Julien ROITMAN
Président de la commission cyber-stratégie de l’Union-IHEDN, coordinateur du livre blanc :
« Cyber : Une question de souveraineté / La quatrième dimension de l’espace national »
Le premier point, c’est qu’il reste encore nécessaire de convaincre les gens, notamment les patrons de PME de la réalité de la menace. Ceux-ci ont bien vu dans les médias qu’il y avait des attaques de ransomwares, mais ils n’ont souvent pas pris conscience de l’ampleur des attaques depuis l’épisode du COVID et surtout des conséquences dévastatrices de celles-ci. Les conséquences sont énormes en termes d’exploitation, avec des arrêts de production, des activités arrêtées du fait d’attaques. Les conséquences sont aussi dramatiques en termes d’image, avec des clients qui perdent confiance et se détournent de l’entreprise. Il est indispensable de sensibiliser tout le personnel avec une charte informatique qui, même si elle est courte doit définir quelques règles simples que tout le monde doit suivre. Il faut aussi établir une check-list, une liste d’actions à mener et de contacts à solliciter en cas d’incident afin de ne pas être pris au dépourvu si l’entreprise est attaquée.
Avec les mesures de confinement qui ont été prises sans préavis, les entreprises ont dû prendre des mesures d’urgence et parfois tolérer des méthodes de travail peu sûres. Il faut corriger cela et la seule méthode est de bien expliquer à chaque collaborateur ce qu’il a droit de faire, ce qu’il ne doit pas faire. Par exemple, expliquer aux collaborateurs en télétravail qu’ils ne doivent utiliser que l’ordinateur de l’entreprise pour travailler et pas un autre, définir des règles claires vis-à-vis des mots de passe, etc.
Bonnes pratiques pour PME et TPE
On ne peut apprendre la cybersécurité en 24 heures et c’est la raison pour laquelle je pense qu’il est indispensable de faire un point régulier avec l’ensemble du personnel, une visioconférence chaque mois ou tous les deux mois lors de laquelle on va rappeler l’ensemble des règles cyber qui s’appliquent à tous mais aussi faire remonter du personnel les éventuels problèmes rencontrés et de possibles incidents de sécurité.
L’important est vraiment de proposer aux PME et TPE des bonnes pratiques simples et efficaces à appliquer. Il existe de nombreuses formations gratuites pour apprendre les bases en cybersécurité, il y a aussi des MOOC que chacun peut suivre. D’autre part, l’ANSSI, la CNIL ou encore le CNAM ont produit beaucoup de contenus sur la question, mais je pense qu’il est maintenant indispensable que chacun prenne aujourd’hui son bâton de pèlerin et aille au contact des PME. Il faut solliciter chaque fédération professionnelle pour éveiller chaque entreprise à ce danger, il faut aller au niveau le plus local pour toucher chaque patron pour avoir un impact réel sur le terrain.
Nous avons entrepris une campagne pour mobiliser les 10 000 auditeurs qui sont passés par l’IHEDN (Institut des hautes études de défense nationale) afin de délivrer ce message au plus près des PME/PMI, mais aussi toutes les petites structures territoriales comme les Mairies, des petits hôpitaux qui sont des cibles fragiles face aux attaquants.
Si la crise du COVID a aggravé les choses, il s’agit d’un effort de longue haleine qui va certainement devoir se poursuivre pendant plusieurs années avant que la composante du risque Cyber ne soit assimilée par tous.
