Les organisations dépendent de plus en plus de la technologie pour leur bon fonctionnement et l’IT joue un rôle crucial dans la gestion d'une organisation efficiente et efficace. Mais en même temps, les risques liés aux technologies de l'information sont de plus en plus grands. La cybersécurité est essentielle pour garantir la confidentialité et l'intégrité de l’information au sein des organisations et pour s’assurer que les systèmes sont effectivement accessibles aux clients et aux utilisateurs internes.
Dans sa thèse de maîtrise à l’Antwerp Management School, Tommy Van de Wouwer s'est penché sur le facteur humain dans la cybersécurité. Impossible en effet d’ignorer le rôle des acteurs humains lorsqu'il s'agit de cybersécurité. « Je voulais surtout avoir une vision plus large de la question. Peu à peu, j'ai constaté que tout le monde adoptait à peu près la même approche s’agissant d’une étude sur le facteur humain dans la sécurité et que tout le monde arrivait plus ou moins aux mêmes conclusions. Bien sûr, les facteurs qui ont un impact sur la sécurité sont limités ! ", explique Van de Wouwer.
Les bonnes habitudes sont cruciales
La thèse confirme ce que Van de Wouwer, qui a occupé différents postes dans le secteur IT au cours de sa carrière, soupçonnait déjà : "Tous les facteurs sur lesquels j'ai enquêté ont un score élevé. Les différences entre eux sont assez minimes. Mais ce sont des choses comme la pratique quotidienne et le respect des politiques ou encore montrer l'exemple qui ont le plus fort impact sur la sécurité".
Van de Wouwer a également observé que l'impact de l'innovation n'est pas très élevé dans les organisations. « Cela ne m'a pas surpris. En tant que client, j'ai souvent constaté que les consultants et les fournisseurs parlent beaucoup d'innovation, car c'est ce qu'ils savent faire. Mais il faut commencer par l’essentiel. Il ne faut pas innover si les fondements de la sécurité ne sont pas bons. Bien sûr, ces fondements ne sont pas très excitants et ont peu de chance de susciter l’enthousiasme de vos clients ou de votre CEO. »
« Trop souvent cependant, on ne peut que déplorer les conséquences lorsque la sécurité de base n'est pas assurée. Pas une semaine ne s’écoule sans qu’un incident ne soit rapporté dans la presse : il y a eu les chemins de fer allemands, FitBit, le port de Zeebrugge... Ce sont souvent des problèmes de sécurité qui étaient assez faciles à prévenir, sans innovation. Mais les dommages causés à la réputation sont énormes. Et on n’en tient pas assez compte », souligne Van de Wouwer.
Matière à réflexion
Kristof Tuyteleers, responsable de la sécurité chez DNS Belgium, a été l'examinateur de cette thèse et a également encouragé les personnes de son réseau à remplir le questionnaire de Van de Wouwer. « Cette étude est très intéressante car à ce jour, peu de recherches ont été menées sur les facteurs de succès critiques », dit-il. « J'ai interprété et commenté les réponses et cela a été assez difficile, surtout lorsque les scores allaient à l'encontre de mes attentes ».
Pour Kristof, l’étude donne matière à réflexion. « Quand on voit dans cette étude comment certaines personnes, au plus haut niveau de la hiérarchie de l'entreprise, réfléchissent à la sécurité, il n’est guère étonnant que les organisations aient encore tant de problèmes pour gérer la cybersécurité. L’étude montre clairement comment les gens considèrent la cybersécurité et cela ne me fait pas toujours plaisir ».
La bonne nouvelle, c’est que cette étude peut être intéressante pour les entreprises et les aider à se poser les bonnes questions dans le domaine de la sécurité. « Les entreprises peuvent, par exemple, apprendre quelles sont les priorités à fixer, quelle est l'ampleur de l'impact négatif si elles ne sensibilisent pas leurs employés et quels sont les avantages si elles le font. La thèse de Tommy montre clairement que le fait de ne pas agir dans le domaine de la cybersécurité n'entraîne que peu de dommages supplémentaires - bien que le RGPD et la NIS Act induisent un revirement dans ce domaine – mais si vous agissez, le résultat est considérable. Cette thèse est vraiment un ouvrage que tous les responsables informatiques devraient lire », déclare Kristof.
Manque de sensibilisation et de connaissance
On ne peut déduire de cette thèse que le manque de connaissance ou de sensibilisation est à l'origine de nombreux problèmes de sécurité. « Pourtant, d'après mon expérience, c'est ce que je ressens. La connaissance et la prise de conscience sont extrêmement importantes, mais ensuite, tout le monde dans l'organisation, de la femme de ménage au CEO, doit être concerné. Si vous voyez quelque chose sur votre PC qui ne semble pas normal, vous devez avoir le réflexe de le signaler immédiatement », dit Van de Wouwer. « Les gens ne communiquent pas ou ne reçoivent pas de retour d'information lorsqu'ils le font. Or, vous devez faire savoir aux gens ce que vous allez faire de leur rapport, vous devez les récompenser et les impliquer. Si vous ne le faites pas, ils auront - à juste titre - le sentiment que leur rapport ne sert à rien. »
« Outre ce manque de sensibilisation, l'informatique et la sécurité dans de nombreuses entreprises sont perçues comme un coût et un obstacle aux opérations commerciales. Les entreprises et les technologies de l'information devraient travailler ensemble, mais ce n'est souvent pas le cas. » Van de Wouwer recommande de partager les connaissances, éventuellement même avec des collègues consultants. « On peut toujours être le premier à subir une attaque dans le domaine de la cybersécurité. Dans ce cas, pas de chance. Mais il n'y a aucune raison valable d’être la 500e personne à être confrontée au même incident de sécurité, alors que vous auriez pu facilement l'éviter en partageant vos connaissances".