Data driven

Cybersécurité : agir sur le facteur humain ?

29 juin 2018

Jeudi 28 juin, Bertrand Helfre, associé Business Technology, est intervenu lors de la conférence annuelle dédiée à la cybersécurité organisée par l’Usine Digitale. Il revenait sur les points à ne pas négliger pour faire des risques cyber un sujet incontournable pour le top management.

La sécurité est souvent considérée comme une contrainte, les collaborateurs ne sentent pas toujours concernés, ce qui fait courir de vrais risques aux entreprises.

Le niveau de maturité des entreprises reste à ce jour relativement faible, même s’il existe bien sûr des exceptions. Plusieurs facteurs contribuent cet état de fait :

  • Premièrement, les menaces qui pèsent sur les organisation ont radicalement évoluées au cours des dernières années. La cybersécurité constitue désormais un axe majeur pour la survie et la compétitivité des entreprises, et c’est quelque chose de nouveaux dans beaucoup de secteurs. Pendant longtemps, seuls les établissements bancaires étaient concernés par le sujet cyber car ils étaient les plus visés. Aujourd’hui, tous les secteurs sont touchés et les entreprises n’y sont pas encore préparées.
  • Deuxièmement, les enjeux en matière de cybersécurité sont très variables d’une entreprise à l’autre. Protection de systèmes d’information industriels, disponibilité d’un service, maintien d’une ligne de production, conformité règlementaire, etc… Chaque entreprise à ses raisons de se protéger, et doit donc construire une réelle stratégie pour y parvenir. La sécurité ne doit pas être quelque chose qui vient s’ajouter aux enjeux métiers, mais quelque chose qui doit être co-construit avec les métiers, et être aligné avec la stratégie de l’entreprise. Et cela évidemment, prend du temps. La cybersécurité (et la sécurité de manière générale) garde souvent en effet cette image de contrainte. Peu d’entreprises sont capable d’identifier la véritable valeur ajoutée d’une bonne stratégie de sécurité. Cela fait donc parti de notre travail au quotidien : changer la perception qu’ont nos clients de la sécurité, et les aider à transformer ce qu’ils appellent une contrainte, en opportunité business.

La démarche de design fiction appliquée aux risques de cybersécurité

Nous avons initié cette démarche de « design fiction », dans un premier temps, afin de sensibiliser les COMEX/CODIR aux enjeux cyber. Et puisque que cette population ne peut pas, et ne doit pas être sensibilisée comme toutes les autres (en raison de sa charge de travail, de la multitude de sujets à traiter, etc…), nous avons réfléchi à une approche qui puisse conjuguer un impact fort et des résultats rapides.

L’approche « design fiction » repose sur l’immersion et sur l’effet « WAOUH ». Permettre aux dirigeants de se questionner sur leur capacité à traverser les crises, en les mettant dos au mur.

Dans un premier temps, nous co-construisons avec eux, ce que pourrait être leur monde de demain. Nous les aidons à ouvrir leur esprit afin qu’ils imaginent les grands changements qui pourront avoir un impact sur leur activité. Nouveaux risques, nouveaux enjeux, nouvel environnement, nouvelles contraintes, nouvelles population, nouvelles technologies, etc… Nous travaillons sur un ensemble de scénarios, qui, bien que fictifs, pourraient survenir dans un futur proche ou lointain.

Ensuite, à travers une simulation (pouvant aller de quelques heures, à une journée), nous mettons en œuvre ces scénarios à l’aide de différents moyens (fausses unes de journaux, acteurs, films et reportages,  faux cours de bourse, etc…). Les participants se voient projetés dans le futur et doivent agir et prendre des décisions pour faire face à des situations auxquelles ils n’avaient jamais réfléchi.

Nous avons par exemple appliqué cette méthode à un grand acteur de l’énergie.

Quelles sont les nouvelles formes de risques et les usages qui vont transformer le secteur de l’énergie dans les 15 prochaines années ? Comment vont-ils appréhender la fin des ressources pétrolières ? Comment vont-ils intégrer la protection de l’environnement au cœur de leur stratégie ? Nous avons aidé la direction à se représenter concrètement ce que pourrait être leur industrie, leur entreprise, leur équipe dans le monde de demain.

Appliqué à la cybersécurité, voici quelques exemples concrets de scénarios que nous pourrions implémenter :

  • Autoroute : Infection avec ransomware : chiffrement des données sur les chantiers d’autoroute suite à une attaque ransomware d’un groupe d’hacktiviste national
  • Aéroport : Hameçonnage (Phishing) : prise de contrôle à distance des systèmes d’aiguillage dans les tours de contrôle des aéroports suite à un email frauduleux
  • Energie : Vol de données personnelles : fuite d’informations massive de données stratégiques sur un projet d’approvisionnement en énergie électrique causée par la négligence d’un collaborateur  (perte de clé USB)
  • Construction Intrusion dans le système d’information : propagation d’un virus sur le réseau d’entreprise suite à la connexion d’un ordinateur (non à jour en matière de sécurité) d’un conducteur de travaux sur un chantier stratégique
  • Banque : Compromission de distributeurs de billets : piratage de l’ensemble des distributeurs automatiques de billets d’un réseau bancaire impliquant la prise de contrôle à distance (possibilité de retirer de l’argent)
  • Grande distribution : Interruption des chaines d’approvisionnement : déni de service sur les systèmes d’informations industriels impliquant l’arrêt total des circuits d’approvisionnements ou le détournement des destinations de livraisons des produits.
  • Hôpital : Piratage des robots et objets connectés dans le domaine médical : prise de contrôle à distance des pacemakers de patients à travers le monde par des hackers exigeant une rançon.

 

Pourquoi le top management doit-il être également impliqué   ?

La cybersécurité est devenue un élément primordial pour la survie des entreprises. Mais paradoxalement, le sujet peine à remonter au niveau des COMEX et des conseils d’administration et reste avant tout un sujet d’expert. Leur rôle est pourtant déterminant, il est donc nécessaire que le top management gagne en maturité sur le sujet.

En effet, l’implémentation de solutions techniques ne suffit plus à stopper les attaquants. Il est aujourd’hui primordial de se construire une culture autour de la cybersécurité. Les retours d’expériences que nous avons pu avoir vont tous dans le même sens. Un COMEX concerné par la cybersécurité, implique souvent une meilleur sensibilisation de l’ensemble des collaborateurs aux risques cyber.

Or, l’implication des collaborateurs est une des clés de la sécurité. En effet, il faut savoir que le facteur humain est la première source de vulnérabilité pour les organisations. Un des principaux enjeux va donc être de réussir à changer le comportement de ses collaborateurs, afin de les rendre plus responsables. Cela nécessite un travail d’éducation aux risques cyber, mais également de leur apprendre à adopter un comportement différent.

Mais pour que cette culture de la sécurité puisse s’imposer, il faut que le sujet soit poussé par le top management.

 

Quels sont les résultats ?

L’approche « Design Fiction » a marqué les esprits de ceux qui l’ont essayée. Il est possible, grâce à cette méthode, de faire passer des messages forts, et de changer l’état d’esprit. Et c’est bien l’objectif de cette démarche.

Nous avons reçu d’autres sollicitations pour implémenter cette démarche. Notamment de la part de RSSI, qui ne savent plus comment faire passer leurs messages auprès de leur direction, et qui voient en cette approche de « design fiction » un véritable levier pour porter les messages.

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités*

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé de gestion des Clients et Prospects (CRM).

Le Responsable de traitement est la société weave, 37 rue du rocher 75008 Paris RCS Paris 802 396 085.

Elles sont destinées à l’activité marketing du groupe weave ainsi quà celle de ses filiales, à l’exclusion de tout transfert hors de l’UE. Elles sont conservées pour une durée conforme aux dispositions légales (par exemple 3 ans pour les données prospects).

Ce traitement nécessite votre consentement que vous pourrez retirer à tout moment sans que cela ne remette en cause sa licéité.

Conformément à la loi « Informatique et Libertés » et au règlement européen n°2016/679, vous bénéficiez d’un droit d’accès, de rectification ou d’effacement, ainsi que d’un droit à la portabilité de vos données ou de limitation du traitement. Vous pouvez également pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données et donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).

Vous pouvez exercer vos droits en nous contactant à l’adresse contact@weave.eu.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus sur notre politique de cookies et notre charte des données personnelles