D’innombrables solutions contre les cyberattaques sont mises en place en entreprise et au sein des institutions publiques. Toutefois, ces alternatives restent vaines à cause de l’apparition des différentes brèches sur la sécurité. Qui sont les acteurs principaux concernés par ce blocage en matière de sécurité des systèmes d’information ? Les utilisateurs, les métiers, la DSI et la direction. Si ces différents intervenants sont pour la mise en œuvre de la sécurité, aucun d’eux ne veut faire de concession.
La sécurité est un mot d’ordre !
La sécurité reste un critère secondaire pour ces 4 acteurs alors que le nombre d’incidents ne cesse de croître. Elle va au-delà de la technique, car l’humain joue un rôle central. Elle ne doit pas rester un domaine d’experts. Elle est l’affaire de tous et doit ainsi faire l’objet de la préoccupation de tous les responsables. Malgré qu’elle soit une contrainte coûteuse, elle devra se trouver parmi les priorités, étant un véritable investissement, un point positif supplémentaire pour une entreprise.
Compréhension insuffisante des enjeux
Ce manque de compréhension est lié à un problème d’éducation et à une difficulté de formation. En effet, les dirigeants n’ont pas tous une culture de la sécurité. On note des évolutions vers le poste de RSSI ou de DSI sans formation complémentaire adéquate. Ces différents facteurs entraînent de nombreux risques pour l’entreprise ou l’organisation : perte d’informations essentielles, l’arrêt de production, détérioration de la réputation, etc.
Ils sont aussi à la source de nombreux risques pour les États notamment en ne citant que la perte de crédibilité et la divulgation d’informations sensibles pouvant causer des conflits avec d’autres États.
Implication nécessaire de la direction
Rien ne peut être réalisé sans l’approbation de l’exécutif. La dynamique sécurité viendra de la direction. Le chef d’entreprise doit être conscient des enjeux de la sécurité pour l’avenir de son établissement. Investir seulement dans le cœur du métier ne suffit plus. Il faut être conscient des risques de cyberattaque touchant l’organisation.
Le dirigeant doit motiver son RSSI ou ses administrateurs pour faire appliquer une meilleure politique de sécurité, maîtriser au mieux leurs systèmes et responsabiliser son équipe en désignant un responsable de la coordination. Ce dernier s’occupera de la répartition des tâches et de la réaction en cas d’attaque avérée. Il mettra également des ressources à disposition, autoriser une expertise juridique et porter plainte si nécessaire.
De même, il est aussi important de faire des choix éclairés en prenant en compte la sécurité et de se poser des questions percutantes de type ‘‘quels sont aujourd’hui les matériels ou logiciels de confiance ? ’’ ou ’’quels sont les organismes de confiance ? ’’
Pour conclure, une évolution des besoins, des techniques, des habitudes et un accroissement des obligations de sécurité (en compétence et en professionnalisme) se font sentir. Un périmètre d’attaque et d’accident plus étendu, mais peu nouveau est installé. Une prise en compte permanente des enjeux de la sécurité et de la protection des données par tous, surtout par les chefs d’entreprise, est ainsi nécessaire.
