Spearphishing, ransomware, téléchargement de logiciels malveillants… Ces menaces de cybersécurité touchent les salariés de toutes entreprises, notamment en télétravail. La sensibilisation à la cybersécurité est aujourd’hui indispensable.
Des risques économiques et politiques
Les cyberattaques dans les entreprises et les administrations répondent à des intérêts économiques et parfois politiques, selon le secteur d’activité ciblé.
Comme l’explique le site vie.publique.fr, les objectifs des hackers peuvent être :
- De voler de l’argent à un particulier ou à une entreprise
- De capter la clientèle d’une entreprise
- De nuire à la réputation d’une entreprise ou d’un acteur/parti politique
- De mettre en place un espionnage industriel, politique ou militaire
- …
Les collaborateurs d’une organisation sont en première ligne face à ces risques de cybersécurité qui se multiplient. La sensibilisation à la cybersécurité est ainsi indispensable pour qu’ils puissent en prendre conscience et réagir en conséquence.
Les actions de sensibilisation à la cybersécurité :
Programmer des formations régulières
Les formations en cybersécurité concernent l’ensemble des collaborateurs de l’entreprise et doivent être proposées régulièrement. Il est préférable de les organiser en petit comité pour favoriser les échanges et, si possible, de les adapter aux profils de métiers.
En effet, former un public de comptables ou de professionnels des ressources humaines à la cybersécurité est différent de former un public de développeurs ou de commerciaux. Segmenter les formations par métiers permet également d’aborder des sujets précis et concrets pour chaque enjeu professionnel (réseaux wi-fi en déplacement, e-mails frauduleux…). Idéalement, les modules de formations doivent être courts et ne pas dépasser 1 heure. Au-delà de cette durée, le risque est de générer de la lassitude et d’altérer la bonne compréhension du message.
Il peut être intéressant de conclure chaque formation par la transmission d’un document pratique et synthétique. Celui-ci servira de mémo au collaborateur. Pour le côté ludique, proposer des quiz suite aux formations, avec des récompenses à la clé, incite les collaborateurs à s’intéresser au sujet.
Utiliser la gamification
Toujours dans une visée plus ludique, la gamification lors d’une sensibilisation à la cybersécurité s’avère performante. Différents organismes proposent des escape game ou cyber game sur le thème de la sécurité informatique, durant lesquels les salariés se mettent par exemple dans la peau d’un hacker. Ces jeux de rôles et formations interactives permettent de mieux prendre conscience des risques, tout en atténuant l’aspect anxiogène du sujet.
Faire appel à des acteurs marquants
Pour des formations à plus grande échelle, faire intervenir un acteur reconnu en cybersécurité est un bon moyen de capter l’attention du public. Les salariés bénéficient ainsi d’une expertise poussée. Il peut s’agir d’organismes spécialisés en sécurité informatique, de chercheurs universitaires ou encore d’experts en cyberdéfense, selon le secteur d’activité et les enjeux de l’entreprise.
Renforcer la communication interne
Les salariés nécessitent d’être informés régulièrement sur les actualités relatives à la cybersécurité, qu’elles concernent directement leur entreprise ou non. Le fait de donner des exemples concrets d’incidents et leurs conséquences est un bon moyen de sensibilisation.
Par exemple, les attaques de spearphishing sont actuellement en hausse et concerne de plus en plus d’organisations. Ce type de cyberattaque cible de façon précise un salarié d’une entreprise ayant accès à des informations sensibles. Généralement, ce procédé repose sur de l’usurpation d’identité et de l’ingénierie sociale forte. L’objectif du hacker est d’envoyer un e-mail cohérent par rapport à l’activité de la personne ou de l’entreprise ciblée, en l’incitant à cliquer sur un lien malveillant ou à ouvrir une pièce jointe infectée. De ce fait, les données du salarié peuvent être comprises. Le taux de réussite du spearphishing est important et inquiétant. Communiquer ce type d’informations auprès des salariés, par e-mail, via un réseau social d’entreprise ou dans un référentiel interne, est nécessaire. Ces communications peuvent être accompagnées de quelques pratiques concrètes à mettre en place pour ne pas se faire piéger.
Par ailleurs, en cas d’incident, les salariés doivent réagir vite, notamment si leur poste est infecté et donc inutilisable. Pour les aider, la distribution de « fiches SOS » portant sur différentes problématiques est utile (exemple : « j’ai cliqué sur un mauvais lien, que dois-je faire ? »). Les salariés y retrouveront les coordonnées du service support et quelques actions simples à réaliser, en attendant d’être accompagnés. Ces fiches sont particulièrement recommandées pour les télétravailleurs qui sont davantage livrés à eux-mêmes face à ces problématiques de sécurité.
À lire aussi :
Faire des campagnes de tests
Enfin, pour la sensibilisation à la cybersécurité, rien de tel qu’une (fausse) cyberattaque. Les campagnes de test de cybersécurité concernent toute l’entreprise et recouvrent un double objectif. Elles démontrent aux salariés que les attaques peuvent les concerner et mesurent ainsi leur niveau de vigilance. Généralement, ce sont des campagnes de phishing qui sont organisées, puisque ce type d’attaque par mail demeure le plus courant. À l’issue de ces campagnes de test, et selon les résultats, des modules de formation supplémentaires devront être proposées aux salariés.
3 précautions indispensables pour sensibiliser à la cybersécurité
Miser sur la diversité des actions
Libérer du temps pour se former n’est pas toujours simple et la majorité des salariés se rendent en formation cybersécurité en traînant les pieds. La clé est donc de diversifier les formations, pour aborder le sujet sous différents angles, en diffusant des informations concrètes et pratiques. Sans oublier l’aspect pédagogique et ludique !
Adapter la sensibilisation aux métiers
Il est important pour les salariés d’apprendre des techniques pour se protéger mais aussi et surtout de prendre conscience que chacun est une cible à part entière pour les hackers aujourd’hui. La sensibilisation globale des effectifs doit se faire en même temps que la sensibilisation des différents profils métiers.
Renforcer les formations des télétravailleurs
Si tous les salariés nécessitent d’être formés à la sécurité informatique, c’est encore plus le cas pour les télétravailleurs. En effet, depuis l’avènement du télétravail, les cyberattaques ont bondi et leur coût pour l’entreprise également. Les entreprises ont tout intérêt de maximiser les formations à destination des télétravailleurs tout comme leur support à distance en cas d’incident.
Découvrir d’autres bonnes pratiques sécurité en télétravail :
