Social: Proposé par éditeur actualisé le 25 nov. 2019
Il faut cesser de considérer les cyber-risques comme inexorables, inévitables et qu’il est temps d’envisager que la contamination d'un PC, puis d’un réseau tout entier, soit dû au comportement fautif de l'utilisateur, souvent, toujours, le maillon faible de la chaine de sécurité.
Déjà signalé ici, et ainsi qu’il est possible de le lire dans cet article de theverge à propos du lancement de Google Stadia en novembre 2019,
les logiciels, à leurs sorties sont imparfaits ou mal aboutis, renferment de multiples failles de sécurité dont la correction dépend de la bonne volonté des éditeurs, comme vous pouvez le voir dans l'alerte de sécurité du CERT-FR ci-dessous.
Telle est la triste et réelle situation que l’industrie du logiciel propose aux entreprises. Ces malfaçons n’avaient que peu d’importances au temps de l’informatique non-connecté, avant Internet. Aujourd’hui, le monde du numérique doit faire face à de multiples menaces de sécurité auxquelles il est encore possible de répondre efficacement en menant une vraie politique de prévention des risques numériques comme l’entreprise à l’obligation de le faire en matière de santé et de sécurité au travail.
Si la formation est nécessaire et constitue une étape de la prévention des cyber-risques il faut développer une politique complète de protection des données en combinant :
Organiser des inspections régulières des PC non seulement à des fins de prévention mais aussi pour détecter les usages inappropriés des matériels et logiciels ou d'Internet qui sont, potentiellement, des vecteurs de contamination.
La foudre ne tombe pas par hasard sur un paratonnerre, elle y est attirée. Ici, le paratonnerre, c'est le comportement du salarié.
Le comportement irresponsable d'un seul salarié peut avoir des incidences multiples sur la vie ou la survie de l’entreprise, comme l'arrêt de production, la perte de données financières interdisant l’émission et l’envoi de factures ou le suivi des règlements clients épuisant ainsi la trésorerie de l’entreprise et ne lui permettant plus d'honorer ses propres factures, la divulgation de données confidentielles ou à caractère personnel. Sans compter les coûts liés au remplacement des matériels et logiciels ou les frais de redémarrage.
A condition d’avoir une politique de sensibilisation des salariés pour assurer la sécurité numérique de l’entreprise, il pourra être envisagé, en tirant les conséquences du comportement fautif d'un salarié, une sanction disciplinaire, à quantifier selon l'importance de la faute et des incidences sur la vie de l'entreprise.
Cela fait, aussi, partie de la réflexion générale à mener dans la lutte contre les cyber-risques, menaces grandissantes avec l'évolution de la dématérialisation et de l'usage croissant du Cloud.
Dans les TPE/PME n'utilisant pas de logiciel de type SAAS, il est possible de ne permettre l'accès à Internet et aux messageries externes que depuis un seul poste dans l'entreprise, isolé en cas de réseau interne (intranet).
Commentaire : Internet est utile, mais pas indispensable 24 h/24, 7 j/7. Plutôt que de se laisser dominer par l'outil apprenons à le maîtriser.
Lien utile: Vous pourriez vous rendre sur le MOOC de l’ANSSI pour vous initier à la cyber sécurité, approfondir vos connaissances, et ainsi agir efficacement sur la protection de vos outils numériques. Ce dispositif est accessible gratuitement jusqu’au mois d’avril 2021