Insuffler une culture de la cybersécurité, pilier de la protection contre les menaces

Octobre marque chaque année le coup d'envoi du mois de sensibilisation à la cybersécurité.

Il s'agit d'un événement annuel qui promeut un comportement en ligne sûr et encourage les organisations et les individus à participer à la lutte contre la cybercriminalité.

Avec la croissance des menaces en ligne et la numérisation croissante de nos vies personnelles et professionnelles, maintenir un comportement en ligne sûr est devenu essentiel dans les efforts des organisations pour arrêter les cyberattaques dévastatrices.

Le développement d’une culture de la cybersécurité imprégnant chaque couche de l'organisation constitue une étape importante pour repousser les attaques et garantir que les entreprises puissent travailler en toute sécurité.

Sensibiliser à la sécurité, un besoin crucial mis en évidence par les cyberattaques

Selon le rapport 2023 sur l'état de la sécurité des e-mails, 59 % des répondants ont déclaré que les cyberattaques deviennent de plus en plus sophistiquées. Les deux tiers ont signalé avoir été le sujet d'une attaque de rançongiciel, tandis que 97 % ont déclaré avoir été ciblés par des attaques de phishing basées sur des e-mails.

En réponse, les organisations déploient des stratégies de sécurité multicouches pour protéger les données et les communications. De plus, l'un des composants les plus importants de toute stratégie consiste à protéger les personnes, ce qui inclut la mise à disposition régulière de formation à la cybersécurité.

Sans surprise, 99 % des organisations interrogées dans ce même rapport disent proposer une forme de formation à la sensibilisation à la cybersécurité à leurs collaborateurs. En les éduquant sur les différents types de cyberattaques et sur la manière de les éviter, les organisations réduisent les erreurs humaines qui sont souvent à l'origine des brèches de sécurité.

Pourtant, malgré la formation offerte, huit répondants sur dix estiment toujours que leur entreprise court un risque en raison de fuites involontaires causées par des collaborateurs négligents.

Mais pourquoi une telle disparité ? Pour commencer, le simple fait de proposer une formation ne signifie pas qu'elle se déroule de manière régulière. La fréquence est clé pour rappeler les meilleures pratiques de sécurité, maintenir l’attention et familiariser les collaborateurs aux types et techniques de cyberattaques les plus récentes. Il s'agit de la première étape importante dans la création d'une culture de la cybersécurité.

Mesurer l’impact et le succès des programmes de sensibilisations

La mesure d’impact représente un aspect souvent négligé des efforts de sensibilisation à la sécurité mis en place par les organisations. Sans mesure, les organisations ne peuvent qu'espérer que leurs efforts de formation à la sensibilisation portent leurs fruits.

Après tout, les collaborateurs qui suivent simplement le programme de formation en sécurité ne sont pas susceptibles de résister efficacement aux menaces. Ce qui compte vraiment, c'est que le programme de formation à la sensibilisation change les comportements.

Et bien que les organisations puissent certainement renforcer leurs capacités humaines avec des solutions de sécurité conçues pour détecter et éviter les menaces, par exemple une sécurité alimentée par l'IA fournissant des avertissements contextuels aux utilisateurs finaux en temps réel, rien ne peut égaler une culture de la cybersécurité qui imprègne l'ensemble de l'organisation.

Une étape importante vers l'établissement d'un programme efficace de sensibilisation à la sécurité consiste à fixer des objectifs de haut niveau tels que la réduction des risques, l'amélioration du comportement des collaborateurs et la protection de la réputation.

Lorsque ces objectifs sont liés aux objectifs commerciaux plus larges, les équipes de sécurité sont plus susceptibles de concevoir et de mettre en œuvre des programmes de sensibilisation à la sécurité qui soutiennent les priorités business, autonomisent les collaborateurs et renforcent la structure de sécurité de l'organisation.

Les piliers d’une culture de la cybersécurité performante

Bien que les besoins de chaque organisation soient uniques, les qualités communes d'un programme efficace de sensibilisation à la sécurité comprennent :

  • Commencer par les bases : Commencez toujours par les bases, notamment une hygiène de mot de passe saine (comme l'utilisation de mots de passe complexes et ne pas compter sur un seul mot de passe pour plusieurs comptes en ligne), une sécurité de base des appareils (comme ne jamais laisser un ordinateur portable ou un ordinateur déverrouillé et sans surveillance et verrouiller les smartphones avec des mots de passe) et des erreurs de sécurité physique, telles que laisser des mots de passe collés sur des ordinateurs portables avec des post-it.
  • Lutter contre les tentatives de phishing : Presque toutes les organisations qui ont fait partie de l'étude sur la sécurité des e-mails citée précédemment ont été ciblées par des attaques de phishing basées sur des e-mails au cours de l'année précédente. Les organisations devraient former leurs collaborateurs à repérer et à éviter les e-mails, les liens et les messages texte suspects, et montrer des exemples de menaces émergentes telles que l'audio et les vidéos deepfake.
  • Collaborer avec précaution : Les outils de collaboration sont devenus indispensables aux environnements de travail hybrides qui ont émergé au cours des dernières années. Cependant, ces outils présentent d'énormes risques pour l'entreprise. Selon une nouvelle  étude récente, 94 % des décideurs mondiaux en matière de cybersécurité ont déclaré avoir été confrontés à une menace cyber via des outils de collaboration. Et malgré le fait que 85 % d'entre eux aient déclaré avoir efficacement communiqué les vulnérabilités de sécurité des outils de collaboration à leurs collaborateurs, 38 % des collaborateurs ont affirmé n'avoir reçu aucune formation sur la sécurité des outils de collaboration. Pour combler cet écart, les organisations devraient fournir une formation spécifique sur les risques de sécurité inhérents aux outils de collaboration.
  • Éliminer la peur : Les entreprises qui utilisent des sujets émotionnels pour les cyberattaques simulées qu'elles déploient dans le cadre de leur formation, tels que des e-mails sur des bonus ou des augmentations de salaire, risquent de créer des obstacles à l'apprentissage parmi les collaborateurs. Au contraire, les organisations devraient éliminer la peur ou la résistance avec des tests de phishing simulés plus susceptibles de les faire réfléchir, incitant à des actions positives de la part des collaborateurs. Par exemple, éviter de cliquer sur des liens risqués et signaler les menaces aux équipes de sécurité. L'accent devrait être mis sur la récompense des comportements en ligne vigilants, et non sur la tromperie ou la punition des collaborateurs.