La culture du risque cyber dans les équipes : méthodes et outils
Dans le secteur de la santé et les collectivités, les cyberattaques ne cessent de croître en fréquence et en complexité. En 2024, 749 incidents ont été déclarés auprès du CERT Santé (hausse de 29 % par rapport à 2023). Toutefois, seuls 4 cas de compromissions majeures sur 40 signalés ont conduit à une panne grave, signe d’une amélioration de la réactivité des équipes Agence du Numérique en Santé. Le coût moyen d’une cyberattaque en France est estimé à 58 600 €, avec un impact global de 2 milliards d’euros en 2022 pour les secteurs publics et privés.
Face à ces enjeux, instaurer une culture du risque cyber est essentiel. Cet article s’adresse aux directions générales et direction des équipes SI, RSSI et équipes métiers, en proposant une approche structurée avec méthodes et outils adaptés à chaque rôle.
1. Pour les directions : incarner la stratégie cyber
Méthodes clés :
- Prioriser le cyber dans la stratégie de gouvernance, en affectant des budgets dédiés. En 2024, 26 millions d’euros ont été alloués aux centres régionaux de cybersécurité, dont 8 millions pour le médico-social selon une étude de l’ANS.
- Gouvernance cyber via comité pilotage, indicateurs de maturité et reporting.
- Exercices de résilience, Sauvegardes, Crise, PCA/PRA régulièrement testés.
Outils :
- Matrice de risques : Identifier les risques hiérarchisés selon les impacts.
- Tableaux de bord d’indicateurs de sécurité.
- Engagement institutionnel, avec appoint à hauteur de 60 M € investis en 2024 pour renforcer la sécurité du système de santé en Île‑de‑France en vue des Jeux de 2024.
Exemple : une collectivité a intégré la cybersécurité comme critère majeur de son contrat d’objectifs, avec suivi annuel et ressources dédiées.
2. Pour les DSI / RSI : structurer les actions et embarquer les équipes.
Méthodes clés :
- Politique de sécurité claire, co‑construite et partagée avec métiers et RH.
- Cartographie SI & risques, incluant accès, dépendances, points critiques.
- Impliquer les référents métiers pour garantir une appropriation partagée.
Outils :
- Cartographie dynamique des actifs mobiliers et logiciels.
- Outil de gestion des incidents/tickets pour centraliser les alertes.
- Reporting automatisé à destination de la direction.
Chiffres utiles :
- 60 % des organisations consacrent > 5 % de leur budget IT à la cybersécurité, et 70 % prévoient d’augmenter ce budget.
- En moyenne, 10,2 solutions sont déployées dans les entreprises, parfois avec redondance de fonctionnalités.
Exemple : un GHT a mis en place un système de tickets cyber, avec remontée automatisée des incidents et procédure d’escalade claire.
3. Pour les RSSI : ancrer les bons réflexes via la sensibilisation comportementale.
Méthodes clés :
- Simulations ciblées (phishing, vol de badges, fuite de données).
- Approche cognitive : gamification, storytelling, répétitions espacées.
- Valorisation des comportements vertueux via retours d’expérience.
Outils :
- Plateformes de sensibilisation (ex. SoSafe) intégrant quiz, tests, phishing simulé.
- Checklists quotidiennes, guides pratiques et intranet FAQ.
- Feedback et reconnaissance internes aux équipes exemplaires.
Chiffres d’impact :
- Le phishing touche 75 % des structures françaises et demeure le type d’attaque le plus fréquent.
- 80 % des entreprises mènent des campagnes de sensibilisation, mais seuls 2/3 des utilisateurs suivent réellement les recommandations.
- En collectivités, 1 sur 10 a subi une cyberattaque en 12 mois, principalement via phishing (30 %) ou failles non corrigées (10 %).
Exemple : une structure médico‑sociale a lancé « les cyber‑réflexes du mois » via un quiz interne gamifié, générant une forte adhésion.
4. Pour les équipes métiers : comprendre les enjeux, adopter les bons gestes.
Méthodes clés :
- Contextualiser la sécurité dans les pratiques métier (gestion de dossiers patients, accès aux données, messagerie).
- Former en continu, par micro‑modules courts.
- Encourager le signalement, sans blame : un doute vaut mieux qu’un incident.
Outils :
- Notifications contextuelles en cas de tentatives phishing détectées.
- Portail intranet dédié avec guides, vidéos, canaux de signalement.
- Formulaires de déclaration rapide, anonymes ou non.
Statistiques pertinentes :
- 52 % des failles sont dues à des erreurs humaines, notamment l’usage de mots de passe faibles ou volés (63 %).
- 54 % des collectivités estiment être mal préparées, et seules 14 % se sentent bien préparées à réagir après attaque.
- Les TPE/PME représentent 60 % des victimes d’attaques en France, souvent peu armées face au risque.
Exemple : sur un portail intranet, un mini‑jeux « mot de passe fort » a été mis en place avec challenge mensuel pour sensibiliser de façon ludique.
Conclusion : vers une culture cyber partagée et effective.
La culture du risque cyber ne se décrète pas : elle se construit, jour après jour, à travers des étapes claires et des pratiques répétées. Les incidents récents montrent que signaler plus, c’est déjà progresser : en 2024, 749 incidents déclarés ont été mieux traités grâce à une meilleure gouvernance et sensibilisation.
Chaque acteur — direction, IT, RSSI, métiers — contribue à bâtir une résilience collective et à passer d’une posture de réaction à une dynamique de prévention proactive.
Isi‑Informatique : le catalyseur de votre gouvernance cyber
Le module Isi‑Informatique d’Isi‑APP permet de :
- Gérer votre parc informatique (postes, serveurs, logiciels),
- Maintenir une matrice de risques évolutive,
- Centraliser les alertes et incidents via un système de tickets partagé,
- Organiser la documentation technique, les procédures, et les PCA/PRA.
Accessible par le DSI, le RSSI et la direction, Isi‑Informatique se positionne comme le cockpit de votre stratégie cyber, favorisant le suivi, la coordination et l’engagement collectif.
Prêt à transformer la cybersécurité en un réflexe partagé ?
Contactez nos équipes pour une démo personnalisée ou découvrez Isi‑Informatique et intégrez-le pleinement à votre stratégie cyber.
