La formation et la sensibilisation autour du Cyber : quelles responsabilités pour les entreprises ?
Les entreprises et la cybersécurité sont deux notions qui sont interdépendantes aujourd’hui.
En effet dans un contexte où les attaques informatiques se multiplient, il a été démontré que le télétravail qui est en pleine expansion favorise nettement l’établissement de la cybermalveillance. Pourtant, environ 50% pourcents des employés Sont favorables à un système de travail hybride qui permet à la fois le travail au bureau et le travail à distance. Pourtant le défi sera de taille dans de telles circonstances. En effet, il faudra penser à la sensibilisation des collaborateurs par rapport aux menaces informatiques qui se développent et qui peuvent profiter de cette circonstance.
Cet article va aussi vous intéresser : Cybersécurité : la situation des entreprises face à l’explosion des attaques informatiques
« Les environnements de travail à distance sont désormais la norme. Les hackers chercheront donc à exploiter les faiblesses, comme par exemple les appareils personnels moins sécurisés et le Wi-Fi domestique. Ils continueront à prospérer dans un environnement très incertain. Il faut donc faire preuve de vigilance face à la désinformation, qui constituera une menace persistante, et aux rançongiciels, qui continueront de nuire aux activités des entreprises, PME incluses. Les données stockées sur les postes fixes, les ordinateurs portables et les tablettes sont bien sûr vulnérables aux rançongiciels , aux défaillances matérielles, aux erreurs humaines, aux pertes et aux vols – autant de risques amplifiés par le passage massif au travail à distance et la réduction de la surveillance exercée par les équipes IT sur les employés dispersés. Pour empêcher les collaborateurs de ramener ces mauvaises pratiques à la maison, les entreprises doivent absolument créer une culture de la cyber-résilience. », explique Anthony Di Bello, Vice Président chargé du Développement Stratégique chez OpenText.
Dans les mois à venir, il faut s’attendre à un développement du paysage des menaces cybernétiques. Les programmes de défense que les entreprises doivent mettre en place sont censées répondre à un besoin à long terme. Par ailleurs, l’approche doit être proactive. Accompagné de test réalisé de manière permanente, soutenue par des solutions de restauration et les sauvegardes efficaces.
« Si une entreprise est poursuivie pour des cas de cyber-violation causés par des employés mal formés, les implications juridiques vont s’imposer. Par nature, un assureur souhaite limiter son exposition à des paiements importants et inclura probablement une clause lui permettant de refuser la couverture dans certaines circonstances. L’une de ces clauses peut être un « défaut de maintien » de normes de sécurité minimales ou « adéquates ». Par exemple, si une entreprise n’a pas mis en place un contrôle de base tel que le cryptage des données sensibles ou protégées, la clause « Failure to Maintain » permettra à l’assureur de refuser la couverture. À ce stade, la formation de sensibilisation à la cybersécurité pourrait être considérée comme un contrôle de sécurité minimal ou adéquat par certains assureurs. L’absence d’une telle formation dans ce cas, pourrait entraîner un refus de couverture si l’entité assurée ne fournit pas une telle formation à ses employés. », note Anthony Di Bello.
En parlant de cyber-résilience, on met en évidence la capacité organisation à produire des résultats opérationnels demandés, et ce malgré les obstacles qui peuvent être créer par la cybercriminalité. Pour cela, il est nécessaire de penser à une protection générale et exhaustive du réseau, des outils informatiques ainsi que des utilisateurs. Il faudrait prendre en compte aussi la méthode de récupération de données en cas de cyberattaque de type rançongiciel.
Cependant, il ne faut pas se leurrer, ces mesures ne seront pas suffisantes.
« Si toutes les entreprises ont mis en place une certaine forme de cybersécurité, il convient de se concentrer sur la cyber-résilience pour assurer une véritable sécurité. Les stratégies de résilience sont souvent compartimentées, traitées comme une entité distincte de tout cadre ou politique de sécurité. La cybersécurité comme élément d’une stratégie de cyber-résilience plus large apporte bien plus de valeur. Les entreprises peuvent alors se protéger contre l’inévitable et atténuer les dommages potentiels causés par une violation. » note alors Anthony Di Bello. Il ajoute par ailleurs que : « Une formation indispensable pour tous
L’organisation de sessions de formation régulières pour s’assurer que les employés sont conscients des cyber risques est un élément essentiel de la cyber-résilience. Ces mesures permettront aux organisations de poursuivre leurs activités sans être perturbées par le verrouillage des fichiers et des serveurs à la suite d’une cyberattaque. ».
Accédez maintenant à un nombre illimité de mot de passe :