Le 29 mars 2021, un message des plus énigmatiques est posté sur le compte Twitter de l'armée américaine.
Un internaute américain applique alors la procédure de demande d’information. La rapidité de réponse (moins d’une demi-journée) surprend agréablement cet internaute.
L'explication de ce tweet malencontreux est assez étonnante :
L'administrateur du compte, qui était en télétravail, a momentanément laissé son ordinateur sans surveillance. Son très jeune enfant a profité de la situation et s’est mis à jouer avec le clavier et, a malheureusement, et sans s’en rendre compte, publié le tweet.
Est-ce si surprenant qu'une telle situation survienne ?
Que ce soit en entreprise, dans des salons professionnels, dans le train ou à la terrasse d'un café, il n'est pas rare de voir des ordinateurs laissés sans surveillance, avec la session utilisateur ouverte.
C'est l'une des mauvaises habitudes qui peuvent mettre en danger une entreprise; une de ces mauvaises habitudes contre lesquelles les équipes cybersécurité luttent; et l'une des plus difficiles à faire abandonner aux collaborateurs.
Des solutions techniques sont alors déployées : verrouillage automatique de l'ordinateur après x minutes d'inactivité, ronde le soir pour récupérer tous les ordinateurs qui ne sont pas attachés avec le câble de sécurité, et bien d'autres.
Mais cette phrase revient systématiquement : le problème est entre la chaise et le clavier !
C'est une idée que je ne partage pas.
3 raisons pour lesquelles il faut arrêter de croire que le problème est entre la chaise et le clavier.
Raison n°1 : Les règles et les exceptions.
Je vais enfoncer une porte ouverte : la personne qui est ciblée dans la phrase "le problème est entre la chaise et le clavier", c'est le collaborateur, quel qu'il soit.
Mais très souvent, ce qui se passe en entreprise c'est que des règles sont édictées; des règles qui doivent s'appliquer à tous, sauf à des VIP (un VIP peut être un top manager, mais aussi une personne qui a suffisamment d'influence dans l'entreprise pour obtenir des passe-droits sans pour autant avoir une position élevée dans l'organigramme).
Problème : ces VIP sont aussi la cible des hackers, voire la cible principale pour des attaques comme la fraude au président.
En fin de compte, une règle qui a été édictée pour protéger l'entreprise contre une menace bien réelle, n'est pas appliquée :
Aux personnes les plus exposées à la menace que l'entreprise essaie de maîtriser.
Aux personnes qui disposent d'assez d'influence au sein de l'entreprise pour obtenir des passe-droits.
Raison n°2 : Quand on ne sait pas, on ne peut pas agir.
Imaginez que l'on vous demande de nager 25 mètres dans une piscine olympique. Cela semble facile !
Maintenant, imaginez que vous devez nager 25 mètres alors que vous savez à peine nager (vos dernières longueurs remontent à l'époque du lycée).
Seriez-vous prêt à vous lancer ?
Certainement, si avant cela vous bénéficiez d'un entraînement, de préférence avec un professionnel ou si vous disposez d'aptitudes naturelles.
C'est la même chose avec la sécurité informatique. Les collaborateurs ont besoin d'appendre les bons gestes, ils ont besoin qu'on leur enseigne ce qu'ils doivent faire, sans pour autant devenir des experts. Bref, ils ont besoin d'avoir une certaine hygiène informatique.
Rappelez-vous qu'un jour nous avons tous appris à nous brosser les dents, mais nous ne sommes pour autant pas tous devenus dentistes.
Raison n°3 : Sans véritable sensibilisation, pas de résultat !
En moyenne, chacun de nous reçoit une centaine d'e-mails professionnels par jour. Ajoutez à cela les nombreux messages instantanés reçus via les messageries professionnelles, les réunions et les appels téléphoniques.
Il reste très peu de temps pour se concentrer sur un e-mail, surtout si celui-ci ne semble apporter aucun bénéfice directement visible dans le travail quotidien.
Et pourtant, dans beaucoup d'entreprises, la sensibilisation à la cybersécurité se résume encore à envoyer des e-mails pour dire "il ne faut pas cliquer sur des liens dans un e-mail si on ne connaît pas l'expéditeur".
Imaginez qu'une entreprise essaie de vous vendre un produit de cette façon. Est-ce que vous l'achèteriez ?
Les règles en matière de communication et marketing s'appliquent également à la sensibilisation à la cybersécurité. Il faut faire passer le bon message, par le bon canal pour atteindre une cible bien spécifique et atteindre un objectif précis.
L'objectif sera le comportement que vous voulez que les collaborateurs adoptent. Vous aurez un objectif pour des commerciaux, qui pourra être différent de celui fixé pour le support informatique, et encore différent de celui fixé pour l'équipe marketing.
Il vous faudra également investir dans ce programme dans la durée, car il faut du temps pour changer de comportement.
Finalement, le problème peut-il quand même être entre la chaise et le clavier ?
Si vous déployez un programme de sensibilisation (dans la durée), que vous fixez des objectifs clairs (SMART, diraient certains), et que vous vous donnez les moyens d'atteindre ces objectifs, il y a de fortes chances pour que vos collaborateurs deviennent une ligne de défense pour votre entreprise.
Vous aurez la chance d’avoir des collaborateurs qui sont capables de contribuer à la détection et la mise en échec des cyberattaques, par exemple en signalant les e-mails.
Bien sûr, vous aurez toujours quelques collaborateurs qui ne respecteront pas les règles, qui cliqueront sur un lien frauduleux dans un e-mail. Mais ça cela n'a rien d'anormal, le risque zéro n'existe pas.
Une chose est certaine : si vous ne formez pas vos collaborateurs à adopter la bonne hygiène cybersécurité, alors vous laissez la chance décider si ces collaborateurs deviendront un atout ou un problème pour gérer vos risques cybersécurité.
Comments