Cyberattaques: les salariés pointent la responsabilité de leurs dirigeants

La sécurité informatique est devenue un enjeu mondial aussi bien pour les États que pour les entreprises. Les attaques coûteraient 445 milliards d’euros chaque année (Rapport Allianz Global Corporate), en plus de déstabiliser en profondeur les entreprises. Pourtant, malgré les coûts et les risques, ces menaces ne semblent pas inquiéter plus que ça les dirigeants français.

Selon une étude de VMWare, un spécialiste mondial du cloud et de la mobilité d’entreprise, ils ne seraient que 11% à en faire une priorité dans leur stratégie et leurs investissements. Les Français n’ont pas vraiment à envier les autres puisque cette tendance est également constatée au niveau européen ou 8% des dirigeants ne font pas de la sécurité une priorité.

Pire, plus d’un tiers des dirigeants sont convaincus de subir une attaque dans les trois prochains mois. "Ils deviennent fatalistes", constate Marc Frentzel, CTO VMWare pour l’Europe du Sud.

Ouvrir la culture au-delà de la sécurité informatique

Ce comportement est de plus en plus mal perçu par les salariés, qu’ils soient concernés ou non par la sécurité. Toujours selon VMWare, 21% des salariés et 29% des responsables informatiques et de la sécurité estiment que leur patron "doit être tenu responsable en cas de violation majeure de données".

Pour Marc Frentzel, si cette perception peut se comprendre, elle n’est pas tout à fait juste. "Certes, beaucoup de dirigeants ne prennent pas la pleine mesure des risques qu’ils encourent, mais le problème est plus complexe. La nature des attaques a changé et il n’est pas suffisant de se contenter d’une protection par un pare-feu ou des antivirus ou d’imposer des mots de passe compliqués. Il faut dépasser la sécurité informatique pour appréhender les enjeux du numérique avec lesquels la menace n’est plus seulement à l’extérieur de l’entreprise."

En effet, l’un des points délicats repose sur les appareils numériques (smartphones, tablettes ou PC portables) des salariés et des clients, qui se connectent aux réseaux sans être totalement sécurisés. "Avec le BYOD (un concept qui propose aux salariés de connecter leurs appareils personnels au réseau de l'entreprise, NDLR), les entreprises ont voulu s’ouvrir et créer des ambiances 2.0. C’est bien, si les appareils mobiles sont vraiment sécurisés", rappelle Marc Frentzel.

Les responsables ne disent pas tout à leurs dirigeants

Mais au-delà de ces usages, le spécialiste pointe des comportements numériques risqués à l’intérieur même des entreprises. "20% des salariés se disent prêts à enfreindre les règles de sécurité non pour se divertir, mais pour mener à bien la mission qui leur est confiée". Trop de sécurité nuit-elle à la sécurité? "Pas vraiment, car aujourd'hui en plus des outils de protection, il faut aussi informer, former et établir des procédures pour accéder aux données".

L’étude VMWare révèle également une réalité étonnante: 25% des responsables informatiques admettent ne pas informer leurs dirigeants en cas d’incident de ce type. "Ce manque de transparence prive donc les dirigeants, considérés comme principaux responsables, d’une visibilité réelle sur les risques que représentent les fuites de données pour leur entreprise."

En 2015, l'Anssi (Agence nationale de la sécurité des systèmes d’information) a recensé une vingtaine de cyberattaques d'envergure qui ont touché les fleurons de l'industrie française. Selon Guillaume Poupard, directeur de l'agence, il s'agit "souvent de gros industriels" des secteurs stratégiques: énergie, transports, industrie, télécoms, finance et aérospatiale. Les médias font également partie des cibles comme le montre l'attaque de TV5 Monde en avril 2015 qui aura coûté plus d'une dizaine de millions d'euros.

https://twitter.com/PascalSamama Pascal Samama Journaliste BFM Éco