Sensibiliser sur la cybersécurité en temps de crise

Le nombre de cyber-attaques explose, exploitant la peur suscitée par la crise Covid-19. Jamais il n'a été aussi important de sensibiliser les utilisateurs en matière de cybersécurité alors qu'il a rarement été aussi difficile de les atteindre, souvent isolés en télétravail.

Prenant en compte ce contexte particulièrement difficile, nous développons ici la notion de sensibilisation bienveillante.

L’humain est la partie la plus importante d’une stratégie cybersécurité. En effet :

  • Ce sont les humains qui utilisent le SI.
  • Ce sont les humains qui prennent les décisions de classification et de protection des informations.
  • Ce sont les humains qui réagissent ou non aux incidents

Cependant, s’il n’a probablement jamais été aussi important de sensibiliser les utilisateurs, il a rarement été aussi difficile de les atteindre.

Nous vivons en effet une situation sans précédent. A la crise sanitaire suit une crise économique dont on s’accorde pour dire que le pire est devant nous.

Nombre de salariés travaillent de chez eux. Ils doivent s’adapter à une nouvelle organisation, peut être provisoire, de travail. D’avantage isolés, ils se retrouvent à devoir s’adapter dans un contexte particulièrement anxiogène. Ils sont inquiets pour leur santé et celles de leurs proches. Ils sont inquiets aussi souvent pour leur emploi et leur avenir économique. Cette situation, où l’appréhension et la frustration dominent, n’est pas la plus favorable à une écoute des collaborateurs, notamment en matière de cybersécurité.

Les cybercriminels, de leur côté, ont bien compris le parti qu’ils pouvaient tirer de cette situation. Les attaques ne cessent de se multiplier. Ainsi l’éditeur Barracuda Networks fait état d’une croissance de 667% des attaques de phishing en mars. On sait en effet qu’une attaque de phishing est d’autant plus efficace qu’elle s’appuie sur les ressorts de la peur et de l’urgence. La situation actuelle constitue dons un terrain favorable aux arnaques et attaques de tous types. Les attaques exploitant cette peur de la maladie prennent des formes les plus variées.

On se trouve donc face à un dilemme et une équation difficile à résoudre. Le besoin de sensibilisation n’a jamais été aussi grand alors même qu’atteindre les utilisateurs et leur faire passer les messages n’a jamais été aussi difficile.

C’est ainsi qu’il devient nécessaire d’introduire la notion de sensibilisation bienveillante.

Cette sensibilisation bienveillante doit s’appuyer sur quelques principes simples :

  • Donner du sens – expliquer les enjeux : il faut expliquer pourquoi on fait de la sensibilisation, pourquoi il est indispensable d’adopter les principes d’une hygiène numérique, quelle est la menace et quelles peuvent être les conséquences, en donnant des exemples, d’une attaque réussie.
  • Expliquer que les comportements demandés visent à les protéger eux, en même temps que leur entreprise. En effet, les conséquences psychologiques d’une attaque d’ingénierie sociale sur la personne qui en est victime, peuvent être graves. Dans ce type d’attaques c’est la personne qui en est la cible qui est la première victime avant même l’entreprise visée.
  • Proximité, usage personnel : Il faut coller au maximum aux situations que les collaborateurs rencontrent. Il faut donc décliner les messages en fonction de leurs situations respectives. Pour des collaborateurs en télétravail, dans un cadre où le lieu de travail devient le domicile, il peut être utile et apprécié de leur expliquer comment renforcer la sécurité de leur domicile numérique.
  • Responsabiliser : il faut leur expliquer qu’ils doivent devenir le maillon fort de la cybersécurité. C’est en effet parce que chacun d’entre eux sera acteur que l’entreprise sera protégée.
  • Remercier : Il ne faut jamais hésiter à remercier les collaborateurs pour leur participation et leur engagement afin de garder leur l’entreprise à l’abri des cyber-attaques.
  • Donner du feed back : que ce soit avant, pendant ou après les campagnes de sensibilisation, il faut donner du feed back aux utilisateurs. Il faut leur donner le sentiment de participer à un élan général.
  • Créer du réseau – s’appuyer sur des « champions » : cela est d’autant plus vrai que la participation aux campagnes de sensibilisation est faible. Dites-vous bien que dans ce cas, cela signifie que ceux qui participent se sentent d’autant plus concernés. Appuyez-vous sur eux.

 En procédant de la sorte, nous pourrons faire sortir les utilisateurs de la zone de la peur où se trouvent beaucoup d'entre eux vers une zone d'apprentissage à partir de laquelle ils évolueront vers une réelle culture cyber sécurité.