Cybersécurité : entre prise de conscience et véritable volonté de former
Confinements successifs, démocratisation du télétravail en passant par l’utilisation massive des outils digitaux et numériques mettent à mal la protection des données de l’entreprise. Si la prise de conscience du cyberrisque est bien présente, le passage à l’acte pour former en interne apparaît loin être de mise.
Neuf employés sur dix dénoncent un manque de formation en matière de cybersécurité ! Ce constat établi par iStorage (entreprise spécialisée dans la conception des dispositifs de stockage ultrasécurisé) dans une enquête menée à la fin du mois dernier auprès de six cents personnes (commerciaux, travailleurs à distance ou encore experts en informatique) pointe du doigt le manque cruel en matière de formation dans ce domaine. Reste qu’aujourd’hui avec une augmentation exponentielle du cyberrisque depuis le début de la crise sanitaire, renforcé par la démocratisation du télétravail et d’un nomadisme de plus en plus important des collaborateurs, l’absence non pas de simple sensibilisation mais de réelle formation (même basique) en la matière peut entraîner des conséquences plus que dommageables pour l’entreprise. À l’époque du premier confinement l’an passé, le site gouvernemental : cybermalveillance.gouv avait constaté une augmentation de 400 % du phishing sur le web (technique d’hameçonnage utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité), en l’espace de seulement un mois (en avril 2020), Google avait remonté plus de 18 millions d’attaques de logiciels malveillants à travers le monde.
Les TPE et PME en première ligne
«L’absence ou le manque de formation et donc de connaissances des employés en matière de cybersécurité peut avoir des impacts importants», assure un professionnel de la formation dans le domaine. «En matière de cybersécurité, les entreprises ont déjà énormément investi pour garantir notamment la conformité au RGPD (Règlement général sur la protection des données) mais aujourd’hui, il est fort de constater que la formation continue des collaborateurs fait cruellement défaut.» L’offre est pourtant importante et la quasi-totalité des organismes de formation proposent aujourd’hui tout un panel de formations ciblées et adaptées, notamment, pour les TPE et PME. «Ce sont elles qui sont particulièrement vulnérables en matière de cybersécurité, beaucoup plus que les grandes entreprises qui ont souvent un budget dédié à leur sécurité informatique. Les pirates préfèrent prendre dix fois 10 000 euros à des petites structures que de s’attaquer à des grands groupes», assure un spécialiste de la cybersécurité. 77 % des cyberattaques en France concernent cette typologie d’entreprise (source : Syntec). Le ciblage en matière de formation est le même. Depuis le premier confinement de l’an passé, les offres en matière de formation à la cybersécurité n’ont eu de cesse de se renforcer de la part des différents organismes de formation et formateurs indépendants en la matière. Objectif affiché : tenter d’apporter rapidement les connaissances nécessaires et répondre de façon pragmatique aux multiples problèmes de cybersécurité. «Le problème, ce n’est pas l’offre de formation présente mais c’est la réelle volonté de l’entreprise à former ses collaborateurs en la matière. La formation est un investissement immatériel pour les entreprises et investir pour elles est de plus en plus délicat car le manque de visibilité est toujours présent», assure le directeur d’un centre de formation de la région Grand Est. Visibilité ou non, le cyberrisque lui ne s’arrête pas, il s’accroît, s’y former pour tenter de le contrer s’avère tout simplement indispensable.
Un guide et huit bons gestes
Définir un mot de passe distinct pour chaque compte. Sauvegarder régulièrement. Effectuer les mises à jour des logiciels. Ne pas se connecter au wifi public. Ne pas transférer des données professionnelles sur un compte personnel. Ne pas cliquer sur des pièces jointes, liens, messages venant d’émetteurs inconnus ou non attendus. Éteindre ses équipements le soir. En cas de suspicion d’attaque, se déconnecter du réseau. Ce sont les huit bon gestes mis en avant dans la deuxième édition du guide consacré à la sécurité numérique des entreprises réalisé par le Conseil de l’Économie et de l’Information du Digital (le guide est consultable sur le site : https://ceidig.fr). Ce vade-mecum à destination des chefs d’entreprise pose trois questions simples : Mon entreprise est-elle une cible ? Quels sont les grands types de menace ? Comment se protéger ? À cette dernière question, la formation s’affiche comme une des réponses.