Cybersécurité : agir sur le facteur humain

La sécurité est souvent considérée comme une contrainte, les collaborateurs ne sentent pas toujours concernés, ce qui fait courir de vrais risques aux entreprises.

Le niveau de maturité des entreprises reste à ce jour relativement faible, même s’il existe bien sûr des exceptions. Plusieurs facteurs contribuent cet état de fait :

  • Premièrement, les menaces qui pèsent sur les organisations ont radicalement évoluées au cours des dernières années. La cybersécurité constitue désormais un axe majeur pour la survie et la compétitivité des entreprises, et c’est quelque chose de nouveaux dans beaucoup de secteurs. Pendant longtemps, seuls les établissements bancaires étaient concernés par le sujet cyber car ils étaient les plus visés. Aujourd’hui, tous les secteurs sont touchés et les entreprises n’y sont pas encore préparées.
  • Deuxièmement, les enjeux en matière de cybersécurité sont très variables d’une entreprise à l’autre. Protection de systèmes d’information industriels, disponibilité d’un service, maintien d’une ligne de production, conformité règlementaire, etc… Chaque entreprise à ses raisons de se protéger, et doit donc construire une réelle stratégie pour y parvenir. La sécurité ne doit pas être quelque chose qui vient s’ajouter aux enjeux métiers, mais quelque chose qui doit être co-construit avec les métiers, et être aligné avec la stratégie de l’entreprise. Et cela, évidemment, prend du temps. La cybersécurité (et la sécurité de manière générale) garde souvent en effet cette image de contrainte. Peu d’entreprises sont capables d’identifier la véritable valeur ajoutée d’une bonne stratégie de sécurité. Cela fait donc parti de notre travail au quotidien : changer la perception qu’ont nos clients de la sécurité, et les aider à transformer ce qu’ils appellent une contrainte, en opportunité business.

La démarche de design fiction appliquée aux risques de cybersécurité

Nous avons initié cette démarche de design fiction, dans un premier temps, afin de sensibiliser les COMEX/CODIR aux enjeux majeurs de la cybersécurité. Et puisque que cette population ne peut et ne doit pas être sensibilisée comme toutes les autres (par manque de temps notamment…), nous avons réfléchi à une approche qui puisse conjuguer fort impact et résultats rapides.

En effet, le design fiction est une expérience qui repose sur l’immersion et qui suscite surprise et stupéfaction chez les participants. Cette approche permet aux dirigeants de se questionner sur leur capacité à traverser les crises, en les mettant dos au mur.

Dans un premier temps, nous co-construisons avec eux, ce que pourrait être leur monde de demain. Nous les aidons à ouvrir leur esprit afin qu’ils imaginent les grands changements qui pourront avoir un impact sur leur activité. Nouveaux risques, nouveaux enjeux, nouvel environnement, nouvelles contraintes, nouvelles populations, nouvelles technologies, etc. Nous travaillons sur un ensemble de scénarios, qui, bien que fictifs, pourraient survenir dans un futur proche ou lointain.

Ensuite, à travers une simulation, nous mettons en œuvre ces scénarios à l’aide de différents moyens. Les participants se voient projetés dans le futur et doivent agir et prendre des décisions pour faire face à des situations qu’ils n’avaient jamais osé imaginer.

Nous avons notamment appliqué cette méthode à un grand acteur de l’énergie. Qui a été récompensé lors d’une édition des Trophées de la maîtrise des risques, par le Trophée de la meilleure démarche de contrôle interne.

Quelles sont les nouvelles formes de risques et les usages qui vont transformer le secteur de l’énergie dans les 15 prochaines années ? Comment vont-ils appréhender la fin des ressources pétrolières ? Comment vont-ils intégrer la protection de l’environnement au cœur de leur stratégie ? Nous avons aidé la direction à se représenter concrètement ce que pourrait être leur industrie, leur entreprise, leur équipe dans le monde de demain.

Appliqué à la cybersécurité, voici quelques exemples concrets de scénarios que nous pourrions implémenter :

  • Autoroute : infection avec ransomware : chiffrement des données sur les chantiers d’autoroute suite à une attaque ransomware d’un groupe d’hacktiviste national
  • Aéroport : hameçonnage (Phishing) : prise de contrôle à distance des systèmes d’aiguillage dans les tours de contrôle des aéroports suite à un email frauduleux
  • Energie : vol de données personnelles : fuite massive d’informations stratégiques sur un projet d’approvisionnement en énergie électrique causée par une négligence d’un collaborateur (perte d’une clé USB)
  • Construction : intrusion dans le système d’information : propagation d’un virus sur le réseau d’entreprise suite à la connexion d’un ordinateur (non à jour en matière de sécurité) d’un conducteur de travaux sur un chantier stratégique
  • Banque : compromission de distributeurs de billets : piratage de l’ensemble des distributeurs automatiques de billets d’un réseau bancaire impliquant la prise de contrôle à distance (possibilité de retirer de l’argent)
  • Grande distribution : interruption des chaines d’approvisionnement : déni de service sur les systèmes d’informations industriels impliquant l’arrêt total des circuits d’approvisionnements ou le détournement des destinations de livraisons des produits.
  • Hôpital : piratage des robots et objets connectés dans le domaine médical : prise de contrôle à distance des pacemakers de patients à travers le monde par des hackers exigeant une rançon.

Pourquoi le top management doit-il également être impliqué ?

La cybersécurité est devenue un élément primordial pour la survie des entreprises. Mais paradoxalement, le sujet peine à remonter au niveau des COMEX et des conseils d’administration et reste avant tout un sujet d’expert. Leur rôle est pourtant déterminant, il est donc nécessaire que le top management gagne en maturité sur le sujet.

En effet, l’implémentation de solutions techniques ne suffit plus à stopper les attaquants. Il est aujourd’hui primordial de se construire une culture autour de la cybersécurité. Les retours d’expériences que nous avons vont tous dans le même sens : un COMEX concerné par la cybersécurité, implique une meilleure sensibilisation de l’ensemble des collaborateurs aux risques cyber.

Or, l’implication des collaborateurs est une des clés de la sécurité. En effet, il faut savoir que le facteur humain est la première source de vulnérabilité pour les organisations. Un des principaux enjeux est donc de réussir à changer le comportement de ses collaborateurs, afin de les rendre plus responsables, concernés et conscients. Cela nécessite un travail d’éducation aux risques cyber, mais également de leur apprendre à adopter un comportement différent.

Mais pour que cette culture de la sécurité puisse s’imposer, il faut que le sujet soit porté par le top management.