Défis au niveau sensibilisation et gestion de projet

Selon le rapport d’experts de la Confédération sur les cyber-risques en Suisse, le spectre des attaques est vaste : destruction de sites internet, activités criminelles telles que le phishing ou l’extorsion par des at-taques Denial-of-Service, voire même des attaques d’espionnage très ciblées et le sabotage d’infrastructures et entreprises. Nombre d’entre-elles investissent donc des milliers de francs et d’heures de travail dans des solutions de sécurité pour se protéger contre ces attaques.

L’essentiel du facteur humain
Mais même avec les meilleurs programmes informatiques pour la cy-ber-sécurité, une organisation n’est pas entièrement protégée contre les attaques extérieures. Le facteur humain reste l’élément essentiel pour déterminer si l’informatique d’une entreprise continue à être protégée ou si les criminels y ont accès. Diverses études montrent que l’erreur humaine est à l’origine du fait que plus de 80 pour cent de tous les criminels puissent accéder au réseau de l’entreprise en pas-sant les mécanismes de sécurité. Le facteur décisif est donc de savoir si les employés sont formés par leur entreprise pour parer aux cyber-attaques et à leurs conséquences. De nombreuses entreprises ont déjà reconnu l’existence d’un énorme potentiel dans ce domaine. Le mar-ché mondial de l’éducation en matière de cyber-sécurité connaît une croissance annuelle de 20 %.

Des employés formés pour minimiser les risques de sécurité
La start-up neuchâteloise Megaverse s’est également spécialisée dans ce domaine et est entrée sur le marché EdTech. L’entreprise a dévelop-pé un logiciel qui permet aux employés d’apprendre à utiliser la ­cyber-sécurité de façon ludique. Avec l’aide de l’intelligence artificielle (IA), Megaverse va plus loin que les plateformes conventionnelles. Grâce à des tâches ludiques, le programme s’adapte automatiquement au niveau de l’utilisateur et affiche l’état actuel des connaissances dans un aperçu et un rapport. Helvetia, une première banque privée et un premier groupe horloger genevois ont été les premiers à implémenter le logiciel Megaverse dans leur entreprise. « Cette première phase est particu-­lièrement attrayante pour les clients, car ils peuvent partici-per activement à la conception et à la mise en œuvre de la plateforme éducative­ », déclare Cécile Maye, CEO. La plateforme éducative est ac-cessible 24 heures sur 24 et est disponible comme une solution de desktop utilisant des scénarios 3D en temps réel (virtuelle, augmen-tée et mixte). L’expérience éducative immersive offre aux utilisateurs plus de 80 tâches réalistes à différents niveaux, notamment dans les domaines d’internet, du hardware et de la gestion des mots de passe. Les employés sont ainsi sensibilisés à l’impact qu’une cyber-attaque peut avoir sur eux et sur l’entreprise. La plateforme éducative adaptati-ve peut se conformer aux besoins spécifiques de l’entreprise afin de créer des scénarios aussi réalistes que possible. Megaverse fait partie du EdTech Collider de l’EPFL à Lausanne. EdTech Collider est la première plateforme collaborative en Suisse destinée aux entreprises qui veulent changer la formation par la technologie. La plateforme compte actuel-lement plus de 75 membres.

La gestion de projet en tant qu’élément clé de l’environnement de cyber-sécurité
La cyber-sécurité joue également un rôle important dans l’environnement fédéral. Le Conseil fédéral a donné son feu vert à la création d’un nouveau centre de compétences dans le domaine de la cyber-sécurité en début d’année. Le centre de compétences est appelé à devenir un point de contact national pour les questions relatives aux cyber-risques. Le gouvernement fédéral ne doit, cependant, pas seule-ment être conscient des cyber-risques, il doit aussi être lui-même pro-tégé contre les cyber-attaques. L’entreprise de conseil en ICT Ironforge Consulting AG est une entreprise qui gère des projets de sécurité dans le contexte fédéral. Il n’est pas rare que le gouvernement fédéral solli-cite une aide extérieure, déclare le directeur général Gianni Lepore. Les applications de sécurité ICT sont complexes et multidimension-nelles. Il y a aussi les exigences des différentes unités administratives avec des processus spéciaux qui doivent s’adapter les uns aux autres. Si cette coordination n’a pas lieu, la sécurité informatique peut être compromise. Selon René Känzig, directeur des ventes d’Ironforge AG, les exigences en matière de sécurité pour les projets avec la Confédéra-tion sont élevées. Tout collaborateur du projet est soumis à un contrô-le de sécurité personnel et travaille ensuite dans des locaux protégés et à l’abri d’écoute. « Les destinataires des services de l’administration fédérale veulent s’assurer qu’il existe une protection suffisante en ma-tière d’ICT », explique M. Känzig.

Une bonne gestion globale est important
Une mission de projet clairement définie est souvent élaborée avec le partenaire et l’accent est mis sur un problème à résoudre, déclare ­Gianni Lepore. Les besoins doivent être déterminés avant que le projet réel puisse être lancé. Une gestion du changement bien définie revêt également une grande importance pour les projets ICT dans le cadre fédéral. De cette façon, on évite de mettre en œuvre ce qui n’est pas conforme aux exigences de sécurité en vigueur. Gianni Lepore ajoute : «Il est primordial d’évaluer correctement les conditions dans les diffé-rents départements afin de trouver les meilleures solutions pour qu’elles soient ensuite parfaitement exploitables. »

Cela démontre que non seulement la planification des projets, mais aussi la sensibilisation des employés en résultant nécessitent l’intervention d’entreprises spécialisées. La cyber-sécurité est un sujet délicat, mais une approche mûrement réfléchie donne des résultats positifs.

Il apparaît donc évident qu’une bonne gestion globale du projet est d’une importance cruciale, que ce soit pour la planification du pro-jet ou pour la sensibilisation ultérieure des employés. Tous les domai-nes concernés – départements, employés et directives de l’entreprise– doivent être inclus, car la cyber-sécurité est une question délicate qui nécessite une approche précise.