![\"Les](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1179983758.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
\u00ab\u00a0Le\u00a0probl\u00e8me se trouve entre la chaise et le clavier<\/em>\u00a0\u00bb. <\/em><\/strong>Cet adage, (trop) souvent employ\u00e9 dans l\u2019informatique et la cybers\u00e9curit\u00e9, rappelle qu\u2019une des principales vuln\u00e9rabilit\u00e9s cyber d\u2019une entreprise repose sur la na\u00efvet\u00e9 de ses collaborateurs. Mais est-il r\u00e9ellement pertinent\u00a0? Et qui sont ceux qui sont les plus susceptibles d\u2019\u00eatre pi\u00e9g\u00e9s par les cyber-criminels\u00a0? \u00c9l\u00e9ments de r\u00e9ponse. <\/strong><\/p>\n Dans l\u2019inconscient collectif, les cyberattaques prennent pour cible un collaborateur haut plac\u00e9 dans la hi\u00e9rarchie de l\u2019entreprise, tant il aura des acc\u00e8s \u00e0 des informations sensibles et critiques. Pour autant, S\u00e9bastien Viou<\/strong>, Directeur Cybers\u00e9curit\u00e9 Produits & Cyber-\u00c9vang\u00e9liste chez Stormshield, rappelle que \u00ab ces cibles de valeur sont aussi les plus prot\u00e9g\u00e9es et les plus prudentes<\/em>\u00a0\u00bb. C\u2019est pourquoi le cyber-criminel \u00ab\u00a0agit g\u00e9n\u00e9ralement par opportunisme. Il attaque l\u00e0 o\u00f9 se pr\u00e9sente la faille dans la cha\u00eene de s\u00e9curit\u00e9<\/em>\u00a0\u00bb. Et si, derri\u00e8re les profils \u00e9vidents des dirigeants, tous les collaborateurs n\u2019\u00e9taient pas alors des cibles en puissance\u00a0?<\/p>\n <\/p>\n Car m\u00eame une cible disposant d\u2019acc\u00e8s limit\u00e9s aux ressources num\u00e9riques de l\u2019entreprise peut devenir le premier jalon d\u2019une cyberattaque. \u00c0 l\u2019instar du pion, qui, sur un \u00e9chiquier, peut aller jusqu\u2019\u00e0 renverser la dame. \u00ab\u00a0La plupart des attaques num\u00e9riques se d\u00e9placent dans le r\u00e9seau de l\u2019entreprise<\/em>, pr\u00e9cise S\u00e9bastien Viou. Un terminal disposant d\u2019acc\u00e8s limit\u00e9s peut tr\u00e8s bien \u00eatre converti en cheval de Troie afin d\u2019infecter d\u2019autres terminaux du r\u00e9seau, ce qui permet aux cyber-criminels de subvertir progressivement des autorisations d\u2019acc\u00e8s de plus en plus importantes<\/em>\u00a0\u00bb. Ainsi, bien qu\u2019un collaborateur n\u2019ait pas de droits importants dans le syst\u00e8me d\u2019information d\u2019une entreprise, il n\u2019en reste pas moins une cible int\u00e9ressante pour le cyber-criminel, dans cette optique de d\u00e9placements lat\u00e9raux\u00a0et d\u2019\u00e9l\u00e9vation de privil\u00e8ges.<\/p>\n Il y a encore de tr\u00e8s nombreuses entreprises o\u00f9 des collaborateurs ont acc\u00e8s \u00e0 des ressources critiques sans aucune justification apparente. Pour certains, les droits admin sur des postes sont des acquis sociaux.<\/em><\/p>\n Et encore, ce serait \u00e0 supposer que les entreprises g\u00e8rent correctement leurs politiques d\u2019acc\u00e8s. Or, S\u00e9bastien Viou rel\u00e8ve \u00ab\u00a0qu\u2019il y a encore de tr\u00e8s nombreuses entreprises o\u00f9 des collaborateurs ont acc\u00e8s \u00e0 des ressources critiques sans aucune justification apparente. Pour certains, les droits admin sur des postes sont des acquis sociaux...<\/em>\u00a0\u00bb. Une (autre) r\u00e9alit\u00e9 qui fait du phishing non cibl\u00e9 le premier vecteur d\u2019attaque dans le barom\u00e8tre 2021 du CESIN\u00a0: 80% de ses membres ont \u00e9t\u00e9 victimes de cette pratique en 2020. Une cyberattaque facile \u00e0 mettre en \u0153uvre qui permet de multiplier les tentatives et viser la masse des collaborateurs. Les cyber-criminels misent ainsi sur la quantit\u00e9 pour faire jouer les statistiques en leur faveur<\/strong>\u00a0: t\u00f4t ou tard, le pi\u00e8ge finira par se refermer sur quelqu\u2019un dans l\u2019entreprise\u2026 \u00c9chec et mat. Des attaques massives donc, et m\u00eame performantes pour Joseph Graceffa<\/strong>, pr\u00e9sident du Club de la s\u00e9curit\u00e9 de l\u2019information en r\u00e9seau (CLUSIR) Nord de France, qui alerte sur le fait \u00ab\u00a0qu\u2019aucune personne au sein de l\u2019organisation cibl\u00e9e n\u2019est compl\u00e8tement \u00e0 l\u2019abri d\u2019une n\u00e9gligence<\/em>\u00a0\u00bb, y compris les personnalit\u00e9s les plus prudentes\u2026<\/p>\n Des \u00e9l\u00e9ments qui permettent malheureusement de r\u00e9pondre \u00e0 la question initiale de ce papier\u00a0; en entreprise, tous les collaborateurs peuvent (et sont) vis\u00e9s par des cyberattaques. Alors, comment faire pour \u00e9viter d\u2019\u00eatre pris dans les mailles\u00a0?<\/p>\n <\/p>\n S\u2019il est difficile de proposer une analyse g\u00e9n\u00e9rale des profils de vuln\u00e9rabilit\u00e9 bas\u00e9s sur la fonction qu\u2019occupent les collaborateurs au sein des entreprises, il appara\u00eet pourtant n\u00e9cessaire d\u2019identifier les plus vuln\u00e9rables<\/strong>.<\/p>\n Au gr\u00e9 des tests, il devient possible d\u2019identifier les personnes tombant syst\u00e9matiquement dans le pi\u00e8ge, et donc les maillons humains les plus faibles de la cha\u00eene de s\u00e9curit\u00e9<\/em><\/p>\n Joseph Graceffa prend ainsi l\u2019exemple du phishing\u00a0: \u00ab\u00a0il existe aujourd\u2019hui des solutions tr\u00e8s faciles d\u2019acc\u00e8s et peu co\u00fbteuses pour automatiser des tests<\/em>\u00a0\u00bb. Avec de tels outils, les entreprises peuvent programmer des campagnes s\u2019ex\u00e9cutant en toute autonomie et adressant de faux emails malveillants \u00e0 leurs collaborateurs. \u00ab\u00a0Au gr\u00e9 des tests, il devient possible d\u2019identifier les personnes tombant syst\u00e9matiquement dans le pi\u00e8ge, et donc les maillons humains les plus faibles de la cha\u00eene de s\u00e9curit\u00e9.<\/em>\u00a0\u00bb L\u2019entreprise peut ainsi agir aupr\u00e8s de ces collaborateurs \u00e0 risque, \u00ab\u00a0\u00e0 commencer par s\u2019assurer de les sensibiliser aux cons\u00e9quences potentielles de leur comportement et de les former aux notions de base de la cybers\u00e9curit\u00e9<\/em>\u00a0\u00bb. En effet, pour renforcer la ma\u00eetrise qu'ont leurs collaborateurs des r\u00e8gles d\u2019hygi\u00e8ne num\u00e9rique, les entreprises sont nombreuses \u00e0 mener des campagnes de sensibilisation et de formation aux enjeux de cybers\u00e9curit\u00e9<\/strong>. Elles y sont par ailleurs fortement encourag\u00e9es par les organismes publics tels que l\u2019ANSSI, qui propose un guide pratique \u00e0 l\u2019attention des entreprises<\/a>, dont le premier chapitre est ainsi intitul\u00e9 Sensibiliser et former<\/em>. \u00c0 l\u2019\u00e9chelle europ\u00e9enne, l\u2019Agence de l\u2019Union europ\u00e9enne pour la Cybers\u00e9curit\u00e9 (ENISA) int\u00e8gre directement cette notion de sensibilisation du public \u00e0 sa mission<\/a>. Et pour l\u2019accomplir, l\u2019institution se propose d\u2019aider \u00ab\u00a0les \u00c9tats-membres dans leur d\u00e9marche de sensibilisation<\/em>\u00a0\u00bb, de favoriser \u00ab\u00a0la coordination entre les \u00c9tats-membres<\/em>\u00a0\u00bb et de fournir \u00ab\u00a0des codes de bonnes pratiques \u00e0 adopter\u00a0en mati\u00e8re d\u2019hygi\u00e8ne informatique et d\u2019habilet\u00e9 num\u00e9rique<\/em>\u00a0\u00bb. Une strat\u00e9gie qui est \u00e9galement pr\u00f4n\u00e9e par la France. Suite \u00e0 la hausse des cyberattaques observ\u00e9es pendant la crise sanitaire, Guillaume Poupard, directeur g\u00e9n\u00e9ral de l\u2019ANSSI, a r\u00e9affirm\u00e9 devant le S\u00e9nat<\/a> l\u2019importance de miser sur la formation, la certification et la recherche continue de r\u00e8gles d\u2019hygi\u00e8ne num\u00e9rique sectorielles\u00a0: \u00ab\u00a0Le respect des\u00a0r\u00e8gles d\u2019hygi\u00e8ne informatique\u00a0est la base, c\u2019est comme vouloir pratiquer de la chirurgie de haute pr\u00e9cision avec des mains sales<\/em>\u00a0\u00bb.<\/p>\n Le respect des r\u00e8gles d\u2019hygi\u00e8ne informatique est la base, c\u2019est comme vouloir pratiquer de la chirurgie de haute pr\u00e9cision avec des mains sales<\/em><\/p>\n Pourtant, s\u2019il ne remet pas en cause l\u2019importance de la sensibilisation des collaborateurs<\/a> comme r\u00e9ponse des entreprises face aux risques cyber, S\u00e9bastien Viou la consid\u00e8re \u00ab\u00a0compl\u00e8tement insuffisante pour s\u2019assurer que les r\u00e8gles d\u2019hygi\u00e8ne num\u00e9rique fondamentales soient appliqu\u00e9es<\/em>\u00a0\u00bb. La bataille de la sensibilisation cyber est-elle d\u00e9j\u00e0 perdue\u00a0?<\/strong> La tentation de r\u00e9pondre oui est grande en se fiant aux publications sur les r\u00e9seaux sociaux de photos<\/a> de PC professionnels que des individus laissent accessibles et sans surveillance dans des lieux publics. Pour S\u00e9bastien Viou, cela d\u00e9montre qu\u2019il est grand temps de passer \u00e0 la vitesse sup\u00e9rieure et d\u2019ajouter \u00e0 la sensibilisation une forme de responsabilisation des collaborateurs<\/strong>. \u00ab\u00a0La sensibilisation n\u2019est pas perdue, aujourd\u2019hui la majorit\u00e9 des collaborateurs sont sensibilis\u00e9s aux risques cyber et c\u2019est une bonne chose. Cependant, ils n\u2019appliquent pas les r\u00e8gles de s\u00e9curit\u00e9 malgr\u00e9 tout car ils estiment \u00e0 tort que le risque ne les concerne pas.<\/em>\u00a0\u00bb Cette responsabilisation pourrait prendre la forme de l\u2019int\u00e9gration \u00e0 la fiche de mission du collaborateur du respect des normes et r\u00e8gles de s\u00e9curit\u00e9 mises en place par l\u2019entreprise. \u00ab\u00a0De fait, le risque serait partag\u00e9, puisqu\u2019en cas de manquement grave et av\u00e9r\u00e9, l'entreprise pourrait s\u00e9vir.<\/em>\u00a0\u00bb Une opinion partag\u00e9e par Joseph Graceffa, qui rappelle d\u2019ailleurs que cette responsabilisation des collaborateurs<\/a> est d\u00e9j\u00e0 une r\u00e9alit\u00e9, en particulier dans les grandes entreprises anglo-saxonnes. \u00ab\u00a0Elles compl\u00e8tent g\u00e9n\u00e9ralement leurs r\u00e8glements int\u00e9rieurs de chartes informatiques puis mettent en place une \u00e9chelle de sanction<\/em>\u00a0\u00bb, pour pouvoir s\u00e9vir selon la gravit\u00e9 des manquements de leurs collaborateurs.<\/p>\n <\/p>\n Mais cette responsabilisation devrait s\u2019accompagner d\u2019une plus grande accessibilit\u00e9 des collaborateurs aux outils et informations relatives \u00e0 la cybers\u00e9curit\u00e9<\/strong>. \u00ab\u00a0Puisqu\u2019on leur demande d\u2019\u00eatre responsables, il est certain qu\u2019il faut aussi pouvoir les aider \u00e0 comprendre les menaces et ce qui se produit autour d\u2019eux<\/em>\u00a0\u00bb, confirme Joseph Graceffa. Toutefois, \u00ab\u00a0les solutions de cybers\u00e9curit\u00e9 de l\u2019entreprise sont traditionnellement du ressort des \u00e9quipes de la RSSI. Et peu d\u2019efforts ont \u00e9t\u00e9 faits, encore \u00e0 ce jour, pour en simplifier l\u2019usage par un public non sp\u00e9cialiste<\/em>\u00a0\u00bb. Des solutions de cybers\u00e9curit\u00e9 plus accessibles et port\u00e9es sur l\u2019ergonomie (ou UX-friendly<\/em>) pourraient ainsi participer \u00e0 l\u2019adoption par les collaborateurs de l\u2019entreprise et leur mont\u00e9e en comp\u00e9tence.<\/p>\n Du point de vue de l\u2019organisation interne, la direction des ressources humaines (DRH) doit avoir un r\u00f4le renforc\u00e9 sur les questions li\u00e9es \u00e0 la cybers\u00e9curit\u00e9<\/strong>. C\u2019est en tout cas ce que sugg\u00e8re une e\u0301tude d\u00e9di\u00e9e de la chaire RHO de l\u2019Universite\u0301 de Fribourg et du CISEL Informatique SA<\/a>. Du fait de ses responsabilit\u00e9s traditionnelles, la DRH de l\u2019entreprise serait la mieux qualifi\u00e9e pour assurer le niveau de qualification g\u00e9n\u00e9rale de l\u2019organisation en mati\u00e8re de cybers\u00e9curit\u00e9. En effet, elle peut, d\u00e8s la phase de recrutement, int\u00e9grer des param\u00e8tres de culture cybers\u00e9curit\u00e9 en fonction des profils. Par ailleurs, la DRH \u00e9tant responsable des programmes de formation des employ\u00e9s, c\u2019est elle qui est la plus \u00e0 m\u00eame d\u2019assurer l\u2019actualisation constante de leur savoir en mati\u00e8re de cybers\u00e9curit\u00e9 (et ce par le biais de m\u00e9thodes aussi p\u00e9dagogiques que possible, comme les tests). Pour cela, la cr\u00e9ation d\u2019une structure d\u2019\u00e9change renforc\u00e9e entre la DRH et la RSSI peut permettre de garantir la concordance des programmes de formation aux r\u00e9alit\u00e9s du terrain. Pour finir, la DRH (en lien avec les services juridiques) est la plus \u00e0 m\u00eame d\u2019assurer la responsabilisation et la p\u00e9nalisation des collaborateurs contrevenants aux r\u00e8gles de s\u00e9curit\u00e9 en vigueur au sein de l\u2019organisation. Elle doit pour cela participer \u00e0 l\u2019\u00e9criture et \u00e0 la mise \u00e0 jour de ces derni\u00e8res tout en s\u2019assurant qu\u2019elles soient r\u00e9guli\u00e8rement port\u00e9es \u00e0 la connaissance des collaborateurs.<\/p>\n Dans un monde id\u00e9al, tous les collaborateurs d\u2019une entreprise seraient responsables et qualifi\u00e9s en mati\u00e8re de cybers\u00e9curit\u00e9. Si tel \u00e9tait le cas, l\u2019entreprise pourrait-elle leur accorder toute confiance\u00a0?<\/strong> Pour S\u00e9bastien Viou,<\/strong> \u00ab\u00a0la confiance n\u2019exclut pas le contr\u00f4le. Elle pourrait avoir confiance en leur bonne foi, mais pas en leur infaillibilit\u00e9. M\u00eame s\u2019ils venaient \u00e0 tous respecter les r\u00e8gles d\u2019hygi\u00e8ne num\u00e9rique, le risque z\u00e9ro n\u2019existerait pas. La plus prudente des personnes, parfois m\u00eame un expert en cybers\u00e9curit\u00e9, peut se faire avoir<\/em>\u00a0\u00bb. Une analyse renforc\u00e9e par l\u2019essor du cloud computing ou des modes d\u2019organisation int\u00e9grant le t\u00e9l\u00e9travail ou le BYOD. Dans ce contexte, les entreprises ne peuvent plus partir du principe que ce qui existe \u00e0 l\u2019int\u00e9rieur de leur p\u00e9rim\u00e8tre informatique est absolument digne de confiance. Et elles sont de plus en plus nombreuses \u00e0 adopter le concept de Zero Trust<\/a>. En effet, d\u2019apr\u00e8s une \u00e9tude rapport\u00e9e par IT SOCIAL<\/a>, 90% des entreprises r\u00e9pondantes se penchent s\u00e9rieusement sur cette approche holistique qui a pour objet de faire \u00e9voluer le concept de p\u00e9rim\u00e8tre en n\u2019accordant aucune confiance par d\u00e9faut \u00e0 quiconque dans ou en dehors du r\u00e9seau de l\u2019organisation. Pourtant, pour Joseph Graceffa, le Zero Trust \u00ab\u00a0n\u2019est ni plus ni moins qu\u2019un \u00e9ni\u00e8me terme marketing<\/em>\u00a0\u00bb. Le Pr\u00e9sident du CLUSIR Nord de France rappelle que bien que le terme soit de plus en plus employ\u00e9, il s\u2019agit surtout d\u2019une \u00ab\u00a0mise \u00e0 jour des proc\u00e9d\u00e9s de Network Access Control [NAC] d\u00e9sormais appliqu\u00e9s \u00e0 toutes les ressources IT (applications, postes informatiques, etc.). Mais que les RSSI et sp\u00e9cialistes de la cybers\u00e9curit\u00e9 connaissent depuis plus de 20 ans<\/em>\u00a0\u00bb. Dans tous les cas, l\u2019application \u00e9tendue d\u2019une approche Zero Trust est une transformation qui pourrait \u00eatre extr\u00eamement longue, en particulier pour des entreprises exploitant un patrimoine IT h\u00e9rit\u00e9 et cloisonn\u00e9. La mise en \u0153uvre de cette approche semble donc devoir s\u2019effectuer de mani\u00e8re graduelle.<\/p>\n <\/p>\n La cybers\u00e9curit\u00e9 n\u2019est donc pas seulement une affaire de moyens. Face \u00e0 l\u2019essor des cyberattaques, il ne fait plus aucun doute que l\u2019humain est le principal vecteur de risque. Il est ainsi primordial que l\u2019entreprise forme, sensibilise, et pour finir responsabilise les collaborateurs qui la composent. Car si elle est responsable d\u2019eux, ils sont autant responsables d\u2019elle.<\/p>\n","protected":false},"excerpt":{"rendered":" \u00ab\u00a0Le\u00a0probl\u00e8me se trouve entre la chaise et le clavier\u00a0\u00bb. Cet adage, (trop) souvent employ\u00e9 dans l\u2019informatique et la cybers\u00e9curit\u00e9, rappelle qu\u2019une des principales vuln\u00e9rabilit\u00e9s cyber d\u2019une entreprise repose sur la na\u00efvet\u00e9 de ses collaborateurs. Mais est-il r\u00e9ellement pertinent\u00a0? Et qui sont ceux qui sont les…<\/p>\n","protected":false},"author":51,"featured_media":266871,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1608],"tags":[4363],"business_size":[],"industry":[],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[1565],"class_list":["post-266866","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-paroles-experts","tag-la-cybersecurite-premiers-pas","listing_product-ses-fr"],"acf":[],"yoast_head":"\nCyberattaque en entreprise\u00a0: quand le pion prend la dame<\/h2>\n
S\u00e9bastien Viou<\/strong>, Directeur Cybers\u00e9curit\u00e9 Produits & Cyber-\u00c9vang\u00e9liste Stormshield<\/pre>\n<\/blockquote>\n
Passer de la sensibilisation \u00e0 la responsabilisation des collaborateurs<\/h2>\n
Joseph Graceffa<\/strong>, pr\u00e9sident du Club de la s\u00e9curit\u00e9 de l\u2019information en r\u00e9seau (CLUSIR) Nord de France<\/pre>\n<\/blockquote>\n
Guillaume Poupard<\/strong>, directeur g\u00e9n\u00e9ral de l\u2019ANSSI<\/pre>\n<\/blockquote>\n
Garantir un meilleur acc\u00e8s \u00e0 la cybers\u00e9curit\u00e9<\/h2>\n