Cybercriminalité : prévenir les négligences internes

Xerfi Canal TV a reçu Pascal Guicherd, Responsable des Systèmes d'Informations, Groupe MG, membre de France Défi, pour parler des differentes cybermenaces  auxquelles sont aujourd'hui exposées les entreprises en interne.

Vous nous avez expliqués dans une précédente interview qu'en matière de cyberattaques, le risque principal se situait entre la chaise et l'écran ! On ne peut donc plus faire confiance à personne ?

Voltaire disait « Protégez moi de mes amis, mes ennemis je m’en charge ». Bien souvent le risque n’est pas là ou on l’attend ! Mais on peut encore faire confiance, heureusement ! Car ce risque ne relève pas de la malveillance mais plutôt de la négligence. Il s'agit donc d'alerter sur le fait qu'on ne peut pas faire n'importe quoi avec les outils mis à disposition par l'entreprise. Il faut responsabiliser les collaborateurs.

Mais ce n'est pas facile de tout contrôler alors que l'environnement de travail se complexifie, que les frontières entre outils personnel / professionnel se brouillent.

Absolument, il faut d'ailleurs réaliser qu'un collaborateur – voir même un cadre ou associé - qui a toute la meilleure volonté du monde peut s'exposer à des comportements dangereux. Par exemple, s'il ramène son ordinateur personnel à la maison pour finir un travail, il se peut qu'il soit ensuite utilisé par ses enfants qui visiteront des sites douteux. Le chef d'entreprise ne voit pas que c'est dans ces circonstances qu'on risque d'ouvrir de nouvelles failles dans le système de l'entreprise ! Il faut donc en permanence informer les collaborateurs sur les risques et sur les bonnes pratiques qu’il doit respecter. Il en va de même pour le contenu des informations plus ou moins confidentielles qu’il peut diffuser sans se méfier sur les réseaux sociaux.

Et qu'en est-il, à l'inverse, des outils personnels comme les smartphones sur lesquels on installe des applications pour consulter, par exemple, les mails professionnels?

Là encore, au risque de choquer certains managers, il vaut mieux séparer les usages professionnels et personnels. L’entreprise ne maitrise pas les outils personnels du salarié. Téléphone, tablette ou ordinateur sont souvent pas ou mal protégés, et utilisé par ses proches sans se soucier de la sécurité.

Alors que faut-il faire ? Obliger à déconnecter et revenir à une stricte séparation vie privée / vie professionnelle ?

Eh bien oui : il vaut mieux parfois perdre quelques heures de travail. Alors certes, proscrire le travail le soir et le week-end peut représenter une perte pour l'employeur si des habitudes se sont installées dans l'entreprise. Mais la perte peut être bien supérieure en cas de d'attaque sur le système d'information ! Et je ne parle même pas là des risques en matière social pour un employeur qui est censé respecter le temps de travail de ses employés.

Pascal Guicherd, Cybercriminalité : prévenir les négligences internes, une vidéo Xerfi Canal TV