Attaques informatiques : à qui la faute ?
Alors que les entreprises sont de plus en plus à même d’être attaquées du fait de la recrudescence des formes de cyber-attaques, une étude menée par VMWare montre que la faute serait principalement tournée vers les dirigeants plutôt que vers les employés. Revenons sur les conclusions de cette étude et nuançons-les.
La sécurité informatique n’est pas une priorité
Cela peut paraître énorme de notre point de vue, mais c’est très clair : les dirigeants d’entreprises mettent la sécurité informatique en retrait par rapport à d’autres sujets. “On verra quand la menace sera là” pourraient-ils dire car, en effet, la réflexion sur le sujet demande du temps et du budget. C’est pourquoi près de 90% avouent ne pas accorder l’importance qui doit y être accordé et préfère déléguer cette réflexion. Un dirigeant sur trois confesse même ne pas participer à la politique de confidentialité des données de leur entreprise. Pourtant, c’est bien ce sur quoi ils doivent travailler car un tiers des entreprises françaises sont susceptibles de subir une attaque dans les trois prochains mois, et sachant que les menaces progressent nettement plus vite que les systèmes informatiques en place évoluent, le sujet de la sécurité informatique en entreprise doit être un des piliers de la stratégie d’une entreprise. Rappelons qu’une attaque informatique provoquant une fuite de données met en péril la propriété intellectuelle, le positionnement concurrentiel et l’intégrité des données, et a amputé le budget des entreprises mondiales de 450 millards de dollars.
Le dirigeant, unique responsable ?
Le dirigeant travaillant sur tous les plans, il ne suit pas forcément l’émergence des menaces, et à vrai dire, ce n’est pas vraiment à lui de le faire. C’est là que le responsable informatique intervient et qui lui est au courant de l’actualité de son secteur. Il s’avère néanmoins que, devant la justesse de la veille et de la prévention du RSI face à l’inaccessibilité des dirigeants sur le sujet, il est obligé d’agir sans forcément tenir au courant son supérieur et de prévenir uniquement lorsqu’une attaque est subie. Et c’est là que le bât blesse : le fossé entre le responsable informatique et le dirigeant ne doit pas exister si une politique de sécurité veut être menée. Par conséquent et au cumulé, environ 25% des responsables informatiques et des employés tiennent pour responsable leur dirigeant lors d’une attaque informatique.
La solution : sensibiliser les employés
Si le responsable informatique et les dirigeants n’arrivent pas à se mettre d’accord, pourquoi ne pas axer les efforts sur la manière dont les employés utilisent les outils informatiques ? En effet, s’ils sont sensibilisés et formés aux potentielles menaces, alors une vanne d’entrée se fermera progressivement aux menaces. Cela passe par la communication des comportements à risques ainsi que par les encouragements à mettre en oeuvre les bonnes pratiques et à les transmettre. Les axes d’action sont par exemple la politique de gestion des mails, pour éviter au maximum l’ouverture de mails frauduleux, ou la limitation de l’utilisation des outils personnels pour traiter des données professionnelles pour limiter au maximum les écarts sur la politique de sécurité et sur la charte informatique en vigueur.