«Sur internet, je reste en alerte». Une websérie de quatre vidéos réalisées par l’agence W, via sa filiale Windsor, entreprendra à partir du 1er octobre d’initier les internautes aux bonnes pratiques de sécurisation de leurs données. Le Crédit agricole, Axa, Capgemini, Société générale et Orange se sont associées à cette initiative et diffuseront sur leurs sites respectifs cette campagne virale. Une attaque informatique peut-elle détruire une entreprise? «Les cas de Target ou de Sony ont démontré que le risque de perdre la confiance des clients est réel», estime Tanguy de Goatpont, directeur général de Kaspersky France, éditeur de logiciels de sécurité. Le 8 avril, chez TV5 Monde, c’est l’infrastructure physique qui a été dévastée et c’est seulement fin août que les postes de travail individuels ont pu être de nouveau connectés progressivement à Internet. «Le niveau de sécurité est faible dans les médias face à des attaquants de haut niveau, même si les médias payants, comme Canal+, sont plus aguerris», constate sans détour Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi).
«Avant, la charte informatique était vue comme un besoin de l’entreprise auquel il fallait amener les salariés, raconte Thomas Derobe, secrétaire général de TV5 Monde. Le risque était difficile à concrétiser et il y avait une forte hétérogénéité dans la prise de conscience. Après le 8 avril, nous avons tous compris que la protection technique ne suffisait pas. Il faut aussi des règles d’utilisation.»
Aller chercher la motivation personnelle
La chaîne a choisi de responsabiliser les salariés sans les culpabiliser: «Laisser entendre que la faille est entre le fauteuil et le clavier peut devenir clivant et culpabilisant, ajoute Thomas Derobe. Nous avons cherché à faire comprendre que c’est aussi une question personnelle et que la richesse à protéger est précisément entre le fauteuil et le clavier car les attaques informatiques sont aussi des risques pour soi et son entourage. Nous avons utilisé l’image du conducteur professionnel: il n’a aucune raison de conduire plus mal son camion que sa voiture lorsqu’il transporte femme et enfants. Nous avons joué sur la motivation personnelle.» Un message clair mais qui a parfois du mal à passer auprès des salariés nés après 1975, pour qui le cloisonnement entre vie professionnelle et privée reste difficile.
France Télévisions a aussi renforcé sa campagne de sensibilisation sur la cyber-sécurité lancée en début d’année, avec un site spécifique sur l’intranet, un forum de discussion et la création d’une adresse électronique spécifique. Le 2 juin, à l’Université du groupe, la conférence du directeur général de l’ANSSI a connu une forte affluence.
Entre juillet et septembre, l’équipe de la com interne à profité du déploiement des correctifs de sécurité sur les postes de travail pour administrer une piqûre de rappel. «Notre but est de sensibiliser et de responsabiliser sans créer de craintes inutiles», souligne Eve Demumieux, directrice de la communication interne de France TV. Côté management, c’est l’ensemble de l’édifice qui s’est mobilisé. Un comité de direction et des réunions de service ont été consacrés à la cyber-sécurité. David Garcia, responsable sécurité des services informatiques du groupe public, y a porté la bonne parole: «J’explique aux équipes comment se déroulent des attaques réelles comme celle survenue à TV5. Je rappelle aussi les règles impératives comme l’interdiction absolue de brancher des clés USB sur les outils de production ou celles relatives aux mots de passe, et je forme les gens. C’est ainsi que nous pourrons réduire la surface pouvant être attaquée.» Pour les managers, le respect des règles de la charte informatique est ainsi largement remonté sur l’échelle des priorités.
Chez TV5 Monde, l’ensemble des équipes ont suivi des sessions de sensibilisation de trois heures pilotées par des spécialistes d’EADS, et des référents ont été nommés dans les services. Avec une triple mission: répondre aux questions, rappeler régulièrement, si besoin, la nécessaire observance des règles et vérifier leur application. Pour mieux ancrer la priorité accordée à la cyber-sécurité, l'entreprise a même repensé son entretien annuel d’évaluation. «Le respect des procédures informatiques y figurait déjà mais nous allons le mettre plus en avant», précise Thomas Derobe. Précaution d’autant plus nécessaire que l’attaque du 8 avril va avoir des conséquences, prévient Matthieu Bonenfant, directeur de Stormshield, une filiale d’EADS spécialisée dans la cyber-sécurité: «D’autres groupes voudront se mettre en capacité de réaliser une attaque du même type. Les médias vont donc être plus exposés.»
«Nous sommes sortis du déni»
Guillaume Poupard, directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi).
Comment caractériser le risque informatique aujourd’hui?
G.P. Il y a trois menaces: la cyber-criminalité, en hausse car elle est incomparablement plus profitable et moins risquée que d’autres activités; l’espionnage stratégique et industriel qui, du fait de son impact sur la compétitivité des entreprises, est devenu un sujet majeur; et le sabotage ou l’atteinte au fonctionnement d’un système. A TV5, le but était clairement de nuire.
Comment se protéger?
G.P. Une bonne protection comprend trois piliers. Le premier concerne la protection de l’architecture technique elle-même. Il faut éviter de tout connecter à internet, en particulier les outils métier. Le second est la détection et le troisième, l’humain. Pour que la sécurité fonctionne, il faut qu’à chacun de ces niveaux les acteurs aient les bonnes compétences et se sentent concernés.
La prise de conscience est-elle à la hauteur des enjeux?
G.P. Nous sommes sortis du déni. La plupart des acteurs ont désormais conscience du risque. Aujourd’hui, le risque informatique est un sujet de COMEX. C’est positif, car les arbitrages sont possibles. Les entreprises doivent faire comprendre à leurs collaborateurs qu’ils sont acteurs et qu’ils doivent donc accepter quelques contraintes. L’autre point capital, c’est le rôle d’alerte que peuvent jouer les salariés. Le management a donc un rôle pédagogique fondamental à jouer, car la sécurité imposée ne fonctionne pas, et il faut l’inscrire dans la durée. À terme, le risque informatique va devenir un risque comme les autres et finir par être assuré. Mais nous ne sommes qu’au début du processus. Un peu comme le risque incendie au début du XXe siècle.
Les règles d'or face aux hackers
1. Ne pas connecter de clé USB ou de smartphone à son poste de travail
2. Ne pas cliquer sur des liens ou des pièces jointes figurant dans des mails envoyés par des inconnus
3. Changer régulièrement de mot de passe
4. Choisir un mot de passe complexe
5. Ne jamais noter un mot de passe sur un Post-It
6. Avertir la DSI sitôt que l’une des règles précédentes a été enfreinte
7. Avertir la DSI dès que son poste de travail fonctionne de façon inhabituelle (une fenêtre inconnue s’ouvre, lenteur...)
8. Lire attentivement les communications sur la sécurité informatique et modifier son comportement en conséquence
