De nos jours, une entreprise évolue dans un environnement instable. Elle est la cible de prédateurs en tous genres mais est également, du fait de sa structure organisationnelle, fortement vulnérabilisée. Pour éviter de perdre le contrôle de l’entreprise, plusieurs moyens s’imposent …
Solidification des bases
Tout d’abord, la mise en œuvre des TIC (Technologie de l’Information et de la Communication) doit prendre en compte les risques induits par l’usage du numérique.
Par ailleurs, l’entreprise doit construire une véritable stratégie de sécurité de son système d’information non seulement sur le plan technique, mais également sur le plan humain.
Elle doit par la suite, adopter une stratégie d’intelligence économique qui permettra de rendre le système d’information de l’entreprise plus défensif quant à la protection de son patrimoine informationnel.
En d’autre terme, pour faire face aux différentes menaces, aujourd’hui effectuées par le biais d’Internet, les entreprises doivent assurer une protection nécessaire et encadrée de son système d’information.
L’homme : au cœur du système
Concernant les salariés, 36% déclarent que leur entreprise a déjà fait l’objet d’une cyber-attaque. Les virus informatique (48%), le vol des données (38%) et la perte de données suite à une erreur humaine (38%), sont les trois grandes craintes quant à la cybersécurité de leur entreprise.
Par conséquent, la sécurité des systèmes d’information n’est pas qu’une affaire de technologies et d’outils, la formation et l’éducation du personnel sont essentielles à un système de cybersécurité solide.
Il ne faut pas que se baser sur la technologie : l’homme contrôle la technologie, mais doit aussi s’adapter à l’évolution de celle-ci.
Les salariés doivent comprendre pourquoi la cybersécurité est importante pour eux et pour l’entreprise. Si les salariés comprenaient que la sécurité de leur emploi est menacée parce que leur entreprise l’est, ils changeraient de comportement et seraient davantage attachés à leur entreprise pour maintenir leur emploi.
Par ailleurs, une formation de base doit être donnée au personnel. Celle-ci doit être complétée régulièrement pour inclure des mises à jour et des rappels sur les politiques, ainsi que les normes et les pratiques exemplaires.
La mise en place de politiques rigoureuses et de normes en matière de cybersécurité, permettra aux employés de savoir comment se conduire. Par exemple, leur formalisation pourra se faire par le biais d’insertion de clauses spécifiques dans les contrats de travail (clause de propriété intellectuelle, clause de non-concurrence), par la rédaction et l’adoption d’une charte informatique adaptée aux technologies, pratiques et risques de l’entreprise.
Mais, il ne faut pas négliger la mise en place d’une politique de sécurité avec notamment la sensibilisation aux principaux textes de loi (exemple : données personnelles, contrefaçon) ainsi que des règles générales d’utilisation du système d’information notamment avec la définition des règles d’utilisation à titre personnel des ressources informatiques de l’entreprise et bien sûr, la liste des moyens de contrôles mis en œuvre et ainsi que les sanctions encourues et portées évidemment à la connaissance des salariés.
Quels sont les moyens de contrôles ? Les bonnes pratiques selon la CNIL (2015)
Attention, les outils personnels ne peuvent être utilisés qu’à titre subsidiaire dans un cadre professionnel. Dès lors que l’employeur a donné son accord pour accéder aux ressources informatiques de l’entreprise, la sécurité des données de l’entreprise sera alors assurée.
Avant de formaliser une politique de sécurité, il convient d’identifier les risques, de déterminer les mesures à mettre en œuvre et ainsi de les formaliser avec notamment la création d’une bulle de sécurité pour les outils personnels, de prévoir une procédure en cas de panne et notamment le verrouillage du terminal avec un mot de passe de plusieurs caractères distincts.
Toute cette politique a pour but de sensibiliser les utilisateurs aux risques, mais aussi de formaliser la responsabilité de chacun.
Les conséquences des attaques pour l’entreprise
Les conséquences sont souvent considérables lorsqu’une entreprise vient de subir une cyber-attaque et qu’elle n’a pas pu s’en défendre. Quelques exemples permettront d’illustrer les propos :
- des préjudices financiers parfois extrêmement importants
- une limitation des fonctionnalités si des systèmes ont été bloqués engendrant une perturbation de l’activité de l’entreprise
- création d’une situation de crise entrainant une forte mobilisation de ressources humaines et une perte de temps
- risques économiques et financiers (exemple : faux ordre de virement, rançon en contrepartie de non diffusion d’informations)
- atteinte à l’image et à la e-réputation lorsque des informations sensibles sont piratées
Toutes les entreprises que cela soit des grands groupes industriels, des PME, des TPE sont vulnérables et par conséquent, personne n’est à l’abri d’une cyber-attaque.
Étudiant en Master 2 Droit de l’Économie Numérique à l’Université de Strasbourg. Je m’intéresse fortement aux Nouvelles Technologies ainsi qu’au système juridique qui l’encadre notamment dans le domaine des cybermenaces. Par ailleurs, disposant d’un atout multiculturel, j’aimerai me consacrer au cours de ma vie professionnelle, aux relations que pourraient entreprendre l’Union Européenne et la Turquie dans le domaine juridique et technique des NTIC.
Excellent votre article. C’est vrai que plus on avance et plus on a peur de ce qui peut arriver… En tant que E-commerçant, j’attache beaucoup d’importance à la sécurité de mon site, mais malheureusement si attaque il doit y avoir, nous devrons faire le dos rond et attendre. Heureusement les sauvegardes sont là !