Faire de l’humain le maillon fort de la cybersécurité. C’est avec cette ambition que le groupe ENL lance une campagne auprès de ses salariés pour l’adoption de bonnes pratiques en la matière.

  • Cybersécurité : ENL sensibilise et éduque ses équipes

    Cybersécurité : ENL sensibilise et éduque ses équipes

Le mois de juillet 2020 marque le début d’une campagne pour vulgariser la cybersécurité au sein d’ENL. Sous l’impulsion du département Gouvernance de l’entreprise, plusieurs activités seront à l’agenda. L’objectif de cette campagne est de sensibiliser chaque salarié à son rôle et à sa responsabilité individuelle. Il s'agit ici de minimiser le risque humain, qui est considéré comme l'un des maillons faibles de la cybersécurité, afin d'en faire un maillon fort.

Virginie Corneillet, Group Head of Governance and Legal Affairs d'ENL Corporate Services, explique : 

L’erreur humaine peut en partie être compensée par la technologie, comme les filtres antiphishing et antispam sur la messagerie, qui sera utilisée pour limiter les risques potentiels. Toutefois, la technologie et les équipements ne sont pas absolus et ne permettent pas de prévenir l’ensemble des menaces, il faut donc s’en remettre aux utilisateurs. C’est en ce sens qu’il est nécessaire de leur faire connaître et leur rappeler régulièrement les bonnes pratiques. Ce sont des réflexes souvent très simples, mais pourtant très efficaces, que nous devons tous adopter. Nous les avons regroupés dans notre ENL Acceptable Usage Policy.

Ce document de six pages résume parfaitement les attentes d’ENL en matière de cybersécurité et les bons comportements à adopter par chaque salarié. L’ENL Acceptable Usage Policy fait partie des IT Security Policies & Procedures qui ont été développées avec le concours du Chief Information Security Officer afin de doter chacune des entreprises du groupe d’un arsenal adapté à ses ambitions. Antish Beedassee, Governance, Risk and Compliance Manager d’ENL Corporate Services, poursuit : 

En matière de cybersécurité, on fait face à des menaces émergentes et en constante évolution. Avec la transformation digitale, la sécurité informatique des sociétés prend les devants de la scène. Les innovations technologiques, mais aussi la réglementation de plus en plus contraignante, nous poussent à nous améliorer sans cesse.

La cybersécurité se définit comme l’ensemble des mesures de protection, techniques et non techniques, qui permettent à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité, la confidentialité ou les preuves liées (identité, authenticité, traçabilité) aux données stockées, traitées ou transmises. Les cyberattaques se sont fortement intensifiées ces dernières années. Des groupes organisés, mais aussi des États, contribuent directement à cette évolution en diffusant volontairement ou involontairement des outils qui peuvent être étudiés, modifiés, réutilisés et combinés.

Souvent réduite à sa composante technique, il est crucial d’appréhender la cybersécurité comme une démarche globale. Elle ne dépend pas seulement de mesures techniques, mais pour une part égale de mesures organisationnelles : sensibilisation, formation, procédures, organisation, politique… Il s’agit d’une approche réfléchie qui, en fonction des enjeux, permet de trouver le juste équilibre entre protection et contrainte. Il faut garder à l’esprit que la sécurité absolue n’existe pas et se préparer avec soin aux conséquences d’une attaque réussie. Quelques grands principes, qui se retrouvent dans les IT Security Policies & Procedures d'ENL, guident toute cette démarche en matière de cybersécurité. On peut notamment citer :

  • la sécurité à la source : il s’agit de s’assurer que, dès les premières étapes de la réflexion sur un nouveau projet, la cybersécurité est déjà au cœur des préoccupations,
  • la défense en profondeur : celle-ci repose sur la superposition de couches de sécurité permettant, selon la détermination et les moyens des attaquants, de les dissuader, ou au moins de ralentir leur progression jusqu’aux zones les plus critiques, et
  • la cyber-résilience : la capacité d’une organisation à minimiser les impacts d’une attaque sur son activité nécessite une organisation de l’activité qui permet d’assurer la continuité et le retour à un fonctionnement nominal après une attaque.

Soyons vigilants : l’insécurité numérique va perdurer et même progresser. Non seulement parce que notre surface d’exposition progresse de façon exponentielle, mais aussi parce que les attaquants et cybercriminels n’ont aucune raison d’arrêter des actions qui n’ont jamais été aussi profitables… Nul besoin, en effet, de cyber-armes sophistiquées et coûteuses : il suffit de faire simple et efficace, comme en témoignent les attaques par ransomware.

Face à ces menaces, la priorité est donc plus que jamais d’améliorer de façon encore plus résolue non seulement la résilience technique de nos réseaux et systèmes d’information, mais aussi la résilience humaine en agissant sur nos intelligences « naturelles ».