Mythe en matière de cybersécurité : Votre première ligne de défense n’est pas votre équipe de sécurité informatique.

Honnêtement, quand vous entendez le terme « cybersécurité », qu'est-ce qui vous vient à l'esprit ?

Peut-être imaginez-vous une équipe d'experts ultra-concentrée, dans une pièce sombre, les yeux rivés sur des écrans affichant du texte vert, défendant l'entreprise contre de mystérieux pirates informatiques. On a tendance à les percevoir comme les gardiens d'une forteresse imprenable, tandis que nous, simples employés, serions de simples résidents vivant en sécurité derrière ces murs.

Cette image est rassurante, n'est-ce pas ? Mais elle est en réalité trompeuse et met nos entreprises en danger.

La vérité, c'est que les plus grandes failles de sécurité ne commencent pas par une attaque sophistiquée. Elles commencent par quelque chose d'ordinaire, quelque chose qui semble faire partie intégrante d'une journée de travail chargée :

Un courriel urgent : un employé du service financier reçoit un message très convaincant du « PDG » demandant un virement de fonds de dernière minute à un nouveau fournisseur. Il s'agit d'une attaque de phishing classique, également connue sous le nom d'arnaque au faux PDG. La seule ligne de défense n'est pas un pare-feu, mais un employé sceptique qui décide de vérifier la demande au préalable.

Un délai serré : L’équipe marketing, sous pression pour lancer un nouveau site web promotionnel, utilise un excellent plugin tiers, comme un plugin WordPress, pour accélérer le processus. À leur insu, ce plugin contient une faille de sécurité connue, offrant une porte ouverte aux attaques. Il ne s’agit pas ici de sabotage, mais d’une décision stratégique.

Un cheval de Troie numérique : L’expression « cheval de Troie » ne date pas d’hier ; elle provient d’une vieille histoire. Les chevaux de Troie ne tombaient pas sous le coup d’un siège ou de la force, mais en acceptant un « cadeau » apparemment inoffensif. Aujourd’hui, les attaques se dissimulent sous l’apparence d’un fichier PDF utile ou d’un logiciel gratuit qu’un employé télécharge involontairement sur notre réseau.

Ces problèmes ne sont pas seulement du ressort des spécialistes ; ils affectent toute l’entreprise. Compter sur une petite équipe d’experts pour déceler chaque faille revient à avoir le meilleur gardien du monde sans défenseurs sur le terrain. C’est une stratégie vouée à l’échec.

Le modèle de sécurité des urgences

Imaginez les urgences d'un hôpital. Les médecins et les infirmières y sont de véritables héros. Ce sont des experts brillants qui accomplissent des miracles en cas de crise : accident de voiture, maladie soudaine, blessure grave. Nous avons absolument besoin d'eux.

Mais vous n'iriez pas aux urgences pour un vaccin contre la grippe, un bilan de santé de routine ou des conseils diététiques.

Le problème, c'est que de nombreuses entreprises traitent aujourd'hui leur équipe de sécurité informatique comme un service d'urgences. Elles la perçoivent comme une équipe d'experts héroïques que l'on appelle une fois le mal fait. Or, la sécurité en entreprise ne repose pas sur la gestion de crise ; elle repose sur la prévention. Une entreprise qui dépend uniquement d'un service d'urgences est fondamentalement fragile.

Ce modèle est voué à l'échec car il est purement réactif. Un médecin urgentiste peut suturer une plaie, mais il ne peut pas remonter le temps pour empêcher une chute. De même, une équipe de sécurité peut aider à gérer les conséquences d'une attaque de phishing ayant compromis un compte, mais elle ne peut pas empêcher l'employé de cliquer sur le lien. Ils subissent constamment les conséquences des décisions prises par d'autres, à tous les niveaux de l'entreprise.

La véritable « santé organisationnelle » – et donc la cybersécurité – repose sur les habitudes et les choix quotidiens de chacun. C'est le système de « santé publique » de l'entreprise. C'est l'équipe financière qui pratique une bonne « hygiène numérique » en vérifiant les demandes de paiement, et l'équipe marketing qui choisit d'emblée des outils « sains » et sécurisés. C'est une culture où chacun se sent responsable de la sécurité de son service et de son environnement de travail.

Lorsque la prévention est la norme, les urgences restent réservées aux situations critiques, mais elles ne constituent plus l'unique dispositif de santé publique. Une entreprise qui ne vit pas dans un état de crise permanent est une entreprise qui peut véritablement prospérer.

Du plan d'urgence au plan de résilience : des solutions proactives

Alors, comment abandonner le modèle réactif des « urgences » ?

En adoptant une approche de gestion de la santé publique, et non celle d'un urgentiste. L'objectif est de créer un « plan de résilience » global pour l'entreprise, qui permette à chacun d'adopter les choix les plus sûrs, les plus naturels et les plus faciles. Il ne s'agit pas d'ajouter des règles, mais de transformer l'environnement de travail lui-même.

1. Faire en sorte que l'option la plus saine soit la plus accessible. Une cafétéria qui place les salades et les fruits frais en évidence vend davantage que celle qui les relègue au fond. Ce principe s'applique parfaitement à la sécurité. Nous devrions concevoir nos processus et outils internes comme notre propre « cafétéria numérique », afin que l'option la plus sûre soit aussi la plus simple.

Ce n'est pas qu'une simple théorie. À la fin des années 2000, Google a subi une cyberattaque sophistiquée, connue sous le nom d'« Opération Aurora » [1]. Cette attaque a démontré que même avec des mesures de sécurité robustes comme un VPN, la compromission de l'appareil d'un seul employé pouvait compromettre l'ensemble du système.

La solution de Google n'a pas consisté simplement à renforcer sa sécurité ; elle a été révolutionnaire. En réponse à l'attaque, ils ont créé ce qui allait devenir la première implémentation mondiale à grande échelle d'un réseau Zero Trust, baptisé en interne BeyondCorp. Dans ce modèle, ils ont décidé de ne faire confiance à personne par défaut, pas même aux employés du réseau. Chaque personne et chaque appareil devait être vérifié pour chaque action. Ce fut un changement radical, créant un environnement de travail plus sûr et sécurisé.

2. Instaurer une culture du « deuxième avis »

Avant toute intervention chirurgicale délicate, un bon médecin encourage son patient à consulter un autre médecin. Ce n'est pas un signe de faiblesse ou de manque de confiance ; c'est une preuve de rigueur pour garantir le meilleur résultat possible et éviter les erreurs individuelles. Cette même logique devrait faire partie intégrante de notre culture d'entreprise.

Et cela va bien au-delà de la simple relecture du code d'un collègue par un développeur :

Pour le service financier : Toute transaction financière importante devrait obligatoirement faire l'objet d'une deuxième approbation.

Pour le marketing : Toute campagne publicitaire majeure ou tout communiqué de presse devrait être examiné par le service juridique.

Pour les ressources humaines : [Le fragment de phrase suivant semble être distinct et sans rapport avec le sujet :] Cela devrait mener