L'importance du facteur humain pour améliorer la défense d'une organisation

À la suite de notre Mag IT inédit édité pour les participants de nos 2 journées IT & Cybersécurité de novembre dernier, Aurélie Michaud, Head of CISO Office chez Euroclear et invitée d'honneur à notre événement, revient sur l’évolution du secteur de la cybersécurité. Dans son interview, elle manifeste notamment de l’importance du facteur humain pour améliorer la défense d’une organisation. 

“Le facteur humain est primordial. Une organisation qui sait se défendre est une organisation qui a su miser sur les bonnes personnes.”

Les femmes aux postes de DSI & CISO

Ce n'est un secret pour personne : il est souvent rare de voir des femmes dans le secteur de l'IT et de la Cybersécurité. Pour Aurélie Michaud, les femmes commencent doucement à affluer et pas uniquement chez les DSI et les CISO.

"Les valeurs ont changé : tout le monde sait désormais que l’on n’obtient pas de résultats durables en montrant les muscles mais plutôt en privilégiant les soft skills ! Par ailleurs, il est désormais prouvé que la diversité produit plus de valeurs. Puis, il ne faut pas oublier que l’IT est un marché porteur et que les budgets des entreprises en la matière augmentent du simple fait de l’incontournable numérisation de l’ensemble des secteurs et que les risques IT (dont cyber) augmentent eux aussi."

Cyberattaques : multipliées par 4 en 2020 et par 8 en 2021

Depuis quelques années maintenant, chaque entreprise doit faire de plus en plus face aux cyberattaques. Une des premières raisons de cette augmentation impressionnante : la transformation digitale. Automobile, alimentaire, banque, GMS, santé, hospitalier... personne n'est épargné par cette digitalisation, d'autant plus depuis la crise sanitaire qui a accéléré cette transition, comme par exemple avec le télétravail.

Mais malgré cette évolution récente et les nouveaux dangers, le risque de cyberattaques semble être compris par les entreprises : "Des termes comme ransomwares ou encore phishing sont entrés dans le langage commun. Il n’y a qu’à voir l’importance que les sujets de cyberattaques prennent dans les médias. Souvenez-vous par exemple de l’importante couverture médiatique suite à la cyberattaque contre l’hôpital de Corbeil-Essonnes, il y a quelques semaines ; et nous avons eu un cas similaire en Belgique. Voir ce que certains ont pu subir permet à d’autres organisations d’être sensibilisées et d’adapter leur défense. Toutefois, suit forcément la question du budget alloué pour se prémunir des risques cyber. Et de ce point de vue, toutes les organisations ne peuvent pas suivre cette évolution."

Ainsi, pour faire face à ces cybermenaces, le facteur humain s'affirme comme étant une des première arme. C'est pour cela que les entreprises doivent tout miser sur le recrutement, mais également sur la formation des collaborateurs afin que ces derniers anticipent l'évolution permanente du secteur.

“Il ne s’agit plus de rechercher des profils d’experts en sécurité issus de certaines formations ou de certaines écoles, une pratique d’ailleurs très courante en France. Il est préférable d’aller chercher des profils avec des backgrounds différents, autrement dit ouvrir la valve de recherche de profils..”

Les stratégies de défense des entreprises

"Avant, nous rangions tous nos biens dans notre château fort qu’était notre système d’informations. Aujourd’hui, nous pouvons parler de « sécurité embarquée » avec le cloud, les datas centers… la donnée est partout et de plus en plus sensible. Et outre la mise en place d’une sécurité au plus près de la donnée, il faut aussi sensibiliser le personnel de l’entreprise aux cybermenaces. Chez Euroclear, nous avons 4 000 collaborateurs, dont 2 000 évoluent dans l’IT et dont environ 20% d’entre eux plus particulièrement dans la cybersécurité. Donc si la moitié de notre effectif est confrontée aux problématiques liées à la cybersécurité, ce n’est pas forcément le cas pour l’autre partie."

La sensibilisation chez Euroclear

Formations, cas pratiques, conférences... L'entreprise met en place régulièrement pour ses collaborateurs des actions pour les sensibiliser aux cybermenanes. Mais Euroclear va au-delà de la simple formation et passe à l'action en mettant ses salariés en face de cas concrets, par exemple à travers des fausses campagnes de phishing :

"Nous envoyons des faux mails et nous observons en conséquence les réactions des collaborateurs. Et ceux qui ont mordu à l’hameçon doivent suivre des formations spécifiques. Autrement dit, en fonction du niveau de risque, nous adaptons nos réponses et nos programmes pour chacun des comportements. Si l’on s’emploie à multiplier et cibler nos campagnes de phishing par exemple, c’est parce que l’erreur humaine est fréquente et implique un nombre important d’attaques… Surtout que les attaques de phishing ne coûtent rien, elles sont accessibles au plus grand nombre !"