Pourquoi la formation de vos équipes à la cybersécurité est essentielle
Les cyberattaques représentent désormais le premier risque pour les entreprises. C’est pourquoi la formation à la cybersécurité est plus importante que jamais.
Publié le 10 août 2023La cybersécurité, la gouvernance informatique et la sécurité des données représentent le premier risque pour les entreprises en 2023 (lien en anglais). Les cyberattaques sont aujourd’hui de plus en plus sophistiquées, et les accusations vont bon train dès lors qu’un problème survient.
La réalité est bien plus nuancée. Nous devons traiter ces menaces comme un risque à l’échelle de toute l’entreprise, pour lequel chacun doit assumer sa part de responsabilité. Pratiquement toutes les failles peuvent être attribuées à l’un des piliers du Triangle d’or de la cybersécurité : les personnes, les processus ou les technologies.
C’est pourquoi il est vital de promouvoir une culture de la cybersécurité qui s’articule autour de trois éléments critiques :
La formation à la cybersécurité : mettez en place des projets de sensibilisation à la cybersécurité et passez-les en revue régulièrement afin d’informer tous vos collaborateurs des dernières évolutions en matière de scams et de risques de sécurité.
Les processus de l’entreprise : identifiez les workflows adaptés et les bonnes réponses à apporter en cas d’attaque.
Les solutions technologiques : choisissez les technologies adaptées à votre organisation.
Dans cet article, nous nous intéressons au premier point : la formation à la cybersécurité. Rappelons au passage que, pour certaines entreprises, la formation à la cybersécurité est non seulement conseillée, mais aussi imposée par la loi.
Les obligations de conformité réglementaire incitent de nombreuses entreprises à formaliser un programme de formation à la cybersécurité pour l’ensemble de leurs collaborateurs. Qu’il s’agisse de règlements comme le GDPR ou de textes spécifiques à certains secteurs, la sensibilisation des équipes a un grand rôle à jouer pour réduire le risque de fuite de données et garantir la conformité de l’entreprise.
Plus particulièrement, les responsables informatiques des secteurs juridique, de la santé et de la finance doivent prêter une attention toute particulière à la sécurité, par exemple :
Environ deux tiers des professionnels du secteur juridique n’ont pas conscience des pénalités (en anglais) encourues en cas de fuite de données (lien en anglais). La protection des données est essentielle dans les cabinets juridiques, à la fois pour les données de l’entreprise et pour les informations sensibles de leur clientèle. Le service IT doit informer l’ensemble des collaborateurs des différentes sources de fuites de données, du phishing aux accès non autorisés aux machines.
Le secteur de la santé est régi par la loi Health Insurance Portability and Accountability Act (HIPAA) (en anglais), qui réglemente la sécurité de l’utilisation et du stockage des informations de santé. Par ailleurs, de nombreux établissements de santé réalisent des vérifications d’antécédents sur leurs collaborateurs potentiels. Les équipes IT doivent communiquer les avantages de cette approche, par exemple dans la prévention des menaces internes.
Dans le secteur de la finance, pratiquement deux tiers des professionnels n’utilisent pas de mots de passe forts (en anglais), tandis que moins d’un tiers d’entre eux ont recours à la MFA. La loi Gramm-Leach-Bliley Act (GLBA), ou loi sur la modernisation des services financiers, impose des normes strictes en matière de sécurité de l’information. Les responsables IT doivent prendre en compte divers risques de cybersécurité, comme la fuite des informations de paiement des clients en cas d’infection par un malware.
Si les services IT ont la responsabilité d’instaurer un programme de formation, chaque membre de votre équipe doit avoir conscience de l’importance de la cybersécurité. Le comportement de chacun et de chacune, sur site ou à distance, affecte le niveau de risque de l’entreprise.
Là encore, vous pouvez promouvoir une culture de la sensibilisation à la sécurité des utilisateurs (en anglais) en attribuant un rôle à chaque membre de l’équipe :
Il incombe à chaque collaborateur de suivre les politiques de sécurité en vigueur, sur les réseaux sociaux comme sur leur messagerie professionnelle. Tout d’abord, il est primordial d’instaurer un ensemble robuste de politiques associant formation, processus et technologies pour diminuer le risque d’attaque.
Ces politiques doivent être tenues à jour régulièrement afin de refléter les développements à petite échelle et les modifications à grande échelle dans l’entreprise. Voici quelques exemples de bonnes stratégies de prévention du risque :
Seuls, les mots de passe n’offrent pas une protection suffisante : ils doivent s’accompagner d’une couche de sécurité supplémentaire, comme l’authentification à deux facteurs. Et même dans ce cas, il demeure important de suivre les bonnes pratiques pour composer des mots de passe forts :
Surveillez la réutilisation ou la fuite des mots de passe
Utilisez au minimum 12 caractères, comprenant des majuscules, des minuscules et des signes de ponctuation
Évitez les informations d’identification personnelles, comme votre date de naissance ou le nom de votre animal de compagnie
Il ne suffit pas d’investir dans une technologie de cybersécurité, il faut encore s’assurer que vos logiciels sont bien à jour. Par exemple, la formation peut expliquer aux collaborateurs pourquoi il est important de rechercher des mises à jour ou de suivre un calendrier de téléchargement des correctifs de sécurité.
Les simulations de phishing peuvent aider les utilisateurs à identifier les pièces jointes dangereuses ou les types de fichiers suspects. Ces fichiers peuvent contenir du code malveillant qui infecte un système, le corrompt ou vole des données. Les e-mails de phishing cherchent souvent à usurper l’identité de quelqu’un d’autre, par exemple une institution financière légitime.
Lorsqu’ils accèdent à des fichiers, les collaborateurs doivent se poser les questions suivantes :
Est-ce que j’attends cet e-mail ?
Les collaborateurs peuvent ainsi s’apercevoir que cet e-mail n’est pas normal.Est-ce que je connais l’expéditeur ?
Le domaine peut être suspect, par ex. @fdsjkje.net.Le sens du message est-il clair ?
Souvent, les e-mails de ce type comportent des fautes d’orthographe ou de grammaire.Cet e-mail me demande-t-il de faire quelque chose de déraisonnable ?
Les institutions légitimes ne vous demanderont jamais votre mot de passe, votre code PIN, ni aucune autre information d’identification.Le fichier semble-t-il suspect ?
Le fichier peut comporter une extension inhabituelle, .exe par exemple, ou il peut présenter un nom particulièrement suspect, comme « ArgentGratuit ».
En cas de doute, les collaborateurs doivent savoir qu’il faut immédiatement prévenir l’équipe IT.
Quoi qu’il en soit, un incident peut toujours arriver : quelqu’un clique sur un e-mail de phishing, une injection SQL parvient à accéder au réseau... Les étapes qui suivent la découverte d’une cyberattaque sont cruciales pour en atténuer les effets. Votre programme de sensibilisation à la cybersécurité peut proposer une suite d’étapes spécifiques à suivre en cas d’attaque, par exemple :
Prévenir les équipes IT dès que possible.
Signaler l’attaque aux organismes concernés dans le but de préserver la conformité réglementaire.
Enquêter sur l’ampleur de l’attaque : combien de mots de passe ont été compromis, par exemple ?
Tenter de contenir la faille : verrouiller tous les accès aux systèmes et tenter de récupérer les données perdues, par exemple, en cas d’attaque par ransomware.
Évaluer le risque, notamment les dégâts financiers et les données clients perdues.
Informer toutes les parties prenantes susceptibles d’être affectées, comme les clients ou les collaborateurs.
Informer toutes les parties prenantes des prochaines étapes à suivre, par exemple réinitialiser les mots de passe. Rassurer les clients en les informant des mesures que vous avez prises pour les protéger à l’avenir et atténuer l’impact de l’incident dans le temps.
Les deux pires choses à faire en cas de cyberattaque : paniquer et ne rien dire. Il est essentiel de faire face à l’attaque dès que possible, avant qu’elle n’affecte votre réputation et vos finances.
Tous les collaborateurs doivent suivre des politiques strictes pour protéger les données des consommateurs et de l’entreprise. Les bonnes pratiques de prévention de la cybercriminalité incluent l’usage de mots de passe forts, l’implémentation de la MFA et le contrôle des accès utilisateur. Lorsque c’est possible, vos équipes doivent également :
Protéger les documents physiques : ne communiquez jamais les mots de passe ou autres informations d’identification sous forme physique.
Utiliser le chiffrement lors de l’envoi ou du partage de données sensibles : par exemple, il est important de tenir à jour les certificats SSL.
Mener un audit régulier des droits d’accès aux fichiers : la surveillance étroite des accès aux fichiers est particulièrement importante pour les équipes dirigeantes. Elle permet d’éviter les menaces internes ou qu’un ancien employé accède à des données sensibles.
Vos équipes doivent uniquement utiliser des canaux de communications fiables, réputés et sécurisés. Qu’il s’agisse d’un logiciel de gestion de projet, d’une messagerie instantanée ou même d’un site web ou d’un système d’e-mails, les canaux doivent :
être chiffrés, par exemple dans le cas des e-mails chiffrés ;
sécuriser les transferts de fichiers, par ex. en utilisant le protocole HTTPS pour les sites web ;
être protégés contre le vol de données.
L’importance de la formation à la cybersécurité ne doit pas être sous-estimée. Après tout, l’erreur humaine est à l’origine de 95 % de tous les incidents de cybersécurité (en anglais). Néanmoins, cette formation ne sera efficace que si elle est associée aux bons processus et à des technologies adaptées. Une technologie efficace peut réduire considérablement le risque d’erreur humaine. Si vos équipes sont formées à la bonne utilisation de cette technologie, le risque diminuera d’autant.
La formation à la cybersécurité contribue à réduire les risques avant qu’ils ne donnent lieu à des attaques (ce qui permet à votre entreprise de gagner du temps et d’éviter certains coûts). Vos équipes tireront également plusieurs avantages de cette stratégie :
La sensibilisation à la cybersécurité doit s’opérer à l’échelle de toute l’entreprise, sans se restreindre aux seules équipes IT. La formation sensibilise les équipes dirigeantes aux risques, ce qui peut faciliter leur adhésion aux pratiques de sécurité à long terme.
En informant vos équipes de l’actualité des risques de sécurité, vous aurez plus de facilité à les convaincre de respecter les dernières directives en date. Qu’il s’agisse de pertes financières ou de préjudice en termes d’image, tout le monde est concerné. La sensibilisation aide les collaborateurs à mieux identifier les menaces.
Un programme de formation à la sécurité bien défini inclut la conception de politiques visant à prévenir les attaques et à enquêter sur leur cause, si le pire venait à se produire. Quand tout est enregistré, il est plus facile d’identifier les vulnérabilités potentielles et d’intervenir avant qu’elles ne posent un risque pour l’entreprise.
La formation seule ne suffit pas à stopper toutes les attaques qui menacent les entreprises. Elle joue toutefois un rôle crucial pour réduire au maximum le risque d’erreur humaine. Par exemple, les employés sensibilisés se posent les bonnes questions avant d’ouvrir une pièce jointe.
Selon IBM, en 2022, le coût moyen d’une fuite de données aux États-Unis atteignait 4,35 millions de dollars. Dans tous les cas, mieux vaut prévenir que guérir ; investir dans la formation à la sécurité des données permet de :
réduire les coûts liés à la reprise des systèmes et aux frais de justice en cas de pénalités ;
gagner en productivité pour permettre aux collaborateurs de se concentrer sur leur cœur de métier plutôt que de perdre du temps à récupérer les systèmes ;
protéger la réputation de votre entreprise, en rassurant vos clients quant à la sécurité de leurs données.
Un bon programme de formation à la sécurité doit tenir compte des besoins uniques de votre entreprise. Il doit bien répartir les efforts d’atténuation du risque entre les personnes, les processus et les technologies. Si chaque entreprise est différente, les bonnes pratiques suivantes sont plébiscitées par la plupart des équipes IT :
Faire de la formation à la cybersécurité une activité obligatoire et récurrente.
Adapter la formation à l’entreprise, par exemple en abordant la question de la conformité dans le secteur d’activité concerné.
Varier les supports de formation : ateliers animés par des professionnels de la sécurité, sessions d’e-learning…
Rendre la formation plus dynamique en testant les connaissances des collaborateurs et en soulignant les risques inspirés du monde réel.
Fournir les ressources nécessaires, comme des guides en ligne ou des instructions d’utilisation des solutions technologiques choisies.
Promouvoir une culture de la sécurité en responsabilisant chaque individu.
Faciliter l’accès à la formation, que les collaborateurs soient à distance ou qu’ils aient des besoins particuliers en matière d’accessibilité.
Récompenser les collaborateurs par un système d’incitation : ludification ou bonus sur le lieu de travail.
Aujourd’hui, les cyberattaques représentent un risque prioritaire pour les entreprises. Aucune entreprise n’est à l’abri. Si la technologie représente la seule véritable façon d’atténuer le risque d’erreur humaine, former vos équipes aux bonnes pratiques et à la bonne utilisation des solutions réduira le risque global auquel est exposée votre organisation.
En l’absence d’une formation adéquate à la cybersécurité, les entreprises encourent des pertes financières, un préjudice en termes d’image et mettent en péril leurs relations avec leurs partenaires. Pour bien protéger les entreprises, la clé consiste à responsabiliser chaque membre de votre équipe vis-à-vis de ses pratiques cyber. Néanmoins, n’oubliez pas qu’une erreur est vite arrivée, et la seule façon certaine de protéger l’accès à vos systèmes critiques consiste à choisir la bonne technologie.
Découvrez pourquoi la protection des accès utilisateur est essentielle pour éviter les attaques.