Se protéger efficacement des cybermenaces est un exercice complexe qui ne dépend pas uniquement des outils utilisés. Le maillon humain est aussi à prendre en compte. Afin d’assurer le meilleur succès de ses campagnes de sensibilisation, il est utile de connaitre les freins existants et de les lever, ou, en tous cas, d’en diminuer la portée.
Voici le premier des freins, l’inconscience. On pourrait croire qu’avec tout ce qui a déjà été dit dans la presse, dans les fictions, par les entreprises, par les équipes sécurité, que ce frein a disparu. S’il est vrai que la part de la population totalement ignorante de la menace a fortement diminué, il reste encore une part non négligeable pour qui cette menace n’est pas réelle ou en tout cas qu’elle est suffisamment abstraite pour ne pas avoir à s’en soucier. Imaginer que ce n’est plus le cas revient à tomber dans le biais consistant à croire que, parce qu’on parle nous-mêmes d’un sujet depuis longtemps, cela implique que cela est acquis pour tout le monde.
Comme il reste forcément dans votre population quelques personnes qui en sont encore à ce stade, il est utile de rappeler un certain nombre de messages. Ce rappel sera également utile à ceux qui, bien que conscients de l’existence du danger, cherchent à le nier pour mieux contourner les règles.
Ces messages sont au nombre de 3 :
La menace est réelle, dangereuse et elle frappe partout
La cybercriminalité prend différents aspects et frappe partout. Le patron d’une PME du Finistère a fait un jour cette remarque après une cyberattaque : « Là où on est, je ne pensais pas que les cybercriminels pourraient nous viser ». Sur Internet, tout le monde est à équidistance. Il est vrai que certaines entreprises ou administrations seront davantage ciblées, mais tout le monde est visé.
C’est l’utilisateur qui est visé et les conséquences pour lui peuvent être lourdes
Le risque ne doit pas être perçu par l’utilisateur comme quelque chose de lointain. La plupart des attaques utilisent à un moment ou à un autre un défaut de comportement d’un ou plusieurs utilisateurs. Ce sont donc eux qui sont visés. De plus, lorsqu’une attaque a réussi, si l’entreprise ou l’administration est une victime, le collaborateur par lequel cette attaque a pu passer en est également une. À ce titre, il peut, comme toute victime, avoir du mal à s’en remettre et peut souffrir de stress post-traumatique. À titre d’exemple, une PME de l’ouest de la France a été liquidée après une arnaque au Président. 40 salariés se sont ainsi trouvés sans emploi. Cette attaque fut possible en dupant la responsable financière qui, croyant bien faire, a effectué les virements ruinant l’entreprise. Au regard des conséquences de son erreur, on peut imaginer sans peine la souffrance qui fut la sienne. Il est donc de l’intérêt personnel de chaque collaborateur de se soucier de cybersécurité.
Se protéger est plus facile qu’il n’y parait
Et c’est la bonne nouvelle, si les pirates vont faire preuve d’ingéniosité et d’expertise pour perpétrer leurs attaques, les déjouer s’appuie sur quelques règles simples qui, si elles sont respectées, permettront de se défendre efficacement. Après les mauvaises nouvelles des points 1 et 2, il s’agit ici de rassurer et d’expliquer aux utilisateurs que face à cette menace et aux risques qui pèsent sur eux, on ne leur demande pas des choses très compliquées, mais simplement le respect de quelques règles et un peu de rigueur.
L’assimilation de ces messages se trouvera renforcée par de possibles retours d’expérience et exemples en provenance de l’entreprise ou de l’administration dans laquelle travaille le collaborateur. Plus on créera de la proximité avec l’environnement réel de l’utilisateur, plus celui-ci accordera de l’importance aux messages qu’on lui envoie. De la même façon, on pourra également prévoir d’inclure dans les campagnes de sensibilisation un certain nombre de supports traitant de la sécurisation de son environnement personnel.
Ainsi, lorsqu’on établira son programme de sensibilisation, on pourra prévoir une campagne dédiée à cette prise de conscience et, ensuite, en rappeler régulièrement les éléments importants dans les campagnes suivantes.
Par Michel GERARD, CEO de Conscio Technologies