Dans cette nouvelle série d’articles, destinée aux dirigeants, nous avons souhaité apporter un éclairage sur le rôle du dirigeant et celui de sa direction dans la gouvernance d’une politique de cybersécurité.
Cybersécurité, dirigeants à vous de jouer
Penser que seul le département informatique peut superviser la sécurité de l’entreprise serait une gageure. La direction, et en particulier le dirigeant, doit être parties prenantes autant dans l’élaboration de la stratégie cybersécurité que dans son adoption par l’ensemble des collaborateurs. Il est donc primordial que le chef d’entreprise soit suffisamment sensibilisé aux risques que peut encourir son entreprise en cas de cyberattaques (altération de la confiance de ses partenaires, fortes pertes financières, voire dépôt de bilan…), mais également qu’il sache transmettre les bons messages et donner l’exemple.
Impliquez-vous !
Les études relatives à la cybersécurité dans le contexte des TPE/PME sont nombreuses, et toutes affichent le même constat : les entreprises françaises ne sont pas suffisamment préparées face à la cybermenace qui pèse sur elles ; les chiffres sont là pour le prouver :
Selon l’ANSSI, le nombre d’attaques par rançongiciels a été multiplié par 4 entre 2019 et 2020, et dans une étude publiée par le CESIN1, 57% des dirigeants interrogés ont déclaré avoir connu au moins une cyberattaque la même année, et pour 58%, ces attaques ont eu un impact sur leur business, entraînant le plus souvent une perturbation de la production (27%) ! La cybermenace n’est plus un enjeu à prendre à la légère pour les dirigeants, les risques pour leur survie sont énormes (2 PME sur 3 ayant subi une cyberattaque déposent le bilan sous 6 mois).
La cybersécurité est devenue un paramètre stratégique à considérer au même titre que la stratégie commerciale ; d’elles dépendent la bonne santé de l’entreprise. Et, comme pour tout dossier relevant du bon fonctionnement d’une organisation, l’implication du dirigeant est indispensable. Celui-ci doit, en effet, être en première ligne pour mener la bataille contre les cyberattaquants.
Pour mener à bien ce rôle de leader « cybersécurité », le dirigeant doit s’informer sur les risques et les actions à instaurer au sein des TPE/PME. Nous recommandons la lecture du dernier rapport d’information relatif à la cybersécurité des entreprises publié en juin 2021 par le Sénat (http://www.senat.fr/rap/r20-678/r20-6781.pdf – http://www.senat.fr/rap/r20-678/r20-678-syn.pdf), ainsi que du guide édité par l’ANSSI sur les bonnes pratiques à appliquer (https://www.ssi.gouv.fr/actualite/petites-et-moyennes-entreprises-decouvrez-le-guide-des-bonnes-pratiques-de-linformatique-adapte-a-vos-besoins/).
Développez une culture cybersécurité
Fédérer ces collaborateurs dans la défense numérique de l’entreprise suppose d’élaborer un plan de communication comprenant différents leviers :
- Informer sur les risques, et ainsi créer des réflexes de cybersécurité (que les salariés pourront – devront – d’ailleurs appliquer dans leur sphère personnelle) : ne pas cliquer sur n’importe quelle pièce jointe, choisir des mots de passe forts…
- Communiquer sur les outils mis en place en instaurant des séances de formation pour les aider à les utiliser
- Sensibiliser via des ateliers ou des simulations d’hameçonnage
- Challenger les collaborateurs, par exemple, sur le niveau de sécurité de leurs mots de passe via des solutions de gestion des mots de passe
Mais, faire émerger les bons réflexes en matière de cybersécurité nécessite l’adhésion de l’ensemble des collaborateurs, qui ne sera forte que si la direction s’implique en donnant l’exemple. La faille humaine ne peut venir ni du dirigeant, ni de celle de l’équipe de direction ; ils se doivent, en qualité de top managers, d’être irréprochables, et donc d’appliquer les règles de cybersécurité qu’ils auront eux-mêmes décidées.
N’oublions pas que le maillon faible de la chaine de défense des entreprises est l’humain, qu’il soit salarié ou dirigeant… La cybersécurité est l’affaire de tous !
Metsys, acteur incontournable de la cybersécurité, s’appuie sur la mise en œuvre de moyens informatiques et humains pour vous aider à relever vos défis en matière de sécurité informatique.
