Et si les collaborateurs devenaient le maillon fort de la sécurité informatique?
Face aux attaques cybercriminelles de plus en plus ingénieuses et imprévisibles, les responsables de l’Institut de lutte contre la criminalité économique, basé à Neuchâtel, exhortent les entreprises à former leurs collaborateurs. Les conseils d’administration doivent également prendre leurs responsabilités en la matière.
Isabelle Augsburger-Bucheli et Sébastien Jaquier, respectivement doyenne et responsable adjoint de l’Institut de lutte contre la criminalité économique, ont transmis leur message de prévention lors d’une conférence à la BCN à La Chaux-de-Fonds.
La cybercriminalité, non, n’arrive pas qu’aux autres. Et oui, il vaut mieux la prévenir, les dégâts pouvant s’avérer être très importants. De plus de 600 milliards de dollars au niveau mondial (et ces estimations datent un peu) à quelque 5 millions de francs pour Meier Tobler, victime d’une cyberattaque fin juillet dernier. Le spécialiste des techniques du bâtiment alémanique a vu son infrastructure informatique totalement paralysée, l’obligeant à stopper net ses activités pendant plusieurs jours.
Lors d’une rencontre avec une vingtaine d’entrepreneurs à la succursale de la BCN à La Chaux-de-Fonds la semaine dernière, Isabelle Augsburger-Bucheli et Sébastien Jaquier, respectivement doyenne et responsable adjoint de l’Institut de lutte contre la criminalité économique (ILCE) à la Haute école de gestion Arc, ont martelé ce message de prévention. Avec moult exemples et conseils en sus.
«Arrêtez de déléguer»
«Deux entreprises sur trois attaquées subissent un arrêt dans leurs opérations», relève la doyenne. Avec la digitalisation galopante de toutes les activités, y compris industrielles, une prise de conscience est nécessaire. «Et elle commence par les conseils d’administration, qui ne doivent plus déléguer les yeux fermés la sécurité informatique, mais au contraire, prendre leur responsabilité en la matière», estime Isabelle Augsburger-Bucheli, également administratrice de sociétés.
Scénario plausible
La typologie des attaques est très variée, du Ransomware (qui vise à rendre les données inaccessibles) à l’hameçonnage (permettant de récolter des données confidentielles) à toutes les manœuvres d’ingénierie sociale. Celle dite du «président» prête à sourire car souvent, les sommes demandées – en se faisant par exemple passer pour le directeur général auprès d’un collaborateur du service financier – sont exorbitantes. «Mais ne croyez pas que la naïveté de la société est en jeu. Les malfrats sont incroyablement renseignés sur la direction, l’activité, les fournisseurs, etc., et élaborent un scénario tout à fait plausible. Personne n’est à l’abri», insiste Sébastien Jaquier. Une entreprise chaux-de-fonnière a d’ailleurs récemment subi des dommages avec cette approche. Si les attaques sont variées, l’être humain joue, lui, un rôle central.
Palette de formations
Souvent décrite comme le maillon faible de la chaîne de la sécurité informatique, Isabelle Augsburger-Bucheli voit la personne plutôt comme un maillon fort. Pour autant que la prévention soit davantage généralisée dans les entreprises et que le personnel ait des clés pour comprendre et lutter contre cette criminalité.
La formation continue constitue un des piliers de l’activité de l’ILCE, qui exécute également des mandats privés et des projets de recherche en lien avec la criminalité économique. «La menace étant diffuse, il faut donner des outils aux humains pour réduire les erreurs et les abus», estiment les deux spécialistes.
La recette de base? Connaître son environnement informatique, ne pas négliger les mesures techniques de protection, adapter les processus de travail avec la digitalisation et enfin, former les individus. «Le risque est présent, mais chaque entrepreneur doit essayer de l’éviter, le réduire, l’accepter ou le transférer», conclut Sébastien Jaquier.
Pour en savoir plus sur les activités de l’Institut :
www.ilce.ch