« Inculquer une culture de sécurité, c’est apprendre à des enfants à traverser la route »

M.T. est responsable de la gestion des risques dans une firme multinationale spécialisée en pharmaceutique animale. Cette année, son entreprise a été victime de plusieurs attaques d’ingénierie sociale. Pour elle, le facteur le plus dangereux dans la gestion du risque sécuritaire, c’est l’humain.

Vous avez subi des attaques d’ingénierie sociale cette année ?

Oui, dans au moins trois de nos filiales. Des personnes se sont fait passer pour le directeur général de l’entreprise au téléphone. Prétextant un contrôle fiscal, ils annonçaient la venue d’un auditeur et d’un consultant et réclamaient des informations complémentaires. Nous étions effectivement sous le coup d’un contrôle fiscal, et nous avons souvent recours à des entreprises de conseil. C’était tout à fait crédible. Heureusement, les personnes contactées, des responsables de filiale et un contrôleur de gestion n’ont pas reconnu la voix du directeur, ils se sont méfiés et ont réclamé des informations supplémentaires. C’est un bon réflexe, mais nous avons quand même eu de la chance. C’est la première fois que nous sommes sous le coup de telles attaques.

Ce genre de méthode vous paraît-elle efficace ?

Oui. C’est un peu maladroit parce que ces gens connaissaient la voix du directeur, mais jouer sur la corde sensible « votre patron vous appelle », c’est très malin. Agir sur l’individu et pas sur des lignes de codes informatiques, c’est plus risqué, mais le gain est potentiellement bien plus gros. Les prochains qu’ils appelleront n’auront pas forcément le bon réflexe.

Avez-vous réussi à identifier les auteurs ?

Non, c’est impossible, le numéro de téléphone ne s’affichait pas. Nous avons quand même prévenu la Direction de la surveillance du territoire (DST). Cela pourrait être n’importe qui de bien informé. Un concurrent, quelqu’un qui a quitté la société… Après, il peut y avoir eu des indiscrétions de la part des employés, les gens parlent, y compris sur les réseaux sociaux. Le facteur humain est toujours le plus gros facteur risque en matière de sécurité. Et pour l’instant, nous ne sommes pas très affûtés sur toutes ces problématiques.

Avez-vous mené des actions de sensibilisation après ces évènements ?

Pas vraiment. On a envoyé des mails, on a fait intervenir la DST, mais il n’y a pas d’action de formation prévue. La gestion des risques, c’est très vaste pour une entreprise, et ce risque là n’est pas dans nos priorités.

Votre système de sécurité informatique est-il solide ?

Oui, pour le coup. Nous avons payé une société extérieure pour qu’elle tente de s’introduire dans notre système informatique, elle n’a pas réussi. On résiste bien. On n’a jamais eu de fuite de documents stratégique, pas à ma connaissance en tout cas. Maintenant, nous sommes très nombreux et éparpillés. Il y a des vols de tablettes, de portables… mais les voleurs ne sont pas forcément des pirates. Je crois que les employés commencent à comprendre les bases de la sécurité informatique. J’en trouve de moins en moins qui ont leur mot de passe écrit sur un bout de papier sous leur clavier.

Avez-vous l’impression que vos employés se sont responsabilisés ?

Pas assez. Il faut toujours répéter, répéter, répéter. Inculquer une culture de sécurité en entreprise, c’est comme essayer d’apprendre à des enfants de traverser la route. Il faut leur expliquer qu’on ne tient pas la porte à n’importe qui à l’entrée des zones sécurisées du siège qui nécessitent un badge. On n’a pas à être galant dans l’enceinte d’une entreprise. Tant qu’ils ne sont pas confrontés à des situations extrêmes, ils ne voient pas les conséquences. Il y a quelques temps, ils voulaient qu’on mette le nom de la société sur les badges. J’ai dit « Et pourquoi on ne donnerait pas vos clés de voiture aux voleurs aussi ? ». Là, ils se sont insurgés. De toute façon, c’est comme mettre ses mains sur une cuisinière : tant qu’on ne s’est pas brûlé, on essaie toujours de toucher la casserole.

A lire aussi
» Hausse de la cybercriminalité : les entreprises françaises démunies