Sensibiliser vos équipes aux risques cyber : comment faire ?

Sensibiliser vos équipes et employées à la Cybersécurité, aujourd’hui, dans un monde où tout est numérisé, la cybercriminalité explose et les entreprises de toutes tailles peuvent devenir la cible d’attaques (hameçonnage, ransomware, espionnage…) qui visent à obtenir des informations personnelles (données bancaires, identifiants) afin de les exploiter, les revendre ou de réaliser des actes malveillants (crime, vol, rançons).

Ces cyberattaques ont malheureusement un panel de conséquences très vaste.

À l’heure où le phishing ou hameçonage est l’attaque la plus répandue (79% des cyberattaques en 2020), les hackers misent davantage sur l’erreur humaine pour augmenter les chances de réussite de leurs attaques !

C’est là où vos collaborateurs, correctement sensibilisés, peuvent jouer un rôle crucial et s’imposer comme les derniers remparts des actions malveillantes des cybercriminels.

Si aujourd’hui, 77% des entreprises estiment que leurs salariés sont sensibilisés à la cybersécurité, 63% pensent que ces mêmes salariés n’appliquent pas tous les recommandations données (Rapport d’information n° 678 du Sénat)!

Comment faire pour vous aider à mieux sensibiliser vos équipes aux risques cyber.

Voici quelques conseils applicables dès à présent.

1. Culture d’entreprise & culture du risque : Connaitre les risques cyber principaux qui menacent votre entreprise

Pour vous assurer que vos employés comprennent l’importance de la cybersécurité et l’impact considérable que peut avoir une attaque informatique, vous devez intégrer la sécurité informatique et la protection des données dans la culture de votre entreprise.

Les entreprises de toutes tailles et de tous secteurs doivent avoir une culture du risque, c’est-à-dire connaître l’ensemble des risques auxquels elles peuvent être confrontées ou qui les menacent. Le risque cyber doit en faire partie.

Ainsi, elles peuvent mettre en place une stratégie de sécurité complète pour protéger leurs données et leur réputation, limiter les menaces et réduire les impacts dans le cas d’attaque.

2. Impliquer tout le monde

Comme on l’a dit plus haut, l’erreur humaine est responsable de neuf incidents de sécurité sur dix. Et souvent, il s’agit d’employés bien intentionnés qui se sont laissés piéger. Tous les services et toutes les fonctions sont concernées par la sécurité informatique : du marketing aux finances en passant par les ressources humaines ou la compta car chacun de vos salariés peut, par exemple, être victime de phishing (ou hameçonnage) ou télécharger un document qu’il n’aurait pas dû.

3. Avoir un plan d’action pour gérer un incident et assurer la pérennité de l’entreprise

Le nombre moyen de cyberattaques avérées par entreprise s’élève à 42 par mois sur les dix premiers mois de 2021, contre 37 en moyenne sur la même période en 2020, selon le rapport d’Orange Cyberdéfense.

Selon une étude de la CPME, 20% des TPE-PME déclarent avoir subi une ou plusieurs cyber-attaques. Ces attaquent se manifestent de diverses manières :

Paralysie totale du site internet de l’entreprise;
Vol de données issues de fichiers clients ;
Cryptage du système informatique de l’entreprise (ransomware) et demande de rançon.

Il est donc important de savoir comment vous allez réagir et quelles actions immédiates vous allez appliquer à la découverte d’une attaque.

De quelles ressources vous aurez besoin pour réagir et pour rebondir ?

Comment vous allez communiquer avec vos clients ?

Quelles sont les actions précises que vous allez demander à chacune de vos équipes ?

De quelles informations vous aurez besoin dans le cas où vos données ne sont plus accessibles ?

Quels services spécialisés seraient utiles (Police et Gendarmerie nationale, logicielle Pharos, Cybermalveillance… ) ?

Toutes ces questions viennent alimenter le plan d’action que vous allez créer.

4. Sensibiliser et informer les nouveaux arrivants dès leur intégration dans l’entreprise et après…

Transmettre la charte informatique de votre entreprise à tout nouveau salarié intégrant votre entreprise et lui la faire signer pour vous assurer sa bonne lecture, c’est bien….

Prévoir une formation à la cybersécurité dans le parcours d’intégration de votre nouveau salarié, c’est mieux ! …

Ceci est un excellent moyen de vous assurer que chaque nouvel employé connaît bien les bonnes pratiques de cybersécurité à appliquer dans l’entreprise. Grâce à cette initiative, vos employés prendront conscience que la cybersécurité est pour vous une priorité, et qu’ils devraient, eux aussi, la prendre au sérieux.

Lors du processus d’intégration, il vous faudra prendre le temps d’expliquer:

votre politique de cybersécurité et expliquer comment elle s’applique au quotidien ;
la charte informatique ;
les principales cyber menaces pour lesquelles le collaborateur se doit d’être vigilant ;
les bonnes pratiques à suivre pour travailler en toute sécurité, aussi bien à distance qu’au bureau (voir mes articles sur les mots de passe ou sécuriser l’envoi de vos documents par example) .

Évidemment, la sensibilisation à la cybersécurité ne doit pas s’arrêter au parcours d’intégration dans l’entreprise. Former vos collaborateurs tout au long de leur carrière est indispensable pour assurer la sécurité de votre réseau et de vos données.

L’ensemble de vos salariés doit participer à une formation sur la sécurité informatique régulièrement (1x/an, par exemple). Celle-ci doit s’appuyer sur des exemples concrets afin que vos collaborateurs se rendent mieux compte des dangers auxquels ils peuvent être confrontés.

L’idéal est de proposer une formation présentant les bases de la cybersécurité à l’ensemble des collaborateurs de votre entreprise.

5. Montrer à vos équipes ce qui peut arriver en cas d’incident et organiser des « attaques tests »

Utiliser des exemples concrets permettra de faire comprendre aux collaborateurs le pourquoi de votre politique de cybersécurité. Ils se sentiront ainsi plus impliqués pour appliquer vos recommandations et devenir, à leur tour, de « bons élèves » en matière de cybersécurité.

Par exemple, si votre entreprise a déjà été victime d’une cyberattaque, expliquez à vos équipes comment elle s’est produite, quel a été l’impact pour l’entreprise et quelle quantité des ressources a dû être déployée pour gérer l’incident.

Si vous n’avez jamais eu de problème de sécurité, vous pouvez aussi présenter des exemples de cyberattaques ayant eu lieu dans d’autres entreprises de votre secteur.

Un moyen très efficace pour que vos salariés se rendent comptent par eux même des actions à mettre en place et pourquoi il est nécessaire qu’ils soient sensibilisés, est d’organiser des exercices de simulation de cyberattaque.

Car pour vraiment comprendre l’importance de la cybersécurité, vos collaborateurs doivent aussi pouvoir expérimenter les différents cybers menaces par eux-mêmes.

Par exemple, si vous simulez une attaque par hameçonnage au sein de votre entreprise et que vous constatez que la moitié des employés ont ouvert la pièce jointe contenue dans le mail de phishing, vous pourrez en conclure qu’ils ont besoin d’une formation plus poussée sur ce sujet .

Ce sera également pour vous l’occasion de tester le niveau de sécurité de vos infrastructures et de vos réseaux et vérifier les réactions et réflexes numériques de vos salariés face à un incident. Vous pourrez alors mettre à jour votre plan d’action.

Pour conclure cet article, n’oubliez pas : Face aux cybermenaces, la clé c’est l’anticipation !