Je m'abonne

Digitevent sensibilise les salariés aux cyberattaques


Fondée en 2013, Digitevent est une entreprise qui facilite l’organisation des évènements professionnels. Un outil simple et efficace permettant d’allier des innovations technologiques à l’expertise évènementielle. Interview de Lucien Derhy, cofondateur de Digitevent. Comment sensibilisez-vous les salariés des entreprises aux cyberattaques ? Lucien Derhy : On peut distinguer 2 grandes...

Entreprendre - Digitevent sensibilise les salariés aux cyberattaques

Fondée en 2013, Digitevent est une entreprise qui facilite l’organisation des évènements professionnels. Un outil simple et efficace permettant d’allier des innovations technologiques à l’expertise évènementielle. Interview de Lucien Derhy, cofondateur de Digitevent.

Comment sensibilisez-vous les salariés des entreprises aux cyberattaques ?

Lucien Derhy : On peut distinguer 2 grandes catégories de simulations de cyberattaques.

Les tests offensifs, parfois appelés “Red”. Ils incluent les pen-test (penetration testing) qui identifient des failles connues des systèmes. Il s’agit donc d’un passage en revue systématique et méthodique de l’infrastructure. Mais les tests offensifs peuvent aussi relever d’une approche plus exploratoire et créative pour essayer de trouver des failles dans le système ou l’organisation.
Les simulations défensives : parfois appelées “Blue”. Ces derniers testent les capacités de réponse, de limitation de l’impact et de protection du système d’information.

Quels secteurs sont les plus touchés par les cyberattaques ?

Les cyberattaques peuvent avoir lieu pour dérober de la donnée quand cette dernière a de la valeur ou pour prendre en chantage des entreprises.

Dans le premier cas, les attaquants vont privilégier les sociétés traitant de données sensibles (ex: données personnelles, coordonnées de paiement, santé…).

Dans le second cas,  il va plutôt s’agir de sociétés ayant une notoriété et une assise financière confortable.

Parfois également, il s’agit d’attaques d’opportunité et l’attaquant peut être moins regardant sur la qualité de la cible tout simplement car l’attaque est facile pour lui : le gain sera moins important, mais l’effort proportionnel ! Dans ce troisième cas, c’est la connaissance de la faille et non le secteur qui oriente l’attaquant.

Les salariés français sont-ils préparés ?

Pas assez.  Contrairement aux idées reçues, de nombreuses cyberattaques ne sont pas le fait de personnes qui parviennent à trouver une faille dans un système informatique. Souvent l’attaque vient simplement exploiter une faille, une faute de vigilance humaine. Si on devait faire une parabole, il est parfois plus facile de vous voler les clés que de casser la porte ! 

Les attaquants ont pour avantage de pouvoir itérer, affiner leurs stratégies, et multiplier les cibles afin de trouver la bonne porte d’entrée pour mener à bien leur attaque.

La réponse doit être double : il faut à la fois une réponse technique de la DSI et des formations des employés. Cette prise de conscience a beaucoup évolué au cours des dernières années, mais la route reste longue car il s’agit d’une sensibilisation de long terme inévitable.

Comment ces tests sont-ils perçus par les salariés ?

Globalement, les salariés comprennent l’intérêt et l’enjeu car il est clair que l’impact pour l’organisation est potentiellement gigantesque.

Néanmoins, de plus en plus d’entreprises préviennent leurs collaborateurs qu’ils peuvent être amenés à tester leur vigilance. Par exemple, une DSI peut choisir d’envoyer un email ressemblant à celui d’un collègue pour récupérer des informations sensibles (exemple : mots de passe…). Il s’agit alors de tester les réactions des collaborateurs (relever l’anomalie, processus de signalement…).  Bien que nécessaire, la pédagogie est ici de mise, pour ne pas que les collaborateurs se sentent piégés et qu’ils comprennent l’intérêt de l’exercice.

Parfois également, dans le cadre de la lutte contre les cyberattaques, certaines DSI peuvent être amenées à mettre en place des dispositifs jugés limitant pour la productivité quotidienne. Par exemple, la semaine dernière, mon banquier m’a demandé de lui envoyer une pièce jointe sur sa boîte personnelle car la boîte pro limitait le système d’envoi de fichier zip ! Une évaluation risque-bénéfices est probablement à mener avec les directions opérationnelles avant d’imposer certaines restrictions.

Comment bien préparer son entreprise aux cyberattaques ?

Le sujet est à prendre très au sérieux. La donnée métier et les données personnelles collectées sont au cœur des enjeux économiques des organisations. Si vous n’avez pas de connaissances en interne, faites-vous aider par des cabinets spécialisés. La sécurité n’est pas un sujet ponctuel mais doit rester une préoccupation permanente.
Dans tous les cas votre préparation devra prendre en compte à minima deux aspects : la sensibilisation des équipes avec la mise en place de règles claires et adaptées et la sécurisation des systèmes d’information.

À voir aussi