Facebook EmaiInACirclel
Stratégie

CyberSécurité : Pas comme ça !

PentaGuy
PentaGuy
Blogger

Ce jeudi 7 avril 2016, l’ordre des experts-comptables du Loiret organisait une rencontre d’experts sur le thème de la cybersécurité. Même si j’anime avec le cluster #EDENCyber ce type de conférence, j’étais curieux de voir quelle approche allait être suivie. J’étais d’autant plus curieux que j’ai eu connaissance de l’événement par la diffusion d’un spot sur la radio régionale et par de l’affichage dans Orléans. J’étais donc prêt pour un événement exceptionnel.

Cybersecurite experts comptables

Phishing, le paiement sécurisé, les logiciels malveillants et le vol de mot de passe… Comment faire comprendre à des dirigeants ou à du grand public ce qu’il faut faire et ne pas faire ?

Une catastrophe

L’intervention était assurée par un journaliste qui gérait l’animation et la salle ainsi que deux gendarmes de l’escadron d’Orléans dans le rôle des experts techniques.
Après quelques chiffres sur la cybersécurité (nombre d’attaques, impact financier, …), l’adjudant a vite voulu être pragmatique en énumérant des pratiques qu’il faut proscrire.

Je vous lâche un exemple texto le plus représentatif de la présentation : « Ne pas ouvrir un courriel dont on ne connaît pas l’expéditeur ». Comment convaincre avec une telle approche ? Oui, et re-oui, il faut être vigilant sur les courriels dont on doute de la provenance. Mais l’objectif n’est pas l’interdiction. La déformation du « Gendarme et du voleur » est très perssistante !

Pour continuer à être démonstratif, ils ont utilisé un support très bien fait par le CIGREF (encore fallait-il savoir qui est le #CIGREF – connaissance de l’expéditeur ? – Club Informatique des Grandes Entreprises Françaises). Ce sont des vidéos courtes, simples à comprendre et de qualité. Je vous encourage à les regarder. Cela traite du phishing, le paiement sécurisé, les logiciels malveillants et le vol de mot de passe.

Une approche positive

Lors de nos présentations #EDENCyber (près de 200 personnes atteintes à ce jour en 5 mois), nous avons résolument choisi d’avoir une approche positive, pragmatique et sans bisounours-ïte aïgue.

La valeur d’une énumération de bonnes pratiques dans un environnement où le public n’est pas prêt à recevoir le message est très limitée.

Comment faire comprendre à des dirigeants ou à du grand public ce qu’il faut faire et ne pas faire ? Ce n’est pas chose simple. Pour une cible de dirigeant, nous avons choisi de leur démontrer qu’il y avait des opportunités dans cette contrainte; de les sensibiliser au fait qu’il faut former régulièrement les collaborateurs aux bonnes pratiques; de leur faire comprendre que la cybersécurité n’est pas un risque technique mais un risque économique. ll faut sortir des discours d’experts qui tétanise ou alors verrouille les écoutilles.

La question qui dérange

Sur la fin de la présentation, j’ai demandé aux intervenants s’ils pensaient que la salle n’était pas remplie de schizophrènes qui auront oubliés en sortant tout ce qui aura été dit. Réponse : « Si un point est compris, on aura gagné ! ». L’objectif n’est pas assez ambitieux !

Particuliers, professionnels, on doit comprendre que notre monde change, que les cybercriminels s’industrialisent. Si l’information collectée ne sert à rien aujourd’hui, elle peut servir demain.

Attention, je n’ai rien contre ces intervenants. Ils ont sérieusement préparé leur intervention, on n’était pas dans le bricolage. Mais les forces de l’ordre sont-elles les plus à même à sensibiliser la population sur les bonnes pratiques d’un monde gigantesque ?
Dans mon approche constructive, j’ai proposé aux intervenants et au conseil de l’ordre que l’on puisse échanger pour identifier une dynamique commune.

Mais que faire ?

Il est simple pour les entreprises de prendre conscience des risques par un diagnostic et la formation de ses collaborateurs. Pour une population plus jeune, la formation doit commencer très tôt.

Entreprises, dirigeants, Pentalog Institute organise des diagnostics de sécurité de votre environnement. Les recommandations fournies à la suite de cette opération vous permettront de disposer d’un plan d’action pour améliorer votre niveau de maturité.


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *