En sensibilisant leurs collaborateurs, les entreprises peuvent réduire significativement les risques cyber liés à l’humain et ainsi mieux protéger leur système d’information. Par Juba Touati, consultant GRC chez Synetis.
Aujourd’hui, quand on parle de cyberattaque et prévention, les premières réactions ressemblent souvent à : « je ne suis pas concerné.e par ce sujet », « je suis prudent.e ça ne se passera pas à cause de moi »… Cependant, regardez autour de vous. Ne voyez-vous jamais vos collègues prendre des raccourcis pour gagner du temps (partage de mots de passe entre collègues, enregistrement de mots de passe sur un Word dans un espace partagé ou utilisation du même mot de passe pour toutes les authentifications…) ? N’avez-vous jamais vu l’un de vos collègues utiliser son ordinateur professionnel pour un usage personnel (utilisation de sa messagerie personnelle, installation de nouveaux logiciels non approuvés par le service IT – c’est ce que l’on appelle le « Shadow IT » – visionnage de films sur des sites de streaming, téléchargement sur des sites peu sécurisés…) ?
Selon une récente étude, 95 % des incidents de cybersécurité découlent de ce que l’on appelle une erreur humaine – résultat d’une méconnaissance des dangers et des bonnes pratiques numériques. En sensibilisant leurs collaborateurs, les entreprises peuvent réduire significativement les cyber-risques liés à l’humain et protéger ainsi davantage leur système d’information (SI).
La dimension humaine peut être appréhendée, en cybersécurité, de deux manières : l’humain peut être considéré comme un maillon faible – et ainsi parler de « négligence humaine » – ou décider de l’accompagner pour devenir le maillon fort de la stratégie de sécurité informatique de son entreprise. Évidemment, les deux perceptions se complètent ; mais il est essentiel de ne pas se focaliser sur cette première vision négative – qui ne mène finalement nulle part.
Un vecteur d’attaque humain ?
Comme nous l’avons constaté dans les médias et, ce, surtout durant cette récente période de conflits et de crise sanitaire – menant à la généralisation de nouveaux modes de travail tels que le télétravail, personne n’est épargné et surtout pas vos collaborateurs. Ils sont même devenus une cible de prédilection pour les hackers et groupes cybercriminels. Il est donc important de les préparer via un programme de sensibilisation global – en leur offrant une vue d’ensemble sur les multiples menaces existantes dans l’écosystème cyber, ainsi qu’en leur apportant les bonnes pratiques à mettre en place en termes de sécurité informatique quotidienne.
Les cybercriminels n’ont pas prévu de tirer leur révérence. En effet, les attaques par rançongiciel seront bel et bien de la partie ces prochains mois et continueront leur ascension fulgurante en 2023. Vos équipes n’échapperont pas non plus aux tentatives d’hameçonnage (aussi nommé phishing) ou à l’ingénierie sociale (pratique de manipulation visant à extorquer des informations confidentielles). Ces attaques vont d’ailleurs devenir de plus en plus difficiles à identifier – grâce à l’utilisation de techniques toujours plus sophistiquées. Approchés sur leurs téléphones portables ou encore via leurs réseaux sociaux… les utilisateurs vont devoir redoubler de vigilance sur les différents canaux de communication qu’ils utilisent au quotidien.
Sensibiliser oui, mais par où commencer ?
Pour faire face à ces nouvelles menaces, il est important que vos collaborateurs comprennent les consignes de cybersécurité qui leur sont données. En effet, il est difficile pour un utilisateur non aguerri de comprendre l’importance des listes de recommandations, consignes et bonnes pratiques – souvent contraignantes. Former ses collaborateurs ne sert à rien si l’on ne fait pas en sorte qu’ils appréhendent mieux le contexte et que leur adhésion et leur motivation soient challengées et pérennes dans le temps.
Lors de la création de vos sessions de sensibilisation, pensez à aborder les aspects techniques par catégories de risques – pour mieux comprendre les bonnes pratiques qui en découlent. Fermer sa session et ranger ses documents, par exemple, sont deux pratiques simples à mettre en place qui entrent dans la catégorie des risques dus à l’ingénierie sociale. Dans la catégorie des risques d’interception, vous pouvez conseiller le chiffrement des messages et fichiers confidentiels lors de leurs envois (surtout à destination d’une personne externe à l’entreprise). Et en rapport notamment avec la catégorie de risques ransomwares – mentionnés plus haut, n’hésitez pas à conseiller la mise en place de sauvegardes régulières des documents importants sur des supports externes. Placer des connaissances techniques dans leur contexte permettra également à chacun de suivre l’actualité. En effet, à mesure que la technologie évolue, les risques changent et les instructions perdent en fiabilité.
Quelles thématiques sont à aborder en priorité ?
Les thèmes de cybersécurité à aborder en priorité, lors d’ateliers de sensibilisation, diffèrent d’une entreprise à l’autre. Effectivement, les sujets doivent être choisis et abordés selon la maturité cyber de la structure – ou suite à une analyse de risques. Le choix reste sous la responsabilité des équipes SSI, toutefois, les principales thématiques à aborder pour mieux sensibiliser vos collaborateurs sont : les attaques par phishing et ransomware, l’ingénierie sociale, la sécurité informatique en télétravail, les mots de passe et l’authentification, la sécurité des appareils mobiles, l’utilisation des réseaux sociaux ou encore l’utilisation du Wifi public.
Rassurez-vous, vous n’avez pas besoin d’être un.e formateur.rice expérimenté.e lors de la mise en place de ces sessions de sensibilisation. Le plus important étant tout simplement d’inciter vos collaborateurs à prendre le contrôle de leur sécurité en se posant les bonnes questions. Le message clé à transmettre est dans toute structure : renseignez-vous avant de faire confiance à qui ou quoi que ce soit. Alimenter une certaine méfiance – face aux e-mails ou sms reçus par exemple – est d’une importance majeure.
Mais comment bien sensibiliser vos collaborateurs ?
Pour bien sensibiliser vos équipes, il ne suffit pas de simplement délivrer des consignes, indications ou bonnes pratiques. Il est important de leur donner du sens. De fait, il est essentiel que vos collaborateurs comprennent quels rôles ils jouent dans la stratégie de cyberdéfense de leur entreprise. Ils doivent appréhender les risques existants et connaître l’impact de leurs usages numériques quotidiens sur la sécurité du SI.
En outre, la théorie doit être un point de départ, mais l’associer à la pratique est indispensable ! La pratique peut alors se traduire, par exemple, par la réalisation de simulations d’exercice de tentatives de phishing. Ces simulations vous permettront de mettre vos collaborateurs en conditions réelles pour les entraîner à réagir du mieux possible en cas de cyberattaque. Ils pourront ainsi mettre en pratique les différentes consignes délivrées lors de sessions de formation et acquérir plus rapidement les automatismes.
Le choix du format de vos actions de sensibilisation, lui, ne doit pas être laissé au hasard. Certains sont plus propices à une meilleure mémorisation de l’information. Ne vous contentez donc pas de diffuser des supports et de réaliser des conférences. Favorisez des formats ludiques, laissant place à une plus grande interactivité. Le programme d’e-learning peut être une solution intéressante, que ce soit en termes de format comme de rythme de sensibilisation. Pour cela, il doit être adapté aux activités de l’entreprise et adapté au niveau de connaissances des collaborateurs.
Pour de meilleurs résultats, responsabilisez vos collaborateurs en les impliquant dans votre politique de cybersécurité. En s’impliquant davantage, vos équipes deviendront plus vigilantes et plus concernées par les mesures de sécurité informatique mises en place dans votre entreprise. Considérez vos collaborateurs comme les principaux détenteurs des « clés » importantes de votre château ! Entraînez-les pour faire face et distinguer les différents pièges des attaquants, armez-les des outils de sensibilisation à la sécurité dont ils ont besoin et accompagnez-les. Votre système d’information sera ainsi plus que jamais en sécurité !