cybersécurité
Business

Un employé inepte est une plus grande menace qu’un bon pirate informatique

28.09.2023
par Fokus Online

Bien sûr, les mesures techniques telles que les pare-feu ou les logiciels anti-malware sont indispensables pour se protéger des cybercriminels. Mais la formation et la sensibilisation de votre personnel sont au moins aussi importantes. De nombreuses entreprises accordent encore trop peu d’attention au « facteur humain ». 

Une approche efficace de la cybersécurité consiste à faire les bons compromis. La gestion des risques y contribue, car elle permet d’avoir une vue d’ensemble des menaces et de la manière d’y faire face, explique Gregory Vandervelden, expert en cybersécurité chez ngage consulting. « La gestion des risques en matière de cybersécurité consiste à répondre à trois questions : quels actifs protéger ? De quelles menaces les protéger ? Avec quelles mesures les protéger ? » La réponse à ces questions varie d’une entreprise à l’autre, d’où un certain travail sur mesure. 

La façon dont les gens interagissent avec la technologie est également importante. « Un employé inepte est pour la plupart des entreprises une plus grande menace qu’un bon pirate informatique. Alors que la protection technique s’est améliorée, les cybercriminels préfèrent s’introduire dans votre réseau par l’intermédiaire de votre personnel. Dans ce que l’on appelle l’ingénierie sociale, par exemple, un criminel se fera passer pour un employé du service desk et essaiera d’obtenir un mot de passe par téléphone ou d’installer un logiciel malveillant. »

L'intelligence artificielle, par exemple, jouera un rôle important tant dans l'attaque que dans la défense.

Grâce à la sensibilisation, vous vous assurez que les employés comprennent bien le rôle qu’ils jouent dans la protection de l’entreprise. « Par exemple, invitez un hacker éthique à venir parler dans votre entreprise. Vous pouvez organiser un jeu de rôle dans lequel les membres du personnel se mettent dans la peau d’un attaquant. Vous pouvez également nommer plusieurs cyberambassadeurs dans vos équipes. Inspirez-les en participant à des conférences cybersécurité ou à des cyber escape rooms. » 

Dans toute cette histoire, le service informatique a une grande responsabilité, souligne Gregory. Il doit rendre les mesures de sécurité aussi simples que possible. « La sécurité devrait en fait être soit invisible, soit très simple pour l’utilisateur final. Pensez par exemple à l’authentification biométrique, au « Single Sign On » ou à la gestion des mots de passe. »

Un certain nombre de sujets gagneront en importance à l’avenir : « L’intelligence artificielle, par exemple, jouera un rôle important tant dans l’attaque que dans la défense. Ou encore le modèle « Zero Trust« , qui augmentera les exigences d’authentication de chaque appareil et chaque utilisateur. Les cyber-responsabilités au sein de la chaîne d’approvisionnement feront également l’objet d’une plus grande attention, tout comme, bien sûr, les réglementations européennes en matière de cybersécurité telles que NIS2 et CRA. »

Une chose est sûre : On ne risque pas de s’ennuyer dans ce domaine.

Article précédent
Article suivant