Cybersécurité : 5 points clés pour sensibiliser vos équipes

Selon la Harvard Business Review, lors d’une attaque visant une entreprise, les hackers ciblent « l’humain » plutôt que « la machine » dans 99% des cas. En effet, ils misent particulièrement sur l’erreur humaine et la méconnaissance des bonnes pratiques en matière de cybersécurité, pour atteindre leur but. Pour preuve, l’email reste le principal vecteur de contamination dans le cadre des cyberattaques.

Ces structures doivent donc réduire le « facteur de risque humain » au sein de leur organisation. Surtout si elles souhaitent éviter des dépenses (parfois très élevées) pour réparer les dégâts occasionnés par une attaque. Pour se faire, il est impératif qu’elles bâtissent une politique de cybersécurité interne solide. Notamment en organisant des opérations de sensibilisation et de formation de leurs équipes aux cyber-risques.

Sensibiliser ses équipes à la cybersécurité : enjeux, menaces & conséquences

Vous pensez peut être que votre société est « trop petite pour attirer l’attention des hackers » ? Que « seuls les grands groupes sont victimes de cyberattaques » ? Et bien détrompez-vous ! Selon un rapport publié par l’assureur Hiscox, près de la moitié des entreprises françaises ont subi une cyberattaque en 2020. Contre à peine plus d’un tiers l’année précédente.

Les entreprises ont conscience, la plupart du temps, des risques qui pèsent sur leur activité. Cependant elles n’utilisent pas toujours les moyens adaptés pour s’en protéger. Et elles oublient beaucoup trop souvent que le facteur humain représente maintenant une faille potentielle dans la sécurité de leur système d’information. A contrario des pirates qui l’ont très bien compris et n’hésitent pas à exploiter cette brèche.

illustration hacker qui profite du fait qu'une entreprise n'a pas sensibilisé ses équipes à la cybersécurité

Les menaces qui pèsent sur votre activité

Voici les cyber-risques les plus courants, auxquels vous pouvez être confronté :

  • le phishing : que nous avons déjà évoqué dans un article concernant la protection de vos boîtes mail.
    Cette pratique consiste à envoyer des emails, en se faisant passer pour un organisme officiel (banque, site e-commerce, organisation gouvernementale, etc…) dans le but de soutirer des informations personnelles à leurs destinataires (mots de passe, coordonnées bancaires, etc…). Certaines campagnes de phishing sont d’ailleurs très ciblées grâce aux informations trouvées sur les destinataires par le biais des réseaux sociaux ou de leur activité sur le web (spear-phishing)
  • les ransomwares : dont nous avons parlé en détail dans un article expliquant comment s’en protéger.
    En résumé, un ransomware est un logiciel malveillant, qui une fois installé sur un poste, bloque l’accès aux données qu’il contient et demande une rançon à la victime en échange de ses données. Bien sûr ce type de malwares peut tout à fait se propager sur un réseau d’entreprise et infecter d’autres postes.
  • l’exploitation des failles de sécurité du réseau : par exemple, en utilisant une connexion wifi non-sécurisée pour accéder aux données d’entreprise, les données et mots de passe transitant par ce réseau peuvent être interceptés par un pirate.
  • l’exploitation des vulnérabilités des logiciels et applications : non mis à jour, qui permettent aux cybercriminels de mener plusieurs types d’attaques (vol ou fuite de données, injection de code malveillant, etc…).
  • l’infection par un périphérique externe : comme par exemple le fait de brancher une clé USB « inconnue » et infectée par un virus sur un sur un PC connecté au réseau d’entreprise.

Les conséquences d’une cyberattaque pour une entreprise

Et les conséquences d’une de ces attaques peuvent être désastreuses pour votre entreprise. Concrètement vous vous exposez potentiellement à :

  • Des frais financiers : pour gérer les réparations ou dépannages nécessaires, la récupération de données perdues, l’achat de nouveau matériel/logiciel.
  • L’interruption de votre activité : qui peut vous coûter cher si vous n’avez pas mis en place de Plan de Reprise d’Activité
  • Une perte de données
  • Une chute de la réputation de votre entreprise : si l’attaque a des répercussions auprès de vos cibles, clients, partenaires ou fournisseurs.
  • Des conséquences juridiques : notamment en terme de RGPD, où vous êtes tenus d’assurer la sécurité des données personnelles contenues dans vos bases.

Les enjeux de la sensibilisation à la cybersécurité

Face à ces menaces, une entreprise doit donc former ses équipes pour qu’elles puissent jouer un rôle de « gardien » dans la sécurité de l’organisation. Et pour participer activement à la protection des données de l’entreprise, elles ont besoin de posséder les connaissances nécessaires.

C’est pourquoi, en les initiant aux bonnes pratiques à adopter face à une cyberattaque, elles sauront analyser la situation rapidement. Mais surtout, elles auront les bons réflexes pour réagir sans mettre en danger la société. A terme, cette stratégie représente un atout cybersécurité précieux pour votre structure, car vous obtiendrez :

  • un gain de compétences non-négligeable pour vos équipes
  • une hausse du niveau de cybersécurité global dans votre entreprise
  • ainsi que le développement d’une culture d’entreprise durable autour de la cybersécurité
illustration enjeux pour une entreprise de sensibiliser ses équipes à la cybersécurité

Comment sensibiliser ses équipes à la cybersécurité ?

1. Former vos équipes en continu

Après une première présentation qui détaillera tous les types de menaces potentielles et comment s’en prémunir, il faudra veiller à un engagement permanent de vos équipes.

Dans l’idéal, tout nouvel arrivant dans votre structure devrait suivre cette formation. Cela leur permettra d’intégrer que la cybersécurité fait partie de l’ADN de votre structure. Et par conséquent qu’ils seront régulièrement sensibilisés sur ce sujet.

Pour ce faire, nous utilisons des cas pratiques ou des exemples pris dans l’actualité pour que vos collaborateurs se rendent compte des dangers auxquels ils peuvent être confrontés, de leurs conséquences sur l’entreprise et des bon réflexes à adopter pour éviter les pièges. N’hésitez pas à varier vos supports (jeux de rôle, vidéo, quizz, etc…) et à les adapter selon le niveau et le poste de vos collaborateurs.

Vous pouvez également les mettre en situation car rien ne vaut la pratique pour apprendre. Par exemple, organisez une fausse campagne de phishing qui vous permettra d’expliquer à vos équipes comment reconnaître ce type de cyberattaque (adresses email suspectes, liens douteux, etc…)

2. Testez leurs connaissances régulièrement

Pour que vos collaborateurs intègrent les bonnes pratiques en matière de cybersécurité, une formation ponctuelle ne sera pas suffisante. Il faudra tester vos équipes, de préférence par surprise, lorsque leur vigilance est moins élevée (fin de journée, vendredi après-midi, avant des congés, etc…).

Vous pourrez ainsi évaluer leurs connaissances et l’application de celles-ci dans des situations concrètes. Cette méthode vous permettra d’améliorer leur intégration des réflexes à adopter selon les types d’attaques menées (test d’intrusion, phishing, etc…).

Enfin pour que ces tests soient efficaces, il faut les espacer dans le temps. C’est le meilleur moyen de vérifier que les bonnes pratiques sont comprises, acquises et appliquées.

3. Rédigez une charte informatique

Rédigez un document qui détaille la politique de cybersécurité de l’entreprise et doit être accessible à tous en temps réel. Ceci dans le but que chacun puisse s’y référer en cas de doute.

Cette charte peut être exhaustive et doit informer vos équipes sur :

  • le matériel et les logiciels/applications mis à leur disposition
  • les usages autorisés de ces outils
  • les règles de protection des données
  • les procédures de connexion au réseau
  • les sanctions éventuelles appliquées en cas de non-respect de ces règles
  • etc…

Plus cette charte sera claire et précise, plus vos consignes seront respectées.

illustration rédiger une charte informatique pour sensibiliser ses équipes à la cybersécurité

4. Communiquez en interne autour des cyber-risques

Dans l’idéal, informez régulièrement l’ensemble de vos collaborateurs des cyber-menaces actuelles.

Par exemple, durant le printemps 2020 on a observé une recrudescence d’attaques informatiques visant aussi bien les établissements de santé que les collectivités ou les entreprises. Les pirates ont profité de la confusion liée à la pandémie pour notamment envoyer des campagnes de phishing plutôt convaincantes concernant le Covid-19 (demande de dons pour la recherche, vente de masques, etc…)

Dès qu’une information de ce type est connue, relayez la à vos collaborateurs pour qu’ils en prennent connaissance à leur tour. Ainsi vous limiterez le risque que quelqu’un tombe dans le piège des hackers.

5. Réalisez des sessions de live-hacking

Enfin, pour sensibiliser vos équipes à la cybersécurité, vous pouvez également organiser des sessions de live-hacking (reproduction factice d’une cyberattaque). Avec l’aide de votre prestataire vous pouvez simuler une attaque (campagne de phishing, test d’intrusion, attaque DDoS, etc…) pour évaluer vos moyens de protection actuels ainsi que la réaction de vos équipes. Mais également montrer à ces dernières le mode opératoire des pirates et les comportements qui favorisent ou freinent la réussite d’une attaque.

Nous espérons que l’intérêt de sensibiliser vos équipes à la cybersécurité est désormais plus évident pour votre entreprise. Et si vous souhaitez aller plus loin en évaluant la sécurité de votre infrastructure, n’hésitez pas à nous solliciter !

Vous pourriez lire aussi :

Menu