Nous sommes montés au créneau avec Bart Tommelein quand il s’agissait des paramètres de respect de la vie privée de Facebook. Nous nous insurgeons contre la vente de tasses de café avec des photos d’enfants récoltées sur Pinterest. Nous voulons être protégés et nous ne voulons pas que des organisations véreuses puissent diffuser ou exploiter nos données personnelles. Dans le même temps, force est de reconnaître que rares sont ceux qui se donnent la peine de lire les contrats et de maîtriser parfaitement les paramètres de respect de la vie privée. Pour beaucoup, il semble que la protection en ligne – et peut-être aussi le respect des données à caractère personnel – reste un problème qui doit être résolu par des instances supérieures. Le même scénario est de mise au sein des entreprises.
Les cybercriminels s’efforcent de plus en plus souvent de concentre leurs attaques sur les systèmes d’entreprise en passant par les utilisateurs finaux. C’est ce qui ressort du rapport annuel de Cisco sur la sécurisation intitulé Annual Security Report (ASR). Comme les navigateurs et les lecteurs de PDF ne sont pas suffisamment mis à jour/niveau, un certain nombre de vulnérabilités connues ne sont pas résolues. Nous remarquons que les pirates informatiques visent de plus en plus souvent l’utilisateur final, comme le confirme d’ailleurs le glissement des attaques ciblées sur les serveurs et les systèmes d’exploitation vers des attaques ayant navigateurs et messageries en ligne de mire. Les attaques personnelles ne sont souvent qu’une tête de pont avant une effraction épique de grande envergure.
L’EMEAR Security Insight Report de Cisco met également en garde contre le fait que toute cyberattaque cible le défaut de la cuirasse du système pour y entrer. Une fois à l’intérieur, toutes les données sont à portée de main : les données financières de votre entreprise, mais aussi les photos Facebook de vos collègues. Si nous voulons garantir le respect de nos données personnelles, nous devons commencer par nous protéger contre toute attaque.
Pas seulement destinée aux responsables IT
La sécurité personnelle ne peut se confiner à un post-it apposé sur une webcam ! S’il est vrai que votre ordinateur personnel contient probablement moins d’éléments que le pirate moyen recherche, cet ordinateur n’en reste pas moins un sésame potentiel vers toute grande entreprise à laquelle vous étiez un jour connecté. L’« hygiène personnelle en ligne » jouera un rôle sans cesse plus important dans toute culture d’entreprise.
L’EMEAR Security Insight Report de Cisco indique que 58% des travailleurs pensent que leur entreprise possède une politique en matière de sécurité IT, mais seulement 1 travailleur sur 14 a une idée de son contenu. Un quart de tous les travailleurs va même jusqu’à ignorer l’existence d’une telle politique. Un peu plus de la moitié, soit 55%, utilise le même mot de passe pour différentes applications et pas moins de 62% ne prennent pas conscience que leurs paramètres personnels constituent aussi un danger pour leurs collègues et leur employeur. C’est ce que nous appelons la menace qui vient de l’intérieur.
Ne soyez pas le maillon faible !
Il convient donc d’éliminer le plus grand nombre possible de maillons faibles. Cela s’applique non seulement aux collaborateurs mais aussi aux chefs d’entreprise. Il importe d’informer les travailleurs des risques et de leur apprendre à gérer correctement leurs paramètres de protection des données à caractère personnel sur les médias sociaux et à éviter tout comportement à risque sur les réseaux publics. Les mises à jour logicielles jouent un rôle déterminant dans ce cadre. Veuillez donc à ce que chaque personne connaisse et utilise la version la plus récente et la plus sûre.
Selon l’ASR de Cisco, il semble que seulement 10 pour cent des utilisateurs d’Internet Explorer ont déjà installé la dernière version de ce navigateur. L’écrasante majorité s’expose donc à des attaques. Dans le cas de Google Chrome, 64 pour cent utilisent la dernière version, surtout grâce à un système de mise à jour automatique. Reste qu’un tiers des utilisateurs ne l’ont pas mis à jour…
Ce sont surtout les extensions des navigateurs comme les plugins graphiques Adobe Flash et Microsoft Silverlight qui constituent les cibles des pirates. Nombreux sont les utilisateurs à négliger les mises à jour d’Adobe Flash ou de leurs lecteurs PDF. Une telle attaque permet pourtant aux pirates d’accéder aux données de connexion de l’ordinateur et sans doute aussi au réseau d’entreprise du collaborateur.
En l’absence d’une sécurisation optimale de chaque appareil par chaque collaborateur, l’entreprise joue à la roulette russe avec sa sécurité informatique. L’information et la formation relatives à ce thème sont plus importantes que jamais. Élaborez une politique et vérifiez-en le respect. À l’instar de PricewaterhouseCoopers nous croyons en un avenir où les entreprises les plus fortes pourront s’adapter et se protéger dans ce monde numérique.