Nous sommes tous conscients de l’importance croissante de la cybersécurité, les attaques informatiques ayant eu un impact médiatique de plus en plus important ces derniers temps. Pour Mafalda Garcês, Country Leader & People Director chez Dashlane, il est urgent que cette prise de conscience prenne toute son ampleur parmi les responsables comme les employés, sinon les entreprises risquent d’être exposées à des conséquences croissantes.
Faire appel à des chercheurs en sécurité “White Hat” est une des clés pour les entreprises : c’est une des tendances fortes que j’observe sur le marché. Ces white hats, ou hackers éthiques, sont des spécialistes de la découverte des vulnérabilités et peuvent donc jouer un rôle crucial dans l’identification des faiblesses des entreprises, en soutenant leur stratégie de sécurité.
L’objectif principal d’un white hat, ou hacker éthique, est de découvrir des failles dans les systèmes d’information d’une entreprise, et de les informer afin qu’elles puissent les corriger et réduire leur risque d’attaque. Les white hats jouent donc un rôle important dans le niveau de sécurité de l’entreprise. Plus les organisations vont en prendre conscience, mieux elles se prépareront à d’éventuels cyberattaques.
A lire aussi : Cybersécurité : les entreprises françaises réinventent leurs modes de recrutement
Signe de cette prise de conscience, je pense qu’un nombre croissant d’entreprises ne veulent plus prendre le risque d’attendre une véritable attaque afin d’avoir un état des lieux de leurs lignes de défense. Le seul point faible de cette méthode d’investigation par anticipation est que les hackers éthiques n’ont généralement pas de formation certifiée et ne s’appuient pas forcément sur des modèles officiels, ce qui peut susciter la méfiance des entreprises.
En ce sens, il est donc probable que nous assisterons bientôt à une normalisation et réglementation des connaissances, des compétences et de l’expérience liés à cette activité de hackers éthiques, et même peut être jusqu’à une certification officielle.
Une autre tendance, peut-être plus controversée, que nous pourrions voir s’exprimer davantage au sein des entreprises dans un avenir proche est la responsabilisation des employés eux-mêmes dans les questions de cybersécurité.
Les organisations montrent différents niveaux de maturité en la matière, et cela se traduit par une différence d’investissements en sensibilisation et en formation du personnel aux bonnes pratiques. Cela a une importance toute particulière en matière de sécurité. Par exemple, si une entreprise met en place un système de gestion des mots de passe, les employés comprendront dès le départ qu’il y a un investissement dans ce domaine et qu’ils jouent un rôle important dans la sécurité de l’entreprise. D’un autre côté, s’il n’y a pas de lignes directrices ou d’investissements évidents, la façon de traiter ces questions est alors laissée à la discrétion de chacun, et il y a de fort risques que, par ignorance – ou par négligence – les employés ne prennent pas les mesures de sécurité de base, mettant ainsi tout le système en danger.
C’est pourquoi il est important de commencer par des actions préventives. Pour ce faire, les entreprises doivent impérativement évaluer leur niveau de sécurité actuel et promouvoir des ateliers ou sessions de formation pour transmettre à leurs employés des connaissances sur ce qui est fait, le rôle de chacun, les risques, les impacts potentiels, etc. Éduquer les employés sur les bonnes habitudes à avoir en matière de cybersécurité est essentiel. La prise de conscience du rôle clé que chaque employé joue pour assurer la sécurité de l’entreprise est plus efficace que des actions punitives.
Étant donné qu’il n’existe pas de cadre juridique spécifique, la responsabilité ne peut être engagée que lorsque des instructions précises ont été données en matière de sécurité et qu’il peut être prouvé que l’employé a ignoré ces instructions – que ce soit avec ou sans intention de causer des dommages. Il est donc fondamental que la sécurité numérique fasse partie des manuels, codes de conduite et autres documents qui régissent la relation entre l’employeur et l’employé, afin que les attentes soient claires pour tout le monde.
Au fur et à mesure que les rôles de chacun deviennent plus clairs, et à condition qu’une formation adéquate soit dispensée, nous pourrions alors assister à une plus grande responsabilisation individuelle des employés en ce qui concerne la sécurité informatique d’une entreprise.