Le travail et la vigilance payent ! Et c’est encore plus vrai en matière de cybersécurité. ARC IT continue de monter en gamme de ce côté. Nicolas, son co-directeur, est l’un des 16 diplômés à l’échelle suisse à obtenir le titre de « Information Security Manager » avec diplôme fédéral. Toute l’équipe de ARC IT et de ARC Logiciels est extrêmement fière de lui.

Mais au fond, ça veut dire quoi ce diplôme fédéral d’« Information Security Manager » ?

C’est une formation destinée aux managers d’équipe IT qui assument la responsabilité globale de la sécurité de l’information dans les entreprises et les institutions publiques. Ce diplôme classé au niveau 7 du Cadre national des certifications (CNC) correspond, en comparaison internationale, aux exigences d’un master. La formation dure 1 an et demi. On se forme aux audits de sécurité approfondis, à l’analyse des risques et à la mise en place de stratégies face aux cyber-attaques. On vise un poste de RSSI (Responsable de la Sécurité des Systèmes d’Information) en français ou CISO (Chief Information Security Officer) en anglais.

Pourquoi avoir suivi cette formation ?

ARC IT encourage la formation continue pour tous les collaborateurs, que ce soit sur quelques jours ou sur des durées plus longues avec une charge de travail importante. Ce diplôme me permet de valider beaucoup de compétences et d’aller plus loin. Par ailleurs, notre domaine d’activité impose de se former sans cesse pour être à jour. Au quotidien chez ARC IT, l’intérêt est que je reste en alarme avec un esprit vif et de bons réflexes en matière de cybersécurité. Ce qui est tout bénéfice pour l’ensemble de nos clients.

Vous parlez d’aller plus loin, un exemple ?

Cela concerne notamment la question du Règlement général sur la protection des données (RGPD). Les exigences européennes sont plus strictes que la nLPD que nous avons en Suisse et les sanctions financières importantes. Il faut en être conscient lorsqu’on travaille avec les données personnelles. Par exemple, dans un formulaire de contact sur votre site internet, il faut se limiter aux informations personnelles strictement nécessaires pour traiter la demande. Il n’est donc pas indispensable de demander à la fois une adresse e-mail et un numéro de téléphone, car en cas de fuite ou d’interception de données, cela peut poser problème.

Pour votre diplôme vous avez dû rendre un travail comprenant trois projets réels. De quoi s’agit-il ?

Le premier concernait la mise en place de la MFA (authentification multifacteur) pour nos clients de l’hébergement mutualisé (HMU). Cette procédure oblige à avoir au minimum une double validation d’accès et augmente considérablement la sécurité des utilisateurs. Le 2e projet revenait sur la labélisation Cyber-Safe de ARC IT et ARC Logiciels. Enfin, le 3e projet analysait le dispositif appliqué lors de la campagne de sensibilisation à la cybersécurité et les tests de phishing auprès de ARC IT et de ARC Logiciels.

Les campagnes de phishing sont essentielles pour les entreprises où les intrusions viennent souvent d’erreurs de collaborateurs qui cliquent sur un lien corrompu générant des dégâts en chaîne dans l’environnement de travail. Non ?

Ces tests grandeur nature sont très importants. Même si ARC IT et ARC Logiciels sont des spécialistes informatiques, personne n’est à l’abri de l’erreur humaine. C’est un travail au quotidien d’éduquer à la cybersécurité. Les campagnes se font sur un an avec des vidéos et des quiz de sensibilisation. Chaque employé est sensible à différentes attaques et obtient un score individuel à la fin. Par exemple, un email de la RH avec un lien sur le nouveau règlement des vacances est un phishing qui fait toujours des dégâts. Pour ces tests, nous travaillons avec DiagnoPhish de Navixia, une plateforme suisse de sensibilisation à la sécurité informatique.

En Suisse, on parle de 200 millions de cyberattaques par mois, selon les chiffres publiés en mars dernier par Swisscom. Par ailleurs, depuis le 1er avril 2025, les exploitants d’infrastructures critiques ont l’obligation de signaler toute cyberattaque à l’Office fédéral de la cybersécurité (OFSC), dans un délai de 24 heures. Les PME ont-elles enfin pris conscience des risques financiers et globaux encourus en négligeant la cybersécurité ?

Il y a encore beaucoup de déni dans les PME et les TPE, notamment dans le domaine de la construction. Rien que le MFA ou les mots de passe à 12 caractères semblent inutiles à certains clients. Ces mesures sont obligatoires pour tous nos clients hébergés, sans discussion. Pour les autres que l’on accompagne en infogérance, on les conseille, mais certains préfèrent encore se contenter de mots de passe faibles. Nous n’avons pas le pouvoir de changer cela, c’est leur décision. Jusqu’à présent, nous n’avons jamais encore enregistré de piratage chez nos clients, mais personne n’est à l’abri.

D’où viennent les principales attaques ?

Après les erreurs humaines, les attaques proviennent souvent des objets connectés : une imprimante pas à jour, les télévisions, la machine à café ou le frigo connecté. Tout est source de cyberattaque. Maintenir à jour cet environnement est essentiel. Par ailleurs et je ne cesse de le répéter, il faut sensibiliser les utilisateurs à l’importance des mots de passe et du MFA. Pour éviter le pire, nos processus sont régulièrement vérifiés, ainsi que nos infrastructures tels que nos pare-feux et tous les appareils connectés, mais on n’en fait jamais assez avec la sécurité.

Besoin d’un audt de sécurité? >> ici

TIF