(Dans le cadre de la Journée Mondiale de la
Santé et de la Sécurité sur le lieu de Travail)
La Journée
Mondiale de la Santé et de la Sécurité sur le Lieu de Travail est une campagne annuelle internationale pour la promotion du travail en
toute sécurité. Cette journée a lieu le 28 avril et est observée par l’OIT –
l’Organisation Internationale du Travail – depuis 2003.
Comment la sécurité Internet est-elle
incluse dans cette journée ?
Elle ne l’est pas, du moins pas encore. La
Journée Mondiale de la Santé et de la Sécurité sur le Lieu de Travail est
principalement centrée sur les « accidents du travail et maladies professionnelles »,
avec des thèmes orientés autour de la culture de la sécurité et de la santé
(2015) et du stress sur le lieu de travail (2016).
Mais la sensibilisation à la cybersécurité
devrait-elle pas faire partie de cette journée – officiellement ou autrement ?
Aujourd’hui, la cybersécurité est devenue
un problème mondial qui affecte les entreprises de toutes tailles et chaque
travailleur, sur l’ensemble de la hiérarchie. Il est donc temps pour les
entreprises de se rendre compte que ce problème mérite d’être considéré comme
important en matière de santé et surtout de sécurité.
A une époque connectée – où l’Internet des
Objets (Internet of Things – IoT) ouvre de nouvelles possibilités : du
frigo intelligent au stimulateur cardiaque connecté – on pourrait faire valoir
que désormais la sécurité et la sûreté vont de pair.
“Nous devons inverser la tendance qui vise
à tout connecter à l’internet, ” déclarait Bruce Schneier dans un
article récent du New York Magazine.
“Et si nous risquons de nous nuire et même de nous tuer, nous devons réfléchir
deux fois à propos de ce que nous allons connecter et ce que nous allons
intentionnellement laisser non informatisé. ”
“Si nous nous trompons, le secteur
informatique ressemblera à l’industrie pharmaceutique ou aéronautique. Mais si
nous réussissons, nous pourrons conserver l’environnement novateur qu’est
Internet et qui nous a permis tant de choses.”
Pourquoi devons-vous stimuler la
cybersécurité sur le lieu de travail ?
La cybersécurité est
de plus en plus importante sur le lieu de travail, tout simplement par l’impact
qu’elle peut avoir sur tout ce qui touche aux affaires, depuis le stockage
sécurisé de l’information jusqu’à la prévention de fuites ou de violations de
données qui peuvent avoir des répercussions sur les revenus. Dans le pire des
cas, les attaques cybernétiques peuvent mettre des entreprises hors circuit ou
les voir pénalisées par de fortes amendes des autorités de protection des
données (DPA) – ce qui deviendra encore plus important lorsque le RGPD de
l’Union Européenne entrera en vigueur.
Heureusement, dans beaucoup
d’entreprises « modernes » la cybersécurité a pris de
l’importance ; elle en est devenue un point à l’agenda du conseil
d’administration. Les entreprises organisent régulièrement des sessions de
sensibilisation à la sécurité, avec des équipes de sécurité, habilitées par le conseil
d’administration à les protéger contre les dernières menaces.
Le danger, si on ne prend pas ces
mesures, est bien présent. Des statistiques démontrent que 38% des fuites de
données sont internes. Une
étude de 2015 faite par l’université d’Alabama à Birmingham révèle que trois entreprises sur quatre considèrent que
la négligence des employés est la menace la plus importante en matière de
fuites/violations. L’étude a également mis en évidence que près de 75% des
employés téléchargent des fichiers de travail confidentiels sur leur cloud
personnel.
Ces chiffres risquent d’être encore plus
élevés si les entreprises adoptent le cloud et deviennent encore plus
connectées par le biais de l’IoT.
Des exemples de cette connectivité et du
risque croissant : le plus grand hôpital britannique a fait l’objet d’une
attaque de ransomware en janvier,
et un mois plus tôt, en Finlande, une attaque DDoS sur des systèmes
automatisés a désactivé
le contrôle du chauffage dans des bâtiments
Aux Etats-Unis, deux chercheurs en sécurité
White Hat ont réussi à pirater le système de gestion de bâtiments appartenant à
un géant de la technologie à Sydney (Australie). On a également découvert lors
d’un incident illustrant les dangers de la sécurité IoT, qu’un stimulateur cardiaque
connecté de St Jude Medical était vulnérable
lors d’une attaque. La cybersécurité et la santé vont donc également de pair.
Pourquoi la cybersécurité devrait-elle être
aussi importante pour les entreprises que la santé et la sécurité ?
La mise en place de règlements en matière
de santé et de sécurité a amélioré de manière régulière le bien-être des
employés au fil des années, de la réduction du stress et des accidents
jusqu’aux déclarations d’assurance.
Les entreprises qui ont donné priorité à la
cybersécurité verront probablement des avantages encore plus importants, d’une
meilleure protection à moins d’attaques réussies, jusqu’à une augmentation, par
le conseil d’administration, des moyens financiers pour des solutions
technologiques.
En fin de compte, une attitude de défense
renforcée améliorera la réputation de la marque, qui
subit généralement un impact négatif lors d’une fuite de données, protègera les revenus et – dans certains cas critiques –
sauvera des vies.
De plus, certains diront que les
entreprises doivent tout simplement adopter la cybersécurité – les
cybercriminels utilisent
les dernières technologies et les entreprises qui désirent utiliser des données pour être encore plus
concurrentielles s’exposent à des risques plus importants. La cybersécurité
doit être la première priorité pour les conseils d’administration si l’on veut
que les entreprises du numérique soient réellement protégées.
Seamus Doyle, CIO de Northern Ireland
Water, a souligné, l’an dernier, l’importance de la cybersécurité en relation
avec la santé et la sécurité dans une interview avec Business Reporter.
“Lorsque je discute avec certains de mes
collègues, la cybersécurité n’est pas aussi importante que la santé et la
sécurité mais elle se trouve un échelon plus bas, ” disait-il.
“Les entreprises ont depuis longtemps
compris l’importance de la santé et de la sécurité par rapport à la
productivité. Ce n’est pas une façon acceptable de faire des affaires et
la mentalité des gens évolue de la même manière en ce qui concerne la
cybersécurité.”