Cybersécurité : quelle importance en entreprise ?

La cybersécurité est un enjeu majeur qui concerne toutes les entreprises, quelle que soit leur taille ainsi que tous les employés, quel que soit leur poste.

Comme ce fut le cas pour le bien-être au travail et les règles de sécurité (incendie…), l’arrivée du Règlement Général sur la Protection des Données (RGPD - GDPR en anglais) en mai 2018, invite les dirigeants à accorder plus d’importance à la cybersécurité pour protéger leurs données.

À l’ère du tout connecté (machines-outils, imprimantes, caméras de surveillance, réfrigérateurs, etc.), nous pourrions soutenir que la cybersécurité, la sécurité et la sûreté ne font qu’un. Selon Bruce Schneier, un gourou en sécurité informatique, « nous devons inverser la tendance et arrêter de tout vouloir connecter à Internet ». Il convient de réfléchir à deux fois à la plus-value d’un objet connecté par rapport à un objet non connecté.

Pourquoi sensibiliser à la cybersécurité au travail ?

Les conséquences d’une cyberattaque, d’une cybermalveillance ou d’une négligence peuvent avoir des répercussions importantes sur la vie de l’entreprise :

  • de nombreuses entreprises impactées par des ransomwares n’ont plus accès à leurs données
  • les experts ESET dénombrent une recrudescence des attaques dites « fraudes au président », version moderne de l’extorsion de fonds
  • la fuite de données peut arriver par négligence lorsqu’un employé oublie son ordinateur non chiffré dans les transports en commun

Ces exemples de cyberattaques peuvent dans certains cas contraindre l’entreprise à stopper son activité ou à payer une amende aux Autorités de Protection des Données (APD). D’ailleurs, les amendes se généraliseront dès mai 2018 lors de l’application du RGPD.

Outre la mise en place de mesures de sécurité informatique, les directions générales doivent également mener des actions de sensibilisation et d’éducation auprès des salariés. En effet, une étude menée en 2015 par l'Université de l'Alabama à Birmingham montre que 38% des infractions sont internes. 3 entreprises sur 4 considèrent la négligence des employés comme la plus grande menace de fuite de données. L'étude révèle également qu'environ 75% des employés qui téléchargent des fichiers liés au travail les classent dans des comptes personnels sur le Cloud.

Ces chiffres risquent d'augmenter considérablement à mesure que les entreprises adoptent le Cloud et se tournent vers les objets connectés. Deux récentes attaques se sont d’ailleurs produites via ces canaux. La première est une attaque DDoS de décembre 2016. Elle a désactivé les contrôles de chauffage des systèmes de bâtiments automatisés en Finlande. La seconde est un ransomware qui a infecté le plus grand hôpital du Royaume-Uni (janvier 2017).

Afin de montrer la facilité avec laquelle il est possible de pénétrer dans un système non protégé, deux chercheurs en sécurité (white hats) aux États-Unis ont mené l’expérience. Ils se sont infiltrés dans le système de gestion des bâtiments d'un bureau appartenant à un géant technologique (Sydney en Australie). Dans un tout autre registre, ils ont également prouvé la vulnérabilité des pacemakers connectés de St Jude Medical™. La cybersécurité, la santé et la sécurité n’ont jamais été aussi liées.

Pourquoi accorder autant de crédit à la cybersécurité qu’au bien-être et à la sécurité en entreprise ?

Au fil des années, l'introduction de réglementations sanitaires et sécuritaires en entreprise a permis d’améliorer le bien-être des employés (réduction du stress et des accidents de travail).

Pour la survie de l’entreprise, les dirigeants doivent considérer la cybersécurité comme une priorité. Ainsi, une défense plus forte améliorera la réputation de la marque, protégera les données et - dans certains cas comme l’exemple du pacemaker connecté – sauvera des vies.

La cybersécurité doit être une priorité absolue pour que les entreprises soient correctement protégées. Lors d'une interview l'an dernier avec Business Reporter®, Seamus Doyle, CIO chez Northern Ireland Water, souligne l'importance de mettre la cybersécurité, le bien-être et la sécurité au même plan. « Lorsque je parle avec certains de mes collègues, [la cybersécurité] ne leur semble pas aussi importante que le bien-être et la sécurité au travail. C’est pourtant la prochaine étape », déclare-t-il. « Les entreprises sacrifient depuis longtemps le bien-être des salariés et la sécurité au bénéfice de la productivité. Ce n'est pas un moyen acceptable de faire du business. Malheureusement, les mentalités vont dans le même sens en matière de cybersécurité ».

La cybersécurité en entreprise a pour objectif de renforcer à la fois la sécurité des données confidentielles relatives à l’activité de l’entreprise (ex° : secrets de fabrication, ressources humaines…) et celle des données clients. L’objectif du RGPD est de sensibiliser à ces notions pour protéger la vie privée et le patrimoine numérique.

Si vous souhaitez plus d’informations concernant le RGPD, nous vous proposons la lecture de notre livre blanc rédigé en collaboration avec Maître ITEANU. Nous restons bien évidemment à votre disposition pour tout complément d’information.

 

 

 

 

 

 

 

Sur le même sujet : LE FACTEUR HUMAIN 2017

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !