Les cyber-menaces pesant sur votre entreprise sont généralement imputées à des personnes étrangères à l’Organisation ou à des programmeurs véreux insérant, dans vos applications, du code malveillant conçu pour exploiter les informations sensibles pour votre Entreprise, voler les données confidentielles de vos clients et / ou vous dérober de l’argent. Cependant, la menace de sécurité se situe le plus souvent à l’intérieur de l’Entreprise, lorsque c’est l’ignorance et / ou la négligence des employés qui ouvre la voie aux cybercriminels. La sensibilisation du personnel sur ces menaces est donc essentielle.
Cet article, publié par 2AB & Associates, dans le cadre de notre participation au mois de la cyber-sécurité, est destiné à vous donner quelques pistes pour réussir une meilleure sensibilisation de vos employés à la cybersécurité.
La sensibilisation du personnel est une priorité
Il est important de former le personnel avant d’être victime d’une violation des données. Soyez proactifs. N’attendez pas pour réagir. Ecrivez des politiques, en partant du principe que vous serez attaqués, puis aidez les employés à comprendre ce qu’ils doivent faire (et ne pas faire) afin de préserver la sécurité de votre entreprise et d’améliorer sa cyber-résilience.
1. Parlez régulièrement de cyber-sécurité au personnel
La sécurité et la résilience ne sont pas des tâches réservées aux informaticiens et aux personnels des équipes de gestion de la sécurité. La cyber-sécurité est une responsabilité collective et tous les employés en sont personnellement responsables. Il faut donc les informer sur ces responsabilité de façon régulière :
- Expliquez l’impact potentiel d’un cyber-incident sur les opérations de l’Organisation et insistez sur les obligations des employés, en particulier en ce qui concerne l’utilisation de téléphones mobiles,
- Ne vous contentez pas d’une revue annuelle des politiques et d’une signature confirmant que chaque personne a lu et compris les politiques informatiques de l’Entreprise.
2. Les politiques s’appliquent à tous y compris le top management et les informaticiens
Ce sont les exécutifs de l’Entreprise (les membres du Comité de Direction) qui sont en charge de rédiger les politiques. La politique de sécurité en fait bien entendu partie. Toute politiques est destinée à être appliquée par tout le monde au sein de l’organisation. Cela inclut évidemment les membres du Conseil d’Administration, du Comité de Direction et les informaticiens :
- Les cadres supérieurs sont souvent une cible parce que :
- Ils ont accès à plus d’informations et à des informations plus sensibles que les autres,
- Ils sont souvent plus vulnérables lorsqu’ils sont en déplacement hors des locaux de l’Entreprise. Les pirates le savent et ciblent régulièrement les cadres en déplacement,
- L’IT fait souvent des exceptions aux règles pour eux car ils sont réticents à appliquer des règles qui s’appliquent au reste de l’Entreprise, se sentant, à tort, « au dessus des règles »,
- Les dommages / gain financier peuvent être beaucoup plus grands,
- Le personnel TI est également vulnérable du fait de leurs droits d’accès privilégiés sur tout le réseau de l’Entreprise.
3. La résistance de la chaîne de sécurité est limitée à celle de son maillon faible
Expliquez au personnel que vous travaillez activement sur la sécurisation de l’infrastructure de l’organisation mais que la sécurité ne peut pas dépasser celle fournie par son maillon le plus faible, à savoir les personnes :
- Encouragez la coopération, et pas seulement le respect des règles,
- Créez des politiques suffisamment complètes pour couvrir tous les angles d’attaque possibles,
- Reconnaissez et faites comprendre au personnel que tous les êtres humains ont des faiblesses et font des erreurs.
4. Organisez des sessions régulières explorant les angles des cyber-attaques
Organisez régulièrement des sessions de travail avec l’ensemble du personnel. Explorez ensemble tous les aspects des cyber-attaques potentielles. Faites-le dès l’embauche de nouveaux employés et jusqu’à leur départ de l’Entreprise :
- Au moment de l’embauche de nouveaux employés et avant qu’ils ne commencent à travailler au sein de l’Organisation, une sensibilisation à la cybersécurité doit faire partie de votre processus d’accueil, puis, durant toute leur vie au sein de l’Organisation, faire l’objet de sessions régulières de « rafraîchissement »,
- Envisagez différents formats de sessions (par exemple : déjeuner d’apprentissage, happy hours, etc.),
- Assurez-vous de l’utilité des ces sessions
- La plupart des employés ont des PC à la maison et des parents qui ont aussi accès à internet,
- Faites régulièrement référence à des sujets de l’actualité,
- Utilisez les réseaux sociaux.
5. Attirez l’attention du personnel sur les risques liés à l’ingénierie sociale
La sensibilisation ne suffit pas. Il faut également attirer régulièrement l’attention de vos employés sur le fait qu’ils sont des cibles pour les activités d’ingénierie sociale et sur les façons de s’en protéger :
- Au travail, méfiez-vous toujours des réseaux sociaux, blogs et liens suspects provenant de sources inconnues lorsque vous utilisez le système informatique de l’entreprise,
- Beaucoup de cyber-incidents commencent par un simple appel téléphonique de quelqu’un se présentant comme un collègue posant des questions en apparence anodines en vue de collecter des informations sur la société et ses opérations,
- Les cyber-criminels exploitant les faiblesses humaines n’en ont presque jamais l’apparence…
6. Formez les employés à reconnaître une cyber-attaque
Nous pouvons le dire aujourd’hui, avec une quasi-certitude. Vous avez été, vous êtes actuellement, ou vous serez la victime d’une cyber-attaque. Il est quasiment impossible d’y échapper. La problématique reste bien évidemment de s’en protéger mais aussi de savoir détecter une cyber-attaque au moment où elle se produit afin de réagir rapidement pour la contenir. Cela nécessite clairement une sensibilisation du personnel sur le sujet :
- Définissez et implémentez des politiques en partant du principe que vous serez piratés. N’attendez pas qu’une attaque se produise pour réagir,
- Ayez un plan de réponse documenté en place pour les incidents de sécurité et assurez-vous qu’il est revu et mis à jour fréquemment,
- Communiquez des instructions détaillées, pas à pas, sur ce qu’il faut faire si des employés croient reconnaître un cyber-incident,
- Formez toujours le personnel avant qu’un cyber-incident ne se produise.
Les formations doivent inclure les règles spécifiques concernant le courrier électronique, la navigation sur internet, l’utilisation des appareils mobiles et des réseaux sociaux. N’oubliez pas de vous focaliser sur les règles de base en cas de suspicion d’une cyber-attaque :
- Débranchez physiquement votre machine du réseau,
- Informez immédiatement votre administrateur de tous les courriels suspects, de toute activité inhabituelle ou si vous avez perdu votre appareil mobile,
- Si vous n’êtes pas capable de retrouver le numéro d’urgence pour prévenir l’informatique en moins de 20 secondes, commencez dès maintenant à le mémoriser.
7. Ne sanctionnez ni ne ridiculisez jamais un employé qui lève le drapeau rouge
Le personnel doit savoir que la cyber-sécurité est l’affaire de tous. Tout le monde peut faire une erreur. Ne ridiculisez jamais quelqu’un qui a émis de bonne fois une alerte injustifiée et bien sûr ne le sanctionnez pas.
- Même si c’est une fausse alerte, il est important de ne pas décourager les employés de parler, au cas où une véritable cyber-attaque se produit réellement,
- Si les fausses alertes se produisent trop souvent, améliorez votre méthode de formation.
8. Si un cyber-incident se produit, prévenez le personnel le plus rapidement possible
Lorsqu’un incident de sécurité se produit, la première urgence consiste à le reconnaître comme tel. Et, bien sûr, il faut essayer de le contenir avant qu’il ne puisse se propager au travers du réseau. La seconde urgence, dès lors qu’il a bien été reconnu que vous êtes en présence d’un incident de sécurité, est d’en informer l’ensemble du personnel qui saura quelles sont les actions attendues de sa part :
- Un manque de transparence ou la mauvaise gestion d’un cyber-incident peut augmenter de façon significative l’impact de l’événement,
- Imposez des règles strictes sur la façon de communiquer au public et à la presse au sujet de tout incident,
- Ayez un plan de communication interne et une stratégie de continuité en place avant que quelque chose ne se passe,
- Envisagez la souscription d’une assurance concernant les cyber-incidents.
9. Testez régulièrement votre personnel sur ses connaissances en cyber-sécurité
- Assurez vous de la pertinence de votre programme de sensibilisation pour leurs vies d’individus connectés
- Faites plaisir aux membres du personnel en rendant ces tests à la fois ludiques et enrichissants, et n’hésitez pas à récompenser à l’aide d’incitations telles que des lots (goodies, …) pour les réponses les plus rapides.
10. Incitez, écoutez et répondez aux remarques
- Forcez les employés à changer les mots de passe chaque semaine et à ne pas les écrire et les afficher dans leurs espaces de travail
- S’il est trop difficile ou compliqué d’accéder à quelque chose qu’ils doivent utiliser dans le cadre de leur travail, ils trouveront des solutions de contournement moins sûres comme l’utilisation d’e-mails personnelle, de clés USB et de collègues pour contourner les restrictions
- Identifiez les causes des comportements dangereux.
Existe-t-il des programmes de sensibilisation standards?
Il existe, en effet des programmes de sensibilisation standards. Il s’appuient sur les principaux référentiels de bonnes pratiques et sur les normes en matière de sécurité de l’information (ISO 27001, ISO 27002) et de cyber-résilience (RESILIA) et de gouvernance du SI pour les dirigeants (COBIT).
AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, EXIN et AXELOS sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose des sessions de sensibilisation tout spécialement adaptées à des cibles spécifiques (dirigeants, personnels des métiers, informaticiens) et animées par un expert du domaine :
Sensibilisation à RESILIA (2 formats : 4 heures ou 1 journée)
COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)
Sensibilisation à ISO 27001 / ISO 27002 pour les dirigeants (1 journée)
Pour tout complément d’information ou pour vous inscrire à notre newsletter, merci de bien vouloir commenter cet article.