Samuel Wyss est responsable de l’informatique et donc aussi de la sécurité informatique dans la PME zougoise Stadler Form. Dans cette interview, il explique comment il sensibilise les collaborateurs aux pratiques de travail sécurisées. Et comment il fait en sorte de rester bien informé.
Stadler Form est une PME suisse typique. L’entreprise zougoise développe, produit et commercialise des humidificateurs d’air et autres appareils design qui améliorent le climat intérieur. La structure de l’entreprise est tout aussi typique. Samuel Wyss est responsable de la transformation numérique. Mais comme souvent dans les PME, il porte plusieurs casquettes. Il est également responsable de l’informatique dans l’entreprise, en collaboration avec une société de services informatiques. «Par défaut» comme il le dit lui-même.
En tant que gagnante du jeu-concours Swisscom «Win a Hacker», Stadler Form a bénéficié d’un Security Assessment complet. Les spécialistes de la sécurité informatique ont ainsi examiné l’infrastructure de l’entreprise à la recherche de failles de sécurité. Cela a permis de mettre le doigt sur ce que les experts en sécurité répètent sans cesse: de nombreuses failles de sécurité ne sont pas de nature technique, mais sont le résultat des négligences ou de l’ignorance des collaborateurs. Un exemple classique est celui des utilisateurs qui travaillent sur l’ordinateur avec les droits d’administrateur et qui en plus utilisent un mot de passe non sécurisé, facile à deviner. De quoi faciliter le travail d’un pirate. Nous avons demandé à Samuel Wyss comment il sensibilisait les utilisateurs de son entreprise à la question de la sécurité informatique.
Samuel Wyss, quelle est votre plus grande crainte en tant que responsable informatique?
Sans aucun doute, qu’un employé reçoive un e-mail de phishing et qu’il clique sur le lien ou ouvre la pièce jointe. Que quelqu’un installe ainsi un logiciel malveillant et ouvre alors grand la porte à un pirate. Ma plus grande crainte est que notre entreprise subisse une attaque de ransomware qui crypterait nos données.
Comment sensibilisez-vous vos collaborateurs afin d’éviter qu’ils ne se fassent piéger par des e-mails de phishing?
J’organise régulièrement des formations. Nous avons également une réunion toutes les deux semaines où nous échangeons sur les questions de sécurité et où je donne des informations sur les dernières évolutions. Il faut avoir l’art et la manière de trouver les bons mots. C’est pourquoi je fais souvent des parallèles avec le monde réel, par exemple: «Tu fermes bien la porte quand tu sors de ta maison?» Ou je discute de certaines situations avec les collaborateurs, comme celle où quelqu’un écrit le mot de passe sur un Post-it et le colle sur l’écran. Mais tous les employés ne sont pas forcément réceptifs et certains ne prennent pas la situation au sérieux.
Et comment gérez-vous cette différence de perception?
D’une part, je soutiens personnellement les collaborateurs qui manquent de confiance. Nous définissons par exemple un nouveau mot de passe ensemble. Mais je fais en sorte de ne pas le connaître. Le collaborateur doit être responsabilisé.
D’autre part, les collaborateurs ont l’assurance qu’ils peuvent signaler un incident de sécurité sans que cela n’ait de conséquence pour eux. Cela augmente la probabilité que je sois informé à temps s’il se passe quelque chose.
Lors d’un test que nous avons organisé, certains employés ont cliqué sur le lien de phishing.
Samuel Wyss, Stadler Form
Les menaces et donc la situation en matière de sécurité changent constamment. Comment vous tenez-vous au courant en matière de sécurité informatique?
J’échange des informations avec d’autres personnes lors de conférences et je consulte bien sûr diverses sources d’information numériques comme des podcasts, des livres blancs ou des newsletters. C’est là que j’ai découvert que Twitter était extrêmement utile pour les actualités en matière de sécurité. En règle générale, j’essaie de suivre les spécialistes pertinents. Et j’ai l’avantage que cette tâche d’acquisition d’informations soit incluse dans ma fiche de poste et fasse donc officiellement partie de mes missions.
Que faites-vous si vous êtes bloqué?
Dans ce cas, je peux heureusement compter sur les spécialistes de notre société de services informatiques. Nous profitons d’un contact très direct. Et le Security Assessment a aussi été d’une grande aide bien sûr. C’était vraiment phénoménal de voir tout le savoir-faire apporté par les experts. Je le referais tout de suite. Un tel audit est certes coûteux. Mais si un pirate paralysait l’entreprise, les conséquences seraient nettement plus coûteuses.
Revenons à la question initiale: quel est à votre avis le risque que quelqu’un ouvre vraiment un e-mail de phishing?
Nous avons fait un test avec un faux e-mail de phishing. Certains collaborateurs ont effectivement cliqué sur le lien. Puis ils ont réalisé que quelque chose n’allait pas. La sensibilisation des collaborateurs est une tâche permanente.
Samuel Wyss
L’économiste d’entreprise Samuel Wyss travaille chez Stadler Form depuis 2008. Il est aujourd’hui responsable de la transformation numérique de l’entreprise. Il s’agit notamment de numériser les processus et de bannir le papier et les ruptures de support dans le quotidien du bureau. Samuel Wyss est féru d’informatique depuis les années 80 et le Commodore 64.
Cinq «Quick Wins» pour la sécurité informatique
Ces conseils augmentent la sécurité informatique dans l’entreprise et permettent d’assurer que les utilisateurs exploitent l’informatique en toute sécurité.
1. Choisir des mots de passe sûrs
Les mots de passe sont le principal problème de sécurité. Pour plus de commodité, beaucoup de gens utilisent un mot de passe par défaut facile à mémoriser pour tous les comptes. C’est aussi compréhensible que dangereux car cela facilite l’accès à différents comptes pour les pirates. Créez des règles pour les mots de passe:
- Les mots de passe des utilisateurs doivent comporter au moins 12 caractères et les mots de passe des administrateurs (pour l’administration du système) doivent comporter au moins 16 caractères.
- Les mots de passe doivent contenir au moins des lettres majuscules, des minuscules et des chiffres.
- Chaque compte (connexion à l’ordinateur, accès au cloud, ERP, CRM, etc.) doit avoir son propre mot de passe.
Utilisez un gestionnaire de mots de passe. Les collaborateurs peuvent y stocker tous les mots de passe, pas seulement pour les comptes en ligne. Et ils peuvent générer des mots de passe aléatoires sécurisés. Cela signifie que les employés doivent uniquement mémoriser deux mots de passe: celui de la connexion à l’ordinateur et, bien sûr, celui du gestionnaire de mots de passe.
2. Sensibiliser et former les collaborateurs à la sécurité informatique
Les règles pour les mots de passe échoueront si elles sont imposées par la direction. Sensibilisez les collaborateurs au fait que cette mesure est nécessaire pour des raisons de sécurité informatique et de sécurité de fonctionnement. Expliquez et assistez, surtout pour les collaborateurs qui éprouvent des difficultés. Cela prend du temps, mais c’est nécessaire.
Ne laissez aucune chance au cybercriminels
Le bref e-learning fournit trois conseils comportementaux de base aux collaborateurs, sur la façon de se protéger contre le phishing et de créer des mots de passe sécurisés. Cela contribue à améliorer la sécurité dans l’entreprise.
3. Sensibiliser les collaborateurs aux dangers des e-mails de phishing
Les e-mails de phishing qui piratent les données d’accès ou qui tentent d’installer des malwares font malheureusement partie du quotidien. Éveillez l’esprit critique des collaborateurs et faites-leur comprendre qu’il vaut mieux poser une question de trop que pas assez. Formez l’entreprise à reconnaître les e-mails de phishing.
4. Pas de droits d’administrateur local
Dans leur travail quotidien, tous les collaborateurs doivent utiliser un compte utilisateur standard et non un compte avec des droits d’administrateur. Ceci fournit une protection supplémentaire dans l’hypothèse où un ordinateur serait infecté par un virus. Car pour s’implanter dans le système, le malware doit d’abord obtenir les droits d’administrateur.
5. Droits d’accès minimaux au stockage de fichiers dans le réseau local et dans le cloud
Configurez les droits d’accès aux fichiers dans les espaces de stockage afin que les collaborateurs puissent uniquement accéder aux données nécessaires à leur travail quotidien. Formez des groupes et créez des répertoires pour la production, les ventes, l’administration, la comptabilité, etc. Limitez l’accès des groupes aux dossiers pertinents et stockez les données de sauvegarde et d’archivage dans un emplacement séparé. Idéalement, cela empêchera également qu’un ransomware ne crypte l’ensemble des données.