L’exploitation informatique TRM le Guide

Cybersécurité : 5 jours de formation réduisent de 90% le risque

Renaud Chasle
Ecrit par Renaud Chasle


« En termes de digitalisation, aucune entreprise de transport n’est aujourd’hui sécurisée à 100%. Mais, bonne nouvelle, le cyber risque est essentiellement humain et il peut être considérablement réduit », analyse Frans Imber-vier, directeur du cabinet Ubcom spécialiste de la cybersécurité en entreprise.

« Aujourd’hui le premier risque concerne ce qu’on appelle les cryptolockeurs, ces pirates informatiques qui chiffrent un ordinateur ou un réseau et demandent une rançon à l’entreprise pour le déverrouiller. En seconde position le vol de fichiers, notamment commerciaux, au profit d’entreprises concurrentes malveillantes. En échange de bitcoins, les mafias proposent aux entreprises pour doper leur compétitivité de leur fournir les fichiers clients de leurs concurrents par exemple. C’est généralement transparent car très peu d’entreprises ont les structures pour le détecter et on va seulement constater une perte de compétitivité sans forcément comprendre pourquoi.

Face aux risques démultipliés par la digitalisation des camions et de leurs nombreux périphériques, des plateformes uberisées qui ne mettent pas en place de systèmes natifs de sécurisation sur le modèle security by design, il existe des mesures ou bonnes pratiques qui permettent de les réduire considérablement.

Pour faire une comparaison, les outils de sécurisation des Systèmes d’Information (SI) sont similaires aux verrous d’une porte. On a soit une serrure 3 points, longue à faire sauter et de manière peu discrète, soit une serrure canon qu’on peut forcer en 5 secondes d’un coup d’épaule. Pour la plupart les entreprises ont toutes aujourd’hui des serrures 3 points sur leur SI. Mais le problème vient souvent du fait qu’elles ont acheté une serrure 3 points mais qu’elles configurent le système en mode canon. C’est lié au revendeur ou prescripteur de la solution qui n’est pas formé aux bonnes pratiques de l’exploitation de ce système et donc ne saura pas le transmettre au client.

La formation et l’intégration de la cybersécurité dans le coût global du SI sont indispensables pour éduquer l’entreprise. Aujourd’hui rares sont les fournisseurs qui expliquent aux transporteurs que les salariés devraient aller 3 jours en formation, faire des rappels tous les 3 mois, qu’il faut inclure une gouvernance opérationnelle quotidienne pour la gérer, etc. Si on disait cela personne n’achèterait car une technologie valant 30 000€ en vaudrait du coup 50 000€. C’est pourtant primordiale car généralement l’intégration de la cybersécurité modifie profondément les habitudes et nécessite une gouvernance pour accompagner la conduite du changement dans le temps.

De même les technologies sont vivantes. On se contente trop souvent de les déployer et de dire : « maintenant on verra dans 5 ans ». Seulement au bout de 3 mois la technologie est déjà obsolète. Actuellement la durée de vie d’un cycle de cybersécurité est de 90 jours c’est-à-dire que l’on découvre un nouveau processus d’attaque, des nouveaux algorithmes de pénétration tous les 90 jours en moyenne.

Pour autant il n’est pas nécessaire de poster un cyber gendarme dans chaque entreprise en charge de tout contrôler et mettre à jour toutes l’infrastructure de sécurité tous les 3 mois. Il suffit que l’entrepreneur, ça ne dépend que de lui, prenne la décision d’intégrer dans son business modèle que la sureté de son SI n’est pas une contrainte mais une valeur ajoutée à terme. S’il comprend cela il pourra investir sur l’humain et capitaliser sur le savoir de ses salariés pour maintenir son SI. Cela devient une action très profitable et pérenne à tous. D’autant plus que l’investissement Apec est faible, généralement entre 10 et 15% d’augmentation du budget soit entre 40€ et 50€ d’investissement par utilisateur par an. En envoyant en formation de cybersécurité un salarié pendant 5 jours on diminue de 90% l’exposition au risque cyber de l’entreprise. Mais cela ne suffit pas. Il faut que les collaborateurs contribuent à cette évolution, c’est une action pluridisciplinaire qui touche tous les acteurs, au niveau légal, au niveau ressources humaines, au niveau opérationnel et niveau de la R&D. Tout le monde est impliqué dans la mutation car on a tous un smartphone ou un terminal Android dans la poche avec quasi systématiquement une messagerie d’entreprise. A partir du moment où il y a ce lien collaboratif entre les salariés qui amènent leur bureau interactif à la maison, l’exposition de l’entreprise est absolue et tous les acteurs sont concernés. »

Retrouvez l’intégralité de l’interview de Fras Imber-Vier dans le prochain numéro de TRM Le Guide…