Cybersécurité et QVCT

Ensemble faisons la différence

Le rapport « Ransomware Landscape in Europe » offre un état précis du paysage des cybermenaces, indiquant une augmentation en profondeur des attaques de ransomware de 2022 à 2023 (+57%). Les secteurs les plus touchés sont ceux des technologies, des services, et de la fabrication. Les catégories d’entreprises les plus touchés sont les TPE et PME qui restent une cible privilégiée en raison de leurs moyens limités pour se protéger contre ces menaces​ (European DIGITAL SME Alliance).

Pour ces raisons, les assureurs, l’État, les collectivités, ou les donneurs d’ordres exigent de plus en plus le respect de référentiels en matière de cybersécurité. Que ce soit les 42 mesures minimales d’hygiène informatique de l’ANSSI, AirCyber, ou encore le Référentiel de Maturité Cyber DGA, toutes prennent pour base de départ la norme ISO 27001.

Le poste de Responsable du Système d’information cumule de nombreuses tâches centrées surtout sur le fonctionnel. La somme de ces tâches dépasse largement le cadre de l’ETP (Equivalent Temps Plein) rendant le sujet de la cyber sécurité très difficile à aborder et à traiter dans le cadre des PME qui peuvent difficilement engager plus de moyens sur le sujet. © SAFE/ACSIT

Devant ce constat, le pôle SAFE, avec le soutien de l’ANACT et de l’ARACT  Provence-Alpes-Côte d’Azur, a lancé un projet visant à développer et expérimenter une nouvelle approche plaçant les salariés au cœur de la mise en conformité cyber.

Atteindre la norme visée à l’échelle d’une petite entreprise est un effort certain, surtout lorsqu’il est impossible de dédier des ressources au sujet, mais il est encore plus difficile de maintenir le niveau sur le long terme et surtout de suivre l’évolution des menaces.

Les entreprises accompagnées

Huit TPE/PME adhérentes ont pu bénéficier de cet accompagnement en 2023 et 2024. Cela a été aussi l’occasion, tout au long de leur parcours, d’organiser des ateliers RETEX sur cette expérimentation dans le but d’ajuster et de valider la démarche.

A-NSE : Conception et fabrication d’aérostats (ballons dirigeables et ballons captifs) de surveillance civile et militaire

Coppernic : Coppernic est une plateforme de conception, de production et de déploiement de terminaux mobiles professionnels de contrôle, et de traçabilité au service de la sécurité des biens et des personnes.

Nerys : NERYS est une ingénierie qui conçoit et réalise des moyens d’essais pour ses clients qui sont des grands comptes de l’industrie.

Novadem : Depuis 2006, Novadem est spécialisé dans la robotique aérienne. La société conçoit et commercialise des solutions drones dédiées aux professionnels de la Défense, de la Sécurité et de l’Industrie.

O’sol : O’Sol propose des solutions solaires mobiles et intelligentes pour des applications temporaires ou urgentistes (domaine humanitaire, événementiel, expéditions, etc.). Ces solutions comprennent des générateurs auto-déployables combinés à une plateforme de suivi en ligne.

Oxytronic : Créée en 2005, Oxytronic est une entreprise française spécialisée dans l’étude et la fabrication de systèmes électroniques embarqués.

STid : Depuis plus de 20 ans, nous inventons des solutions intelligentes destinées à sécuriser les accès et à assurer la traçabilité d’objets en environnements difficiles (aéronautique, énergie, défense).

Tethys : Exploiter l’énergie délivrée par les matériaux énergétiques afin d’assurer des fonctions complexes. Pour cela TETHYS assure la Conception, le Développement, l’industrialisation et la Production de ses dispositifs et systèmes, et exploite les technologies de la mécanique, de l’électronique et de la pyrotechnie,

La QVCT au cœur du projet « Cybersécurité et Organisation »

La QVCT (Qualité de Vie et des Conditions de Travail) vise à améliorer le bien-être des employés en optimisant les conditions de travail, l’organisation, et l’équilibre vie professionnelle/personnelle, pour favoriser la santé et la performance au travail.

Cette démarche, intégrée au cœur du projet, permet de :

  • déployer une cybersécurité au juste besoin, au juste niveau, adaptée aux contraintes opérationnelles des salariés,
  • favoriser l’engagement des salariés en les responsabilisant sur le sujet,
  • et de maintenir le niveau de cybersécurité sur le long terme en limitant les procédures irritantes qui aboutissent bien souvent à des contournements.

Elle s’inscrit en complémentarité des dispositifs nationaux comme celui proposé par BPI France.   

 

La démarche

Pour chaque entreprise, un entretien préalable est mené avec la Direction afin d’obtenir son aval et identifier la norme la plus adaptée aux activités de la structure.

Un entretien avec le personnel informatique permet de positionner l’entreprise dans la norme à atteindre.

Echantillon de positionnement d’une PME dans la norme ANSSI en début d’accompagnement. © SAFE/ACSIT

Un atelier collaboratif avec un échantillon représentatif du personnel incluant un élu du CSE (Comité Social et Économique) permet de sensibiliser les salariés au risque Cyber mais aussi et surtout de laisser la possibilité aux « sachants » de remonter ce qu’ils considèrent comme étant des pratiques numériques potentiellement à risque.

Exemple d’exercice demandé aux salariés en atelier collaboratif. © SAFE/ACSIT

A partir des deux sources d’informations précédentes, un document d’analyse est réalisé intégrant des recommandations et surtout la méthode à suivre pour atteindre la conformité. Les solutions techniques proposées à mettre en œuvre intègrent les contraintes remontées par les salariés.

Un second atelier collaboratif permet de présenter et de faire valider au même collectif les solutions avant présentation à la Direction des résultats.

i

Guide pratique

Merci de remplir ce formulaire pour demander le guide

9 + 10 =

Vidéos

Contactez-nous

Si vous souhaitez plus d’information sur ce projet ou souhaitez être accompagné, vous pouvez nous contacter en cliquant ici.

Protection des Données Personnelles

Dans le cadre de votre demande pour obtenir notre guide, nous collectons certaines données personnelles nécessaires pour vous transmettre le document et assurer le suivi de l’essaimage de la méthode qu’il contient. Ces informations incluent votre identité et le nom de votre structure.

Ces données sont collectées et traitées par le pôle SAFE dans le but de comprendre quelles structures utilisent notre guide, conformément à notre mission de diffusion de cette méthode. Vos données seront conservées pendant la durée nécessaire à la réalisation de cet objectif, puis supprimées au terme de 3 ans.

Conformément à la réglementation en vigueur sur la protection des données, vous disposez d’un droit d’accès, de rectification, de suppression, et de limitation du traitement de vos données. Vous pouvez exercer ces droits en contactant notre Délégué à la Protection des Données au numéro de téléphone suivant : 04 42 12 30 50