« L'humain d'abord » : Recadrons les risques liés à la cyber-sécurité

Ces derniers temps, les risques de cyber-sécurité liés au télétravail ont fait couler beaucoup d'encre : surfaces d'attaque accrues, environnements plus informels et recrudescence des menaces sont autant de facteurs qui y ont contribué. Si certains estiment que notre cadre de travail actuel est plus vulnérable, d'autres font remarquer que les entreprises s'améliorent en matière de prévention des attaques. La vérité se situe sans doute quelque part entre ces deux affirmations, mais personne ne peut nier que le cyber-risque inhérent a augmenté.

Dans le cadre de recherches menées en 2020, Interpol alertait : « une nouvelle hausse de la cyber-criminalité est très probable dans un avenir proche ». L'influente organisation de police soupçonnait également que les vulnérabilités liées au travail à distance seraient exploitées par les cyber-criminels. Les entreprises se montrent très réactives face à cette menace. Selon une enquête récente de Robert Half, 35 % des responsables de la technologie considèrent « le maintien de la sécurité informatique » et « la protection des informations de l'entreprise » comme une priorité pour leur entreprise au premier semestre 2021.

Mais cette situation, qui évolue rapidement, présente des défis pour tous. D'une part, les responsables de la sécurité informatique parviennent à gérer ces problèmes grâce à une liste croissante de nouvelles technologies à leur disposition. D'autre part, les menaces auxquelles ils sont confrontés ne cessent de muter. Il leur est donc de plus en plus difficile de déterminer dans quelle mesure leur entreprise est protégée.

Combler les lacunes une par une et éteindre les incendies ne les mènera pas bien loin.

Vulgariser la notion de cyber-sécurité

Le meilleur moyen de progresser dans ce contexte consiste à traduire ces défis dans un langage accessible. Pas seulement pour les professionnels de la technologie, mais aussi pour les chefs d'entreprise. Le secteur aime parler de la cyber-sécurité en termes de produits et de solution. Pourtant, évaluer les risques à travers les yeux des gens, ou plus exactement des « personas des acteurs menaçants » permettrait de mieux comprendre les risques grâce à une approche centrée sur l'humain.

En interne, les utilisateurs bien intentionnés contournent régulièrement les dispositifs de contrôle pour pouvoir faire leur travail. Par exemple : si un employé doit envoyer un fichier volumineux à un client, il trouvera probablement un service de partage de fichiers pour arriver à ses fins, sans que ce dernier soit forcément sécurisé. Mentionnons encore les opportunistes , qui compromettent parfois allègrement la sécurité sans pour autant oser contourner les dispositifs de contrôle établis. Si toutefois ces contrôles font défaut, ils n'hésiteront pas. Un employé opportuniste ne volera pas 10 € dans un portefeuille, mais il gardera probablement le billet s'il le trouve sur un trottoir.

Les acteurs menaçants externes peuvent être sophistiqués, comme les réseaux de crime organisé, ou relativement simples et utiliser des méthodes bien connues mais facilement détectables. La plupart des responsables s'attendent à des attaquants sophistiqués, parce qu'ils sont fortement coordonnés et plus difficiles à éviter. Mais les escroqueries par hameçonnage et les URL malveillantes, bien que simplistes, peuvent causer d'importants dégâts si l'entreprise ne réagit pas rapidement.

Notre expérience montre que les entrepreneurs, les véritables propriétaires du risque, gèrent bien mieux ces situations que les cadres techniques établis, comme la « chaîne de frappe ». Mieux comprendre ces acteurs permet de définir des scénarios de risque, et d'agir en conséquence.

De la compréhension à l'action

À ce stade, l'évaluation des risques d'une entreprise devient un cadre qui l'aide à avancer. Pour concevoir et appliquer les bonnes solutions, il faut découvrir et identifier les problèmes. Il peut s'agir d'une nouvelle technologie permettant d'éliminer les menaces externes. Ou encore de nouveaux dispositifs de contrôle qui contribuent à modifier le comportement des employés au sein de l'entreprise.

Lorsqu'un chef d'entreprise comprend comment les acteurs de la menace opèrent et influent sur des aspects concrets comme la confidentialité, l'intégrité, la disponibilité et le respect de la vie privée, il peut alors envisager la sécurité sous un nouvel angle. En explorant ces défis avec les différentes équipes, il crée une approche stimulante et productive pour tous. Par ailleurs, il favorise le changement en tenant compte de l'ensemble de l'entreprise.

À l'heure où les organisations sont confrontées au contexte changeant de la cyber-sécurité, il est impératif qu'elles formulent leurs défis dans un langage compréhensible pour leurs dirigeants. Définir des scénarios et personas pour les différents acteurs menaçants permet de changer la perception de la sécurité au sein de l'entreprise. Il ne s'agit plus d'une notion réservée aux spécialistes, mais d'un sujet qui concerne toutes les équipes. Les chefs d'entreprise peuvent faire appel à des personnes externes pour les aider dans cette tâche, et collaborer avec des professionnels de la sécurité pour faciliter la formation et le transfert de connaissances. Cette démarche favorise la compréhension commune et permet une meilleure sensibilisation à long terme.

Dans un monde où les menaces liées à la cyber-sécurité évoluent à toute vitesse et où les professionnels de ce secteur sont particulièrement demandés, cette approche centrée sur l'humain permettra à un plus grand nombre de personnes de comprendre les risques auxquels les entreprises sont confrontées et, au bout du compte, d'avancer ensemble.

Robert Half aide de nombreux clients à trouver des professionnels IT de qualité. Contactez-nous dès aujourd'hui.

Vous recrutez ?

Confiez-nous vos recrutements

¹Robert Half a commandé une enquête auprès de 1 500 cadres à l’aide d’une méthode de collecte de données en ligne en novembre 2020. Elle se compose respectivement de 300 entretiens en Belgique, au Brésil, en France et au Royaume-Uni. Les participants incluent des directeurs généraux, des directeurs financiers et des directeurs de l’information/de la technologie ayant des responsabilités de recrutement dans de petites (50-249 employés), moyennes (250-499) et grandes entreprises (500+) issues du secteur privé, du secteur public et cotées en bourse dans ces cinq pays.

Bénéficiez des conseils des experts en recrutement de Robert Half pour constituer une équipe de collaborateurs talentueux ou faire progresser votre carrière. Présent dans plus de 300 sites dans le monde, avec 12 bureaux de recrutement en Belgique et au Luxembourg, dont notre agence de recrutement à Diegem, Robert Half peut vous aider, y compris dans le domaine du recrutement de cadres, où et quand vous en avez besoin.