Cybersécurité : pourquoi sensibiliser vos collaborateurs en permanence ?
Le bureau n’est plus un lieu « statique », depuis la crise sanitaire il est devenu « nomade » (travail à domicile) et « mobile » (depuis n’importe quels appareils) avec plus d’informations disponibles, plus de données partagées et des points d’entrées et de sorties démultipliés qui rendent nos données particulièrement vulnérables aux cyberattaques.
Suite à la pandémie en France, le nombre de cyberattaques a connu une hausse de 400% (bilan 2022).
Et, plus d’une entrepris sur deux déclare avoir subi entre une à trois cyberattaques au cours de l’année 2021.
La nécessite de former les salariés face aux cyberattaques
Si les outils de sécurité sont de plus en plus performants et de plus en plus difficiles à pénétrer, les cybercriminels (les hackeurs) en ont pris conscience et cherchent aujourd’hui à s’attaquer à une cible bien plus vulnérable : l’humain. L’humain a des failles.
Selon IBM, l’erreur humaine est impliquée dans plus de 90% des incidents de sécurité (manque d’attention, clics malencontreux, mauvaise manipulation, mot de passe trop faible…).
Les experts SSI sont unanimes, bien qu’il y ait une grande variété de facteurs qui interviennent dans l’erreur humaine, la plus évidente se résume par le manque de sensibilisation des collaborateurs qui ne connaissent pas les bonnes pratiques à adopter en matière de sécurité informatique.
Aujourd’hui, de plus en plus d’entreprises françaises ont pris conscience des risques et des conséquences des attaques informatiques, car plus de la moitié d’entre elles a déjà été la cible d’une cyberattaque. Certaines considèrent même les cyberattaques comme le risque le plus menaçant pour leur activité. De fait, la sensibilisation des utilisateurs est devenue indispensable et doit être répétée en permanence. Bien que les entreprises aient fait beaucoup d’efforts pour sensibiliser et former leurs collaborateurs aux cybermenaces, il faut savoir que les hackeurs changent tout le temps leurs modes opératoires et les attaques augmentent en nombre et en sophistication. L’enjeu n’est donc pas de former plus ou mieux, mais sensibiliser les collaborateurs en permanence pour limiter les risques.
Des gestes simples pour éviter les menaces informatiques
Dans son guide d’hygiène informatique, l’ANSSI propose 5 réflexes à adopter d’urgence, très facile à mettre en œuvre et qui peuvent être communiqués très simplement à travers différents canaux : mails, affichage, réunion, espace intranet dédié, etc.
Réflexe n°1 : les objectifs et les enjeux que rencontrent l’entreprise doivent être expliqués et adaptés au niveau technique de compréhension des collaborateurs.
Reflexe n°2 : Les informations considérées comme sensibles doivent être recensées et connues par les collaborateurs (qu’elles sont celles qui sont susceptibles d’affecter ou d’interrompre l’activité en cas de perte ou d’altération ? Quelles sont les données soumises à des obligations légales ? Y a-t-il un fichier clients ? etc.)
Réflexe n°3 : Les règlementations et obligations légales doivent être communiquées (une charte précisant les règles et consignes que doivent respecter les utilisateurs peut être envisagée).
Réflexe n° 4 : Les règles et consignes de sécurité́ de l’activité́ quotidienne doivent être connues et appliquées (respect de la politique de sécurité́, non-connexion d’équipements personnels au réseau de l’entreprise, non-divulgation de mots de passe à un tiers, non-réutilisation de mots de passe professionnels dans la sphère privée et inversement, signalement d’évènements suspects, etc.)
Réflexe n°5 : Les moyens disponibles et participant à la sécurité́ du système doivent être exécutés (verrouillage systématique de la session lorsque l’utilisateur quitte son poste, outil de protection des mots de passe, etc.)
Le vieil adage selon lequel Mieux vaut prévenir que guérir doit s’appliquer à tous, car la cybersécurité n’est pas que l’affaire de RSSI (Responsable de la sécurité des systèmes d’information) ou autres experts en sécurité, contrairement aux idées reçues.
Depuis plus d’un an, notre cabinet intervient auprès d’acteurs de la formation et des branches professionnelles sur le développement de parcours certifiants autour des enjeux de la cybersécurité pour les aider à définir leurs référentiels de certification et leurs parcours de formation nécessaires à la montée en compétences des équipes opérationnelles et techniques sur la sécurité informatique.
Nos différents travaux avec eux et que nous continuons à faire nous font prendre conscience que les collaborateurs jouent un rôle essentiel dans la défense de leur organisation et dans l’identification des menaces susceptibles de mettre en danger leur entreprise. Nous espérons que cet article vous sera utile dans vos actions de sensibilisation et vous aidera à passer à l’action, car oui, il y a urgence à développer sa cyber-résilience !
Pour plus d’information : guide d’hygiène informatique ANSSI : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
Encore un instant ? Découvrez nos 2 dernières publications !
La révision des grilles de classification : enjeux et méthodologie pour les branches professionnelles en pleine mutation
Dans notre dernière note de synthèse, nous explorons Les enjeux...
Lire la suite ...La place des certifications professionnelles dans la GEPP
Les certifications professionnelles sont un levier clé dans la GEPP....
Lire la suite ...