La cybersécurité : du côté des entreprises
Published on
Quel employé n’a pas déjà téléchargé un document personnel sur son ordinateur professionnel ? Quelle entreprise n’utilise pas le cloud ? Quel directeur n’a pas déjà hésité à investir dans la protection des données de l’entreprise à cause des surcoûts qu’elle entraîne ? Les entreprises sont au cœur des débats sur la cybersécurité.
Au printemps 2014, le Belgian Cybercrime Centre of Excellence for Training, Research & Education (B-CCENTRE) a publié un guide belge de la cybersécurité pour aider les entreprises à comprendre comment gérer les risques de cyberattaques. Si elles prennent de plus en plus conscience du fait que le coût d’une attaque est supérieur à celui de la protection préventive, elles éprouvent encore des difficultés à identifier les bonnes actions et à intégrer ce risque dans leur plan de business.
L’hésitation des entreprises
Les investissements des entreprises dans la protection de leurs biens matériels (ordinateurs, bureaux…) sont disproportionnés comparé à ceux dans la sécurité des informations numériques. Pourtant, ce sont bien elles qui sont les plus menacées. Le mois dernier, le Ponemon Institute a publié une étude pour HP Enterprise Security montrant que le coût annuel moyen des cyberattaques est de 4,8 millions d’euros par entreprise : un coût bien supérieur à celui de la protection.
Le coût de la cybersécurité constitue tout de même un certain budget, et pas seulement en termes d'achat de solutions. Les chefs d’entreprises ne sont pas nécessairement formés sur les questions informatiques. Le choix de la cybersécurité nécessite souvent de mettre en place une équipe spécialisée ou de faire appel à un expert externe. Ce n’est alors plus seulement le coût du matériel et des logiciels qui rentre en ligne de compte, mais bien celui de la main-d’œuvre.
Une équipe spécialisée ou une formation pour tout le monde ?
Plus encore, il semble que l’existence seule d’un département informatique ne résolve pas la question de la cybersécurité. C’est bien dans les emails ou encore sur les sites les plus consultés que se situent entre autres les virus. Un spécialiste pourra résoudre une situation de crise mais ne peut pas anticiper l’erreur humaine d’un employé qui, par erreur, téléchargera un cheval de troie ou qui protégera son compte personnel avec un mot de passe faible. Le Global Information Security Survey de 2012 montrait que 35% des incidents venaient d’une erreur humaine.
La protection des données virtuelles devrait donc être complétée par la sensibilisation des employés. C’est pour cette raison que l’Union européenne a proposé un mois de sensibilisation sur les questions de cybersécurité, chaque année, et dans tous les Etats membres. Les entreprises sont encouragées à prendre conscience des risques et à diffuser l’information parmi les membres de leur équipe. L’idée est d’encourager les directions à sensibiliser leurs employés en leur communiquant les quelques règles de bon usage du cyberespace, notamment en ce qui concerne l’utilisation du cloud et des appareils mobiles. Car si l’employé ne télécharge pas de film sur son ordinateur professionnel par exemple, il aura sûrement une utilisation personnelle de son téléphone cellulaire professionnel, un outil encore très peu protégé bien qu'il contienne des données d’entreprise.
Si la cybersécurité est un enjeu présent dans quasiment tous les domaines de recherche du programme Horizon 2020 de l’Union européenne, c’est parce qu’elle n’est plus une question isolée mais bien un défi multisectoriel. La cybersécurité n’est donc plus seulement du ressort d’un département informatique mais bien de toute la hiérarchie de l’entreprise, et de toutes les entreprises, quelque soit leur secteur d'activité.
Cet article est le cinquième d'une série consacrée à la cybersécurité :
1. Cybersécurité : informatique ou politique ?
2. Cybersécurité : du côté des gouvernements
3. Cybersécurité : du côté des criminels
4. Cybersécurité : du côté des individus