Sensibilisation aux risques cyber
C’est un fait : les attaquants redoublent d’ingéniosité pour rendre leurs attaques de phishing réalistes et de moins en moins discernables par un œil non aiguisé. Pour autant, vous détenez des clés pour diminuer la réussite des cyberattaques, à défaut de les neutraliser complètement. En sensibilisant vos collaborateurs, cible privilégiée des cybercriminels, vous réduisez le nombre d'entre eux qui se laissera tromper et vous développez une culture du signalement, essentielle à la réussite de votre stratégie cyber et à votre cyber résilience.
1. Développez la culture du signalement
Vos collaborateurs, parce qu’ils sont les premiers visés par les attaquants, constituent une porte d’entrée privilégiée vers vos systèmes d’information. A ce titre, ils doivent être la première ligne de défense efficace de vos actifs digitaux. Pour autant, cela dépend de leur acculturation aux enjeux cyber, de leur connaissance des risques et de la conduite à tenir en cas d’incident. Transformez la posture de vos employés pour les faire devenir des membres actifs de votre première ligne de défense. Pour cela, votre rôle est essentiel.
a) Formez vos collaborateurs
La sensibilisation et la formation sont une première étape essentielle. En leur donnant des grilles de lecture, des éléments tangibles sur lesquels ils doivent porter leur vigilance, vous donnez à vos équipes des repères pour identifier efficacement les incidents de sécurité. On n’a jamais mieux identifié que ce que l’on connait déjà.
b) Encouragez leurs efforts
Pour que la première étape de sensibilisation soit efficace, il est important de faire passer un message clair : l’erreur est humaine et les pièges de hameçonnage tendus par les attaquants sont de plus en plus sophistiqués. Dans ce contexte, le climat de confiance entre vos collaborateurs, vos équipes cyber et informatiques est important. Faites en sorte que les collaborateurs soient encouragés dans leur démarche, qu’ils n’aient pas peur de déclarer un incident. Le climat incitatif et non-punitif que vous instaurez sur ces sujets est donc clé.
c) Communiquez sur les procédures
Communiquer auprès de vos collaborateurs sur le droit à l’erreur est important. Mais l’étape d’après est essentielle. Un collaborateur qui n’a plus peur de déclarer un incident doit savoir clairement comment et auprès de qui le faire. Les canaux de signalement d’incidents ou de failles de sécurité doivent être connus de vos employés et régulièrement rappelés.
2. Mesurez vos efforts
Les efforts de sensibilisation aux enjeux cyber sont cruciaux. D’ailleurs, un nombre croissant d’entreprises s’est engagé sur ce plan. Mais l’étape suivante, celle de la mesure, est plus rarement appréhendée par les organisations. Or, elle permet de piloter l’efficacité des mesures de sensibilisation adoptées. En matière de sensibilisation, deux indicateurs méritent votre attention et doivent faire l’objet d’un pilotage :
a) Le nombre d’incidents ou de fuites d’informations
Assurez-vous de surveiller attentivement ce taux et de vous efforcer activement de le réduire. Même si atteindre 0% est un objectif ambitieux, en vous rapprochant de cet idéal, vous diminuerez les efforts ultérieurs à fournir par vos équipes IT dans la résolution des incidents.
b) Le taux de signalement d’évènements suspects
Mesurer ce taux permet de piloter le degré d’adhésion de vos employés à la culture du signalement. Plutôt que de les faire se sentir coupable lorsqu’ils se rendent compte d’avoir été victime d’une campagne malveillante, encouragez-les à signaler l’incident (mieux vaut tard que jamais). Viser l’augmentation progressive de ce taux de signalement, c’est s’assurer que les collaborateurs sont acteurs de votre défense, et qu’ils prennent part de manière active à stopper les avancées des attaquants.
Les programmes de sensibilisation devraient poursuivre ces 2 indicateurs en parallèle, car c’est ensemble qu’ils permettent véritablement de mesurer l’impact des efforts déployés.
3. Engagez-vous dans une démarche de résilience et d'amélioration continue
En matière de résilience, c’est dans le domaine de la cybersécurité que les entreprises envisagent le plus d’investir les deux prochaines années (Global Crisis and Resilience Survey 2023, PwC). Cette même étude montre que les entreprises qui sont passées à un programme de résilience intégré sont bien plus avancées dans de nombreux éléments essentiels de résilience opérationnelle. Ce constat est semblable en matière de cyber résilience.
La sensibilisation et la formation de vos employés sont une étape essentielle dans votre chemin vers une plus grande cyber résilience.
Veillez à communiquer sur vos efforts, faites des failles identifiées et des incidents vécus des éléments d’apprentissage auprès de vos collaborateurs.
Assurez-vous que les messages délivrés en formation soient bien compris et appliqués. Pour ce faire, les nouvelles technologies au service de la formation peuvent vous aider à rendre vos formations attrayantes et impactantes. D’autre part, adaptez les contenus de vos programmes de sensibilisation et formation cyber aux différents publics de votre entreprise (dirigeants, utilisateurs ayant accès à des données plus sensibles, équipes informatiques, utilisateurs standards) : leurs besoins, leurs connaissances, leurs niveaux de maturité cyber sont différents mais ils doivent tous se sentir concernés à leur échelle par la cybersécurité de leur entreprise. Enfin, ne négligez pas l’étape de mise à jour de vos programmes de formation, qui intègrent les retours d’expérience, les nouvelles techniques d’attaques ou encore des éléments de veille issus par exemple d’un outil de Threat Intelligence.
La sensibilisation doit faire partie intégrante de votre stratégie en matière de cybersécurité. Pour qu’elle atteigne ses objectifs, elle doit faire l’objet d’une évaluation régulière, s’inscrire sur le long terme afin d’ancrer la culture cyber à tous les niveaux de l’entreprise, et faire des collaborateurs des acteurs de la défense de votre organisation.