Cybersécurité : 9 conseils pour une sensibilisation optimale de ses collaborateurs

Découvrez 9 conseils pour organiser et optimiser la culture cyber de votre entreprise, et éviter les failles humaines.

Selon la Harvard Business Review, les attaquants visent principalement l’humain, et non pas exclusivement les machines. En effet, il est plus aisé pour un cyber-attaquant d’essayer d'exploiter une méconnaissance de la sécurité informatique d’un collaborateur, plutôt que d’essayer de casser un algorithme cryptographique. Il est donc essentiel de former, et informer, les employés des risques qu’ils encourent face aux nombreuses menaces cyber actuelles. Découvrez 9 conseils pour organiser et optimiser la culture cyber de votre entreprise, pour éviter - ce qui peut être nommé - les failles humaines.

1) Proposer une formation ludique et pratique

Le plus souvent, la première introduction à la cybersécurité que les employés d’une entreprise reçoivent, de la part de la DSI, est une formation sur une ou deux journées, suivie d’un examen à choix multiple. Cette technique, très scolaire, nuit fortement à l’engagement et à la rétention des informations de la part des collaborateurs, ainsi qu’aux bonnes pratiques de sécurité quotidiennes qu’ils se doivent d’appliquer.

Aujourd’hui, pour une sensibilisation optimale, il est important de trouver le bon équilibre entre apprentissage ludique et exercices pratiques. Cela passe par l’utilisation, par exemple, de plateformes de formation basées sur la gamification comme système d’évaluation (transformer l’apprentissage en jeux, grâce à des récompenses, des badges de succès, etc.). Cela passe aussi par des formations en présentiel, par essence plus interactives, accompagnées de simulations de situations réelles que les collaborateurs doivent résoudre.

2) Se concentrer sur des points clés de sécurisation

Un collaborateur peut, parfois, oublier que la pérennité de son activité repose sur une bonne hygiène informatique quotidienne. Un premier pas peut être franchi lors des campagnes de formation et de prévention, en promouvant des initiatives simples à mettre en place rapidement. L’utilisation de gestionnaire de mot de passe offline (et désactiver ceux proposés par les navigateurs de recherche par exemple), le verrouillage des sessions à chaque pause ou, encore, l’utilisation des outils de classification de documents obligatoires font partie de ces initiatives simples et efficaces.

3) Promouvoir la remontée d’incidents

Certaines menaces peuvent être plus facilement identifiées et traitées grâce aux collaborateurs, eux-mêmes, à condition qu’ils remontent correctement tous les événements suspects. Cette remontée d’information peut être facilitée, et accélérée, par la création d’une ligne de communication dédiée et privilégiée, au sein de votre entreprise. Des campagnes de promotion de ces services, les plus didactiques possible, peuvent être organisées en formant rapidement les collaborateurs à son utilisation.

4) Tester les collaborateurs en condition réelles

Rien de plus efficace, et challengeant, que le test en conditions réelles. Il peut prendre la forme de campagne de phishing interne, d’intervention de la Red Team pour un test d’intrusion physique, ou encore la mise en place de scénarios de crise. Ces pratiques permettront de vérifier si vos collaborateurs sont correctement sensibilisés, et de s’assurer qu’ils ne tombent pas dans le même piège le jour d’une attaque avérée.

5) Récompenser plus, sanctionner moins

En cas de faute ou de relâchement de la sécurité de l’information, une politique de sanction trop sévère peut parfois être contre-productive. Il est possible d’appliquer, conjointement, une politique de récompense pour les bons comportements quand, par exemple, un utilisateur applique correctement les règles de cybersécurité en entreprise.

6) Organiser des sessions de discussion autour de la cybersécurité (avec des experts)

Pour certaines organisations, naissantes ou matures, la question de la cybersécurité est parfois épineuse du fait du manque d’expertise et de connaissances. L’intervention d'experts tiers venant parler de leurs expériences, mais aussi donner leurs conseils aux collaborateurs ainsi qu’aux dirigeants, peut se transformer en un coup de pouce non négligeable.

7) Évaluer votre politique de sécurité régulièrement

Pour pouvoir former et sensibiliser correctement les collaborateurs, il est important de discuter et de rédiger une politique de sécurité globale propre aux besoins et problématiques de l’entreprise. Une fois formulée et établie, elle doit ensuite faire l’objet de révision et d’améliorations continues tout au long de la vie du document. Elle doit, d’ailleurs en premier lieu, rester en accord avec l’évolution de l’entreprise et de son environnement de travail (nouvelle architecture SI, nouveau produit de sécurité, croissance forte, etc.).

8) Préparer les scénarios de crises possibles

La sensibilisation, c’est aussi savoir réagir lors d’une attaque informatique. Cadrer le comportement des collaborateurs, lors d’une cyberattaque, favorise la non-prolifération de la faille et la réduction du temps de remédiation de cette même faille. En communiquant les informations et en évitant l’accès à des ressources sensibles et/ou touchées, la résolution d’incident n’en sera que plus efficace.

9) Définir les acteurs clés de la cybersécurité de votre entreprise

L’équipe sécurité d’une entreprise est le relais principal en cas d’incident de sécurité. Toutefois, il est primordial de définir les principaux services sensibles aux cyberattaques (ressources humaines, finance, communication, etc.), et d’identifier qui sera le relais au sein de chaque corps de métier de l’entreprise. Son rôle : remonter le plus rapidement possible tout événement anormal, et les questionnements ou requêtes de son équipe liés à la cybersécurité, en échangeant avec elle en continu.

Si votre politique de sensibilisation prend en compte ces points d’attention, vous pouvez être sûr que le résultat, en termes d’hygiène informatique de vos collaborateurs, sera grandement amélioré. Mais le conseil le plus important à retenir, pour réussir à déployer une culture cyber efficace et impactante, reste celui-ci : rendez le sujet accessible et attrayant !