager aux
côtés des experts que sont RSSI, DSI, DPO… dans un plan
d’amélioration continue.
Instaurer une véritable culture de protection des données n’est plus une simple option, mais bien un sujet central, voire vital. Cette approche demande une profonde remise en cause de la manière dont la cybersécurité est abordée, et l’implication de tous, à tous les niveaux. En France, aujourd’hui, 46% des professionnels interrogés pensent encore que la cybersécurité « est le problème du département informatique et non de l’entreprise dans son ensemble2…».
L’année 2020 semble avoir déjà bien des challenges à relever…
Pascaline Abdini est directrice générale de Cluster Défense Sécurité, cabinet de conseil et de formation à l’origine du programme Data Shield®, une démarche novatrice de conduite de changement pour mettre les comportements des collaborateurs au cœur de la gouvernance de la protection des données des organisations. Elle coanime également le groupe « Comportements humains et protection des données » sur LinkedIn, le plus important réseau professionnel mondial.
1Analyse de la cybersécurité des grandes entreprises françaises (sondage OpinionWay) (janvier 2019).
2Rapport NTTS Security 2019.