Metsys Blog

Comment faire de vos collaborateurs votre première ligne de défense ?

Cliquez pour évaluer cet article !
1 avis

Dans notre article « Episode 1 : mieux vaut prévenir que guérir », nous avions rapidement évoqué la sensibilisation des collaborateurs. À travers cette nouvelle série d’articles, nous allons aller plus loin pour vous donner une vision plus précise de ce que peut être une campagne de sensibilisation.

De la sensibilisation à la sécurité

Un constat : pas de repos pour les cybercriminels 

Les derniers rapports sur l’état de la menace en 2022 sont sans appel :

  • Les attaques par ransomware demeurent le principal vecteur pour les cybercriminels ;
  • L’exploitation de failles de sécurité (vulnérabilités) est en augmentation pour la diffusion des ransomwares ;
  • Les tensions géopolitiques actuelles pourraient s’étendre au cyberspace via des attaques ciblant les entreprises, les chaines d’approvisionnement ou encore les infrastructures.

Et, selon l’éditeur français WatchGuard « le nombre d’attaques par rançon logiciel détectés au 1er trimestre 2022 atteint déjà le double du nombre total de détections en 2021 »

Bien que les entreprises tentent de maintenir un bon niveau de sécurité au sein de leur environnement informatique, l’erreur humaine reste le maillon faible dans leur chaine de défense, et les cybercriminels le savent bien. On estime que plus de 90% des incidents de sécurité sont d’origine humaine. Estimer que vos collaborateurs ont bien conscience des dangers que leurs comportements peuvent faire courir à votre entreprise est illusoire. Former vos collaborateurs devient donc essentiel pour diminuer les risques.

Vos premiers pas vers la sensibilisation

On pourrait croire, à première vue, que mettre en place des actions de sensibilisation est simple : 3 affiches dans la salle de pause, un mail d’information par mois pour rappeler les bons gestes… et voilà, c’est fait. Cette méthode était celle qui pouvait être valable il y a 10 ou 15 ans, avant que les cybercriminels ne se professionnalisent (et encore) et que les technologies n’explosent. Aujourd’hui, la sensibilisation est un vrai sujet qui demande un travail de fond de la part des directions générales et des parties prenantes de l’entreprise.

L’élaboration d’une stratégie dédiée à la sensibilisation est aussi importante que celle pour recruter des collaborateurs. Elle doit, en effet permettre de définir les objectifs, les cibles et les actions qui en découlent. Sans cette étape, les risques que la campagne soit inefficace peuvent être grands. Par ailleurs, il est également recommandé de créer une équipe dédiée à ce projet, composée des différents services et supervisée par un membre de la direction, pour être pilotée et mise en place. À noter que si votre organisation compte plus d’un millier de salariés, il est préférable de faire appel à des professionnels pour vous accompagner dans la création de cette campagne. En effet, ils vous aideront à définir les différentes cibles à adresser, à créer les bons messages, les outils de communication…

Une fois votre stratégie validée, reste à créer votre plan d’actions. Pour aider, voici quelques méthodes couramment utilisées par les entreprises :

  • Créer un guide de bonnes pratiques informatiques

Dans ce document, vous fixerez toutes les conditions d’utilisation des différents outils numériques mis à disposition de vos salariés : ordinateurs portables, Internet, photocopieuses, clés USB… Il est impératif que ce guide soit clair et précis et qu’il soit compréhensible par tous.

  • Communiquer partout et pour tous

Votre campagne doit s’appuyer sur un affichage dans l’ensemble de vos locaux. L’objectif de cette communication sera de rappeler, par exemple, les bons gestes à adopter (ne pas utiliser une clé USB trouvée dans la rue, ne pas cliquer sur une pièce jointe douteuse…).

  • Mettre en situation vos collaborateurs

Rien de tel pour évaluer leur niveau de maturité que de les confronter à une attaque par phishing. Vous pouvez vous appuyer sur des sites tels que bluesecure.fr ou avantdecliquer.com, pour créer vos propres campagnes.

  • Faire des formations en ligne

Autre vecteur de sensibilisation, les sessions de e-learning pour permettre à vos salariés de se former à la cybersécurité (reconnaître les méthodes de cyberattaques, apprendre les bons gestes pour y faire face…)

  • Challenger vos collaborateurs

Afin de valider leurs connaissances acquises tout au long de la campagne, vous pouvez également réaliser un jeu concours sur la base de questions liées à la cybersécurité.

Conclusion

Même si cela vous semble chronophage, voire inutile, nous vous recommandons vivement d’y réfléchir, et si vous pensez ne pas être en mesure de mettre en place une campagne efficace, n’hésitez pas à faire appel à des experts.

Dans le prochain épisode, nous vous proposerons l’exemple d’une campagne conçue pour la sensibilisation d’une entreprise d’une centaine de personnes, dans le secteur de l’industrie automobile (équipementier).

Pour aller plus loin :

https://www.cybermalveillance.gouv.fr/medias/2019/02/kit_complet_de_sensibilisation.pdf

Notez cet article

Vous avez aimé cet article ?

Rendez-le plus visible auprès des internautes en lui mettant une bonne note.

Cliquez pour évaluer cet article !
1 avis

Articles pouvant vous intéresser

RETEX CERT

Tout d’abord, en termes d’éthique et pour respecter la confidentialité des sujets aussi sensibles que