Stéphane Koch, cela fait déjà plusieurs décennies que les entreprises utilisent l’informatique. Pourquoi sommes-nous aujourd’hui plus vulnérables ?
Parce que de l’ordinateur accessible seulement sur notre lieu de travail, nous sommes passés aux desktops personnels, aux portables, aux smartphones et demain à toute sorte d’objets connectés. Grâce à la dématérialisation des contenus, nos informations professionnelles et personnelles cohabitent désormais sur tous ces supports. Cette multiplication des points d’entrées est une aubaine pour les hackers.
Nous passons de plus en plus de temps sur le web, sans comprendre comment l’information circule dans ce nouvel écosystème et pire, sans savoir coder. Où va nous mener cet illettrisme digital ?
Le web a vingt ans et les réseaux sociaux dix ans… or nous continuons à ne pas enseigner ces matières à l’école primaire. Les écoliers ont certes droit à une semaine de formation sur les médias, mais on leur parle de la presse et de la télévision ! Il est urgent qu’ils apprennent à se servir des outils digitaux et à adopter les bons comportements dès leur plus jeune âge. Non seulement pour éviter des dérapages qui pourraient les suivre toute leur vie, mais également pour former leurs parents.
Revenons sur ces dérapages. Force est de constater que les liens entre vie privée et professionnelle semblent de plus en plus se confondre.
Cet aspect est très intéressant, car notre vie professionnelle peut être désormais touchée sans que nous n’ayons commis la moindre erreur. Une webcam peut être piratée et vous filmer à votre insu. On peut pirater votre ordinateur portable qui contient des informations professionnelles, etc. L’erreur est de faire confiance aux constructeurs de biens informatiques pour assurer notre sécurité. Savoir que l’on peut être manipulé, c’est déjà être moins manipulable !
Mais que faire pour se protéger ?
On doit apprendre à vivre avec son temps. De même que nous avons acquis pleins de réflexes pour nous protéger dans notre vie courante, nous devons en faire de même avec les technologies de l’information.
En premier lieu, il faut évaluer le niveau de risque. Puis il faut réduire ceux liés aux équipements (télévision, ordinateurs, etc.) en faisant régulièrement les mises à jour envoyées par les constructeurs et fournisseurs d’applications. Les utilisateurs peuvent également se prémunir en activant les pare-feux et autres anti-virus. Ensuite, il est urgent de devenir critique par rapport aux informations que nous recevons, notamment via les emails. Il est essentiel d’améliorer sa grille de lecture afin de comprendre quelle est la nature d’un lien internet.
Et si l’on transpose cela au monde de l’entreprise…
Et bien, elles devraient être capables de répondre aux questions suivantes : quelles sont les informations qui sont vitales pour elles ? Comment sont-elles protégées (technologiquement et juridiquement) ? Qui a accès à leurs données sensibles ? Ces dernières peuvent-elles sortir de l’entreprise et, si oui, comment (cloud, ordinateurs portables, applications, etc.) ? Quelles sont les mesures de sécurité pour contrôler les personnes qui entrent dans les bureaux en dehors des heures de travail ?
Et quant à leur présence sur le web, qui gère leur site, leur présence sur les réseaux sociaux ? Etc.
Le cas de TV5 Monde est à ce titre très parlant. Les pirates ont cherché à prendre possession de la distribution des programmes pour émettre leur propagande, par le biais de ce réseau qui représente une audience de 257 millions de foyers. On voit que personne n’est plus à l’abri.
Dans ce cas, il semblerait que l’attaque ait commencé par un email qui contenait un virus. Cette attaque était d’une violence extrême, car elle a obligé la chaîne à cesser toute diffusion. Ce qui était visé ici, c’était le réseau de distribution ; dans d’autres cas, les hackers s’en prendront à la base de données ou à des données très spécifiques afin de demander une rançon pour récupérer les données volées ou bloquées. Toute entreprise peut avoir un intérêt pour un concurrent, un groupe terroriste ou un État. Raison de plus pour acquérir des compétences en matière de sécurité informatique, de sécurité de l’information et en comportement numérique.
Penser à la maladie, c’est déjà se considérer un peu malade…
Erreur ! C’est la prévention qui permet d’éviter les catastrophes. Et c’est justement parce qu’il ne faut pas arriver au stade de la communication de crise qu’il faut tout préparer en amont.
Ce niveau de sécurité a un coût que peu d’agences sont prêtes à payer.
Pourtant il est essentiel que l’on forme le personnel. Une erreur peut finir par coûter très cher ! Or trop d’entreprises bougent seulement lorsqu’elles sont confrontées au problème. Nous avons une juridiction très laxiste, qui ne responsabilise pas le prestataire qui n’a pas sécurisé les données de son client… Résultat : personne ne se sent responsable.