Lorsqu’un utilisateur commet une erreur et clique sur un courriel qui provoque une infection, nous pensons souvent que c’est la cause de l’erreur. Mais ce n’est pas le cas : l’organisation était déjà attaquée lorsque le pirate a envoyé l’e-mail, avant qu’il ne soit ouvert. Cela signifie également que tous les autres contrôles de sécurité informatique sur le chemin de cette attaque ont échoué.
Voici 10 conseils pour aider tous les employés à comprendre les cyber–risques et les meilleures pratiques.
Effectuez des exercices de formation « en conditions réelles ».
La meilleure sensibilisation à la cybersécurité aujourd’hui est la formation « live fire« , dans laquelle les utilisateurs subissent une attaque simulée spécifique à leur travail.
Peut-être sont-ils victimes d’une attaque réellement orchestrée par un service de sécurité ou un fournisseur extérieur, puis on leur demande de comprendre les leçons qu’ils ont tirées de cette attaque, et les implications sur l’entreprise, sur leur vie personnelle et comment ils auraient pu l’éviter. Et enfin, on leur demande de partager cette expérience avec leur groupe de pairs.
Il est nécessaire d’effectuer régulièrement des tests d’intrusion ou d’hameçonnage, au cours desquels l’équipe informatique envoie un faux courriel d’hameçonnage à tous les employés de l’organisation, et évalue le nombre de personnes qui cliquent dessus. Elle peut ensuite ventiler ces données par département et par type de message, afin d’adapter la formation aux problèmes. Cela permet également à l’entreprise de montrer sa progression.
Obtenez l’adhésion de la direction
Le DSI doit sensibiliser le reste de la direction aux ramifications d’une violation potentielle. En général, pour avoir un bon plan informatique, il faut prévoir dans le budget des postes pour les personnes, le matériel ou les logiciels, d’année en année. Cela signifie que le directeur financier, le directeur des systèmes d’information et le directeur général doivent être impliqués dans le projet de sensibilisation à la cybersécurité.
Commencez la cyber sensibilisation pendant le processus d’intégration
La première fois que les employés passent la porte, commencez à construire l’état d’esprit, car tous les nouveaux employés suivent une formation à la sécurité dès le premier jour. De cette façon, ils entendent dès le début que la cybersécurité est importante, et qu’ils vont recevoir une formation continue.
Effectuez des évaluations
N’ayez pas peur d’effectuer des évaluations à la fois des employés et des systèmes pour déterminer le degré de vulnérabilité de votre organisation aux attaques. La mise en place d’un audit de sécurité informatique récurrent, notamment en cas de changement majeur dans l’infrastructure informatique de votre entreprise, est donc essentielle. Tant que vous n’aurez pas fait cela, vous ne saurez pas à quel point votre posture de sécurité peut être mauvaise ou bonne.
Communiquez autour de la cybersécurité
Créez un plan pour la meilleure façon de communiquer les informations pour sensibiliser à la cybersécurité à tous les employés, afin que tous les départements participent à la formation et à l’apprentissage des meilleures pratiques.
Créez un plan formel
Les équipes informatiques devraient élaborer un plan formel et documenté pour sensibiliser à la cybersécurité, qui est revu et mis à jour souvent avec les dernières informations sur les vecteurs d’attaque et autres risques, a déclaré Simpson.
Nommez des défenseurs de la culture de cybersécurité
Les responsables techniques devraient nommer un défenseur de la culture de cybersécurité dans chaque service de leur organisation. Ces défenseurs peuvent agir et maintenir les employés formés et motivés. C’est un aspect souvent négligé : utiliser les ressources dont dispose déjà l’entreprise en dehors de l’équipe informatique.
Proposez une formation continue
La formation à la cybersécurité doit se poursuivre tout au long de l’année, à tous les niveaux de l’organisation, en fonction du poste de chaque employé. Si vous êtes un utilisateur final, il doit y avoir une formation associée aux types d’attaques que vous pourriez recevoir – par exemple, des attaques sur votre courrier électronique ou des attaques orientées sur le type de poste que vous occupez. Si vous travaillez dans le domaine de l’informatique, les attaques que vous êtes susceptible de subir peuvent être de nature plus technique.
Souligner l’importance de la sécurité au travail et à la maison
Les responsables techniques devraient aider les employés à comprendre l’importance de la cyber-hygiène non seulement sur le lieu de travail, mais aussi à la maison. Enseignez aux utilisateurs le respect de la vie privée, la sécurité et la manière dont les leçons apprises au travail peuvent s’appliquer à la maison et dans leur vie personnelle, afin de leur donner une idée de ce qu’ils peuvent appliquer en permanence, et pas seulement au travail.
Récompenser les employés
Récompensez les utilisateurs qui trouvent des courriels malveillants, et partagez des histoires sur la façon dont les utilisateurs ont aidé à déjouer les problèmes de sécurité. Les responsables informatiques doivent également faire preuve d’empathie envers les employés qui commettent des erreurs : de nombreux employés envoient ou reçoivent des centaines de courriels par jour, il peut donc être difficile de leur demander d’en éviter un.
