Cybersécurité : 5 bonnes pratiques pour sensibiliser vos équipes
Sensibilisation Cybersécurité : Comment Former Ses Équipes ?
52% des entreprises françaises ont déclaré avoir subi au moins une cyberattaque l’année dernière. 4 668 violations de données ont été notifiées à la CNIL sur l’année. Or, selon le rapport « Cost of Data Breach Report 2023 » d’IBM Security, les violations de données ont coûté en moyenne 3,75 millions d’euros en 2023.
Le coût est gigantesque !
Les données contenues dans ces systèmes valent de l’or pour les pirates informatiques, or les systèmes qui les contiennent sont trop souvent faillibles face aux attaques informatiques et autres incidents.
Vous l‘aurez compris, les organisations sont vulnérables aux attaques de cybercriminels. De ce fait, la sécurisation de l’ensemble des systèmes d’information est devenue une question centrale pour la pérennité des entreprises.
Il apparaît donc essentiel de sensibiliser les équipes à la cybersécurité de manière à ce qu’elles adoptent le bon comportement propre à assurer la protection des données personnelles.
Ransomware, phishing, vol de mot de passe, ou encore logiciel malveillant, il devient essentiel de former les équipes à reconnaître les tentatives de piratage.
Dans ce guide, nous verrons :
- la définition de la cybercriminalité ;
- les différents types d’attaques informatiques ;
- les enjeux de la sensibilisation à la cybersécurité ;
- les bonnes pratiques pour sensibiliser efficacement vos équipes à la cybersécurité.
1-Qu’est-ce que la cybercriminalité ?
Une définition de la cybercriminalité
Cette notion désigne l’ensemble des activités criminelles menées via les nouvelles technologies et les dispositifs numériques. Ce terme recouvre des activités illégales exploitant les failles de sécurité des entreprises.
Avec l’évolution des nouvelles technologies, les techniques des criminels évoluent également en permanence et devient de plus en plus redoutable car difficile à identifier et à contrer.
Il s’agit d’une menace particulièrement pesante pour les organisations, qu’il s’agisse des entreprises, des ONG, des administrations ou encore des collectivités. Les risques de perte suite à une attaque sont importants à plusieurs niveaux : pertes financières, atteinte à la réputation, fuite de données sensibles, etc.
Pour une entreprise, l’un des principaux risques encourus suite à une attaque cybercriminelle, est la mise à l’arrêt de l’activité. Les conséquences peuvent être financièrement dramatiques. Selon une enquête menée par le groupe Apave, spécialisé dans la gestion des risques, 43% des TPE/PME ayant subi une cyberattaque ont vu leur activité stoppée plus d’une journée : indisponibilité des services en ligne, blocage des moyens de paiement, arrêt de la production, etc.
Ce manque à gagner très important se double parfois de pertes liées à une demande de rançon, aux actions de restauration du site internet, etc.
Les différents types de cyberattaques
Les attaques informatiques sont de différents types. Voyons lesquels.
Le hameçonnage (ou phishing)
💡 Une étude du cabinet Statista a révélé que la forme de cyberattaque la plus fréquente en France était le phishing. Ces attaques ont déjà concerné plus de 75% des entreprises.
📝 Le hameçonnage ou le phishing est une technique consistant à imiter un organisme officiel ou un tiers de confiance comme une banque, la poste, ou encore les services d’une administration (impôts, urssaf, etc) par sms ou mail le plus souvent. Leur but est d'inciter leurs cibles à renseigner leurs informations personnelles afin d’exploiter ces données. Ils peuvent même inciter la personne à payer une somme d’argent (phishing pour amende impayée, taxe à percevoir, majoration d’impôts, etc).
Le rançongiciel (ou ransomware)
💡 52% des piratages conduisent à une extorsion d’argent, notamment grâce au ransomware (ou rançongiciel en français).
📝 Le rançongiciel (ou ransomware) désigne les attaques bloquant l'appareil de la victime. Les pirates demandent une somme d'argent en échange du déblocage de l'appareil. Ce type d'attaque touche plus les entreprises que les particuliers en raison de leur plus grande solvabilité. Par exemple, des entreprises voient leur profil sur les réseaux sociaux ou leur site web “pris en otage” par des pirates informatiques en échange d’une rançon.
Le logiciel malveillant (ou malware)
💡 52% des piratages des données ont lieu au moyen d’un virus informatique.
📝Un malware est un programme développé dans le but de saboter un système informatique afin d’accéder au réseau. Les pirates peuvent ainsi voler les informations personnelles et des données sensibles contenues dans ces systèmes piratés. Les cybercriminels utilisent le plus souvent ces données pour usurper une identité ou demander une rançon. Ces logiciels malveillants ne sont pas toujours faciles à repérer car souvent cachés dans les logiciels de téléchargement gratuit ou sur une clé USB piégée. Certains s’infiltrent via les wifi gratuits.
2- L’ enjeu de la sensibilisation à la cybersécurité
Pour contrer les tentatives de piratages informatiques, il est essentiel de renforcer les mesures de cybersécurité d’une entreprise.
L'utilisation d'une plateforme dédiée pour piloter et diagnostiquer la cybersécurité des entreprises est cruciale. Une telle plateforme permet de renforcer la maturité en cybersécurité en mobilisant l'expertise et les outils adaptés. En centralisant les efforts de cybersécurité, elle facilite la sensibilisation des collaborateurs et l'implémentation de stratégies efficaces.
Le facteur humain : principale source d’attaques informatiques
La technologie progresse, les techniques des cybercriminels aussi ! Plus le nombre d’utilisateurs d’outils numériques augmente, plus la menace d’actes de cybermalveillance pèse sur les organisations. Or, les erreurs humaines, souvent nées de la négligence, constituent la principale cause d’incidents de cybersécurité.
C’est pour cette raison que la sensibilisation à la cybersécurité est devenue plus qu’importante pour les organisations. Une formation est essentielle pour que les utilisateurs d’ordinateurs, de tablettes ou encore de mobiles, puissent repérer les pièges tendus par les pirates informatiques.
Une prise de conscience insuffisante
Une vraie prise de conscience de la nécessité de former les utilisateurs aux risques et aux enjeux de cybersécurité a lieu.
En effet, le baromètre annuel du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) montre que 80% des entreprises mènent des campagnes de sensibilisation de leurs collaborateurs à la cybersécurité.
Pour autant, la culture de la cybersécurité peine à s’ancrer dans le quotidien car les utilisateurs ne suivent pas suffisamment les recommandations.
Par ailleurs, 75% des spécialistes de la cybersécurité considèrent que le télétravail qui s’est développé durant la crise sanitaire a contribué à augmenter les attaques criminelles.
Une étude Sosafe, spécialiste en sensibilisation à la cybersécurité, montre que les salariés qui travaillent à distance sont plus enclins à ne pas respecter les consignes de sécurité que ceux qui travaillent sur site. Par exemple, ils se font plus souvent piéger par les mails de phishing. En clair, il reste un gros travail de sensibilisation à réaliser auprès des équipes.
Comment faire pour que ces formations soient réellement efficaces ?
3- Comment sensibiliser les utilisateurs à la cybersécurité ?
Voici 5 bonnes pratiques pour ancrer durablement une culture de cybersécurité dans votre organisation :
1- Réaliser un audit de sécurité pour identifier les risques principaux
Toute entreprise doit mettre en place une politique de sécurité informatique. Celle-ci se matérialise par un plan d’action visant à maintenir la sécurité du système d’information d’un organisme.
L’une des premières étapes consiste à réaliser un audit de sécurité informatique pour évaluer le type de cybermenaces auxquelles l’entreprise est exposée et identifier les risques principaux susceptibles de compromettre sa sécurité.
L’évaluation de la tolérance au risque cyber de l’entreprise passe également par celles des utilisateurs. Or, connaître le niveau de résistance au risque des équipes permet de mettre en œuvre des mesures de sécurité et de sensibilisation appropriées.
L’entreprise peut ainsi consacrer des ressources à des menaces réelles et non à des risques peu susceptibles de se produire ou peu impactant. Le programme de sensibilisation à la cybersécurité prépare vos utilisateurs à repérer les menaces qu’ils sont susceptibles de rencontrer dans leur quotidien.
2- Adapter la formation en cybersécurité aux profils d’utilisateurs
Tous les utilisateurs d’ordinateurs, de tablettes ou encore de mobiles d’une entreprise sont concernés. En effet, ils sont tous susceptibles d’être victime d’une cyberattaque.
Cependant, certains services, personnes ou systèmes d’informations, sont plus exposés aux menaces que d’autres car détenant des données plus “sensibles”. C’est notamment le cas :
- des services RH et paie ;
- des départements administratifs et financiers ;
- des dirigeants et des cadres supérieurs qui détiennent des accès étendus aux informations de l’entreprise.
Les campagnes de sensibilisation à la cybersécurité doivent être personnalisées selon les services concernés et les fonctions des utilisateurs.
3- Inciter les utilisateurs à prendre des précautions au quotidien
Les salariés ne sont généralement pas assez informés des risques cybercriminels.
Or, avec l’essor du télétravail depuis plusieurs années, les cyberattaques se sont multipliées. En effet, il est plus compliqué de maîtriser les risques d’erreurs humaines lorsque les salariés ne sont pas physiquement présents dans l’entreprise.
Ainsi, pour éviter les intrusions et les piratages des systèmes, les salariés doivent impérativement connaître les risques et les bonnes pratiques en matière de cybersécurité. Il y a de grande chance que cela leur évite de tomber dans les pièges des cybercriminels.
La sensibilisation à la cybersécurité forme les utilisateurs à appliquer systématiquement certaines bonnes pratiques, comme :
- Repérer les mails de hameçonnage et s’abstenir de cliquer sur les liens et pièces jointes douteuses ;
- S’abstenir d’utiliser les réseaux Wifi publics ouverts avec son matériel d’entreprise et pour se connecter aux sites et applications professionnelles ;
- Éviter les attaques de ransomwares ou de phishing ;
- Sécuriser la gestion des mots de passe ;
- Verrouiller sa session en cas d’absence du poste de travail pour diminuer les risques d’intrusion.
Des tests réguliers et personnalisés permettent de vérifier la résistance des utilisateurs au risque et leur progression à long terme.
Il n’est pas question de former des experts en cybersécurité mais de systématiser les bonnes pratiques dans l’entreprise. Chaque utilisateur dispose des clés nécessaires pour éviter les principales menaces de cyberattaques.
Cette sensibilisation a pour objectif de rappeler les précautions élémentaires de sécurité à chacun.
4- Prendre garde aux deepfakes
L'Intelligence Artificielle est un formidable outil. C’est aussi une arme redoutable aux mains des cybercriminels. Nouvelle invention : le deepfake. Les utilisateurs doivent y être absolument sensibilisés sous peine de tomber dans des pièges graves.
Le deepfake est une technologie avancée d’intelligence artificielle permettant de générer des contenus vidéos ou audios ultra réalistes. Ils peuvent imiter des voix (voice cloning) et même imiter les expressions faciales de véritables personnes (face swap).
Vous devinez le risque … le deepfake est utilisé par des pirates informatiques pour modifier des enregistrements et des vidéos de manière à manipuler leurs victimes. Leur objectif est d’obtenir des informations, voire même de les pousser à réaliser des transactions financières. Il s’agit d’une forme de phishing très avancée.
🔎 L’un des exemples récents parmi les plus éloquents est celui d’un salarié Hong-Kongais qui pensait assister à une réunion en visioconférence avec ses collègues. Il a transféré une somme très importante sur la demande de son supérieur. Le problème ? Il ne s’agissait pas de son supérieur mais d’une visio-conférence deepfake qui avait imité la voix et le visage de celui-ci.
Ces deepfakes sont parfois difficilement repérables car l’Intelligence artificielle évolue à une vitesse fulgurante. Il est impératif de sensibiliser vos collaborateurs à cette nouvelle forme d’arnaque informatique très élaborée.
5- S’équiper d’un outil de sensibilisation à la cybersécurité
Pour sensibiliser les collaborateurs aux défis de sécurité posés par les cyberattaques, il devient essentiel de mettre en place des programmes de formation dédiés.
Objectif : augmenter le niveau de vigilance des collaborateurs face aux risques d’attaques informatiques et développer une culture de la cybersécurité.
Pour cela, il existe des outils de sensibilisation à la cybercriminalité. Vos collaborateurs deviendront ainsi la meilleure protection de l'entreprise contre les intrusions informatiques, les attaques et les tentatives de violation de données.
Pour une plus grande efficacité, l‘outil de sensibilisation doit être adapté à votre secteur et à vos enjeux en la matière !
C’est pourquoi, Leto propose un module de sensibilisation à la cybersécurité avec :
- Des formations ultra-personnalisées et ultra-engageantes pour les collaborateurs ;
- Des mises en situation concrètes et actionnables avec plus de 500 questions ;
- Une évaluation avec un score de maturité pour faire grandir vos équipes sur les sujets liés à la sécurité informatique ;
- Un webinar pour comprendre les grands enjeux de la sécurité des données et des systèmes d‘information.
Prêt à faire de vos salariés les gardiens de votre sécurité informatique ? Pour en savoir plus, c’est par ici : Le module de sensibilisation à la cybersécurité de Leto.
Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.