Qu’il s’agisse d’adopter une architecture Zero Trust (ZTA), une authentification à deux facteurs ou passer à des applications sécurisées basées sur le cloud, il existe de nombreux moyens pratiques pour les entreprises de mieux se protéger contre les menaces et les infractions potentiellement dévastatrices de la cybersécurité. Mais le facteur le plus important pour garantir l’efficacité des protocoles de cybersécurité ne repose pas uniquement sur la technologie, c’est l’affaire de tous. Quelle que soit l’ampleur de la menace ou la taille de l’entreprise, tous les employés jouent un rôle important pour déjouer les tentatives des hackers, de ceux qui volent des données ou de tout autres acteurs nuisibles.
Cette responsabilité d’instaurer une forte conscience des enjeux de la cybersécurité, ne devrait pas seulement reposer sur le département informatique. Il faut une éducation proactive avec la participation de chacun pour construire et maintenir une culture fondée sur la sécurité, et par l’apprentissage de bonnes pratiques d'hygiène numérique.
La menace grandit au fur et à mesure que les conditions de travail numériques évoluent
Répondre à cette menace est devenu plus important que jamais, car les télétravailleurs utilisent des smartphones, ordinateurs et autres appareils fournis par leur entreprise, pour leurs activités personnelles. Ces Endpoints vont au-delà de la sécurité d’un pare-feu d’entreprise et sont souvent utilisés pour aller sur les réseaux sociaux et autres sites relatifs à des sujets personnels, ce qui peut créer des failles de sécurités supplémentaires qui peuvent être difficiles à être entièrement contrôlés par les entreprises.
Les résultats du 14emerapport sur les compromissions de données (DBIR) montrent que 85 % des compromissions sont imputables à des erreurs humaines, dont 36 % des cas font suite à une attaque par phishing, ce qui représente une augmentation de 11 % par rapport à l’année dernière. De même, selon une étude de Sonicwall, les attaques de grande envergure perturbent non seulement les plus grandes entreprises, mais notre mode de vie tout entier. Pendant la première moitié de l’année 2021, on a enregistré 304,7 millions de tentatives d’attaque de type ransomware. En comparaison, cela représente à peu près le même nombre d’attaques du même type sur toute l’année 2020.
De l’accueil de nouvelles recrues aux employés de longue date, favoriser une culture dans laquelle tous les employés sont concernés par la sécurité est primordial pour toute organisation. Bien que la plupart des individus soient parfaitement conscients de la nécessité d’une solide posture sur la sécurité, l’idée d’être un gérant de l’hygiène numérique n’est pas toujours intégrée dans les pratiques de travail en dehors du département informatique.
La première étape consiste à déterminer les forces et les faiblesses de votre entreprise, ainsi que ses besoins en matière de sécurité, dans l’objectif de bâtir un programme de formation en conséquence. Il peut être utile d’avoir plusieurs départements alignés sur une même déclaration de vision commune, qui énonce clairement les comportements requis en matière de sécurité. Cela peut être aussi simple que ‘’Notre mission est d’assurer la sécurité de l’entreprise grâce à des pratiques assidues en matière de cybersécurité’’.
Des cadres dirigeants aux managers, veillez à ce que les enseignements soient simples et faciles à suivre, vous pourrez constituer une force de travail où les employés sont conscients de leurs responsabilités en matière de sécurité et soutiennent votre productivité et votre réussite globale. Fournir un ensemble approprié d’outils et de formations aide les employés à penser et à agir de manière proactive en matière de cybersécurité, afin de s’assurer qu’ils comprennent que l’hygiène numérique est un processus continu qui nécessite une évaluation régulière. Pour les petites entreprises ne comptant qu’une poignée d’employés et quelques ordinateurs, cela peut être aussi simple que d’organiser régulièrement des conversations sur la sécurité avec les membres de l’équipe.
La mise en place peut être plus complexe, mais l’idée devrait être la même que pour les plus grandes entreprises. Que ce soit des cours sur l’état actuel des menaces, au renforcement de l’importance pour les employés de savoir qu’ils sont d’une aide capitale, il est essentiel de maintenir la conversation sur la cybersécurité comme étant une priorité absolue, grâce à la répétition, le renforcement et la pertinence. Ces sessions de formation aident les employés à devenir vos meilleurs défenseurs en matière de sécurité, pour éviter et prévenir des menaces lors de la consultation des mails, réseaux sociaux et autres applications, quand ils utilisent les ressources technologiques de l’entreprise sur leurs appareils personnels.
Même après la détection d’une menace, il existe de nombreux autres moyens pratiques pour protéger les employés et votre entreprise. Un système de rapport d’incident ou une option dédiée d’appel vocal et de texte, par exemple, offre un canal clair et continu pour signaler les tentatives de phishing et de piratage. Beaucoup seraient surpris par la fréquence à laquelle les incidents sont remarqués par les employés mais qui ne sont jamais signalés. L’hypothèse sur la raison la plus courante pour laquelle ils ne sont pas signalés, est que les employés pensent que quelqu’un d’autre a déjà signalé l’activité suspecte, ou que le département informatique l’a déjà probablement détectée.
Mesurer et féliciter la réussite
Un programme de sensibilisation à la sécurité peut jouer sur le comportement des employés afin de réduire la probabilité ou l'impact des incidents sur la sécurité, mais ce n’est pas toujours suffisant. Au fur et à mesure que la formation se poursuit, pensez à chercher des moyens de la « gamifier », comme organiser des concours (avec des prix) ou des programmes de récompense. Cela permettra d’impliquer les employés et de faire en sorte qu’ils acceptent plus facilement cela.
De nombreuses plateformes de formation incluent des données sur les taux d’accomplissement, vous donnant des mesures supplémentaires utiles sur le nombre de vos employés qui terminent la formation de sensibilisation à la sécurité, et sur la facilité de compréhension de celle-ci. Et au fur et à mesure du déroulement de la formation, il est utile de montrer comment votre entreprise s’en sort dans sa lutte contre les acteurs nuisibles. Existe-t-il des données montrant combien de piratages ont été stoppés ? Y’a-t-il un e-mail de phishing ou quelque chose de suspect qu’un employé a identifié et stoppé, qui peut être montré comme un exemple de bonne hygiène en matière de sécurité numérique ? Si la réponse est oui, félicitez ces actions de protection afin que les autres employés soient plus motivés à adopter ces comportements.
Si les attaques de ransomware sur les applications web continuent d’augmenter, vos employés peuvent être le « pare-feu humain » qui permet de tenir ces menaces à distance. Mais il faut s’assurer que tout le monde y mette du sien pour que cela se réalise.
Par Chris Novak, Directeur général du centre consultatif de recherche sur les menaces chez Verizon Business