Lutter efficacement contre les menaces qui pèsent sur l’entreprise et son système d’information commence par la sensibilisation et la formation des employés. Une manière également de limiter le risque humain d’ouvrir une porte aux cybercriminels par ignorance ou négligence.
1Parler régulièrement de cybersécurité avec les employés
Organiser une information annuelle et faire signer une attestation de prise de connaissance d’un règlement IT de l’entreprise ne suffisent pas. Il faut régulièrement expliquer l’impact potentiel d’un cyber-incident sur les opérations de l’organisation, et rappeler les obligations des employés, en particulier aujourd’hui sur l’utilisation des mobiles.
2Rappeler que le top management et les cadres sont aussi des employés
Tout le monde est concerné par la sécurité, et le top management plus encore. En effet, les dirigeants et cadres de l’entreprise disposent d’un accès à plus d’informations, bénéficient souvent de détournements des règles, et le risque financier qui leur est associé est évidemment plus important. Il en est de même des acteurs des IT, qui disposent d’un pouvoir illimité sur le réseau.
3Expliquer que, malgré vos efforts pour sécuriser l’infrastructure, la sécurité d’un système dépend de son niveau le plus faible
Encouragez la coopération et non seulement la compliance. Créez une politique suffisamment sophistiquée pour couvrir tous les vecteurs d'attaque possibles. Reconnaissez que les humains ont des faiblesses et commettent des erreurs.
4Avoir des cessions régulières avec les employés, centrées sur l’exploration de différents types de cyberattaques
Dès qu’un nouvel employé commence à travailler dans l’entreprise, il devrait recevoir une formation sur la cybersécurité, qui devrait faire partie de vos activités à l’embauche. Rendez cette formation utile. Se rappeler également que la plupart des salariés ont des PC à la maison, et que leurs proches peuvent aussi avoir besoin d’être sensibilisés, voire d'être aidés. Faire référence aux actualités. Utiliser des médias sociaux.
5Alerter les employés d’être particulièrement attentifs à leurs activités de social engineering
Méfiez-vous des médias sociaux, des blogs et des liens suspects provenant de sources inconnues au travail. De nombreux cyber-incidents commencent par un appel téléphonique de quelqu'un qui se présente en tant que collègue et qui pose des questions apparemment inoffensives, rassemblant en réalité des informations sur l'entreprise et ses opérations. Un cybercriminel qui exploite les faiblesses sociales ne ressemble presque jamais à un cybercriminel !
6Entrainer les employés à reconnaître une attaque
Mettez en place des politiques qui assurent que vous serez averti. N’attendez pas pour réagir. Disposez d’un plan de remédiation documenté, examinez-le et mettez-le à jour fréquemment. Communiquez des instructions étape par étape sur ce qu'il faut faire si les employés croient avoir vu un cyber-incident. La formation doit se faire avant qu'il y ait un problème.
Les formations devraient inclure des règles spécifiques pour le courrier électronique, la navigation sur le Web, les appareils mobiles et les réseaux sociaux. N'oubliez pas d'inclure les bases : débrancher physiquement la machine du réseau ; informer l’administrateur de tout courrier indésirable suspect, d’une activité inhabituelle, ou en cas de perte d’un appareil mobile. Mettez en place un numéro d’urgence. Si l’employé ne peut pas l’utiliser en 20 secondes ou moins, invitez-le à le mémoriser !
7Ne jamais désapprouver ou se moquer d’un employé qui agite un drapeau rouge
Même s’il s’agit d’une fausse alerte, il est important de ne jamais décourager les employés de parler, au cas où une véritable cyberattaque se produirait. Et si de fausses alarmes se produisent régulièrement, améliorez votre approche de la formation.
8Si un incident a lieu, avertir les employés le plus rapidement possible
Un manque de transparence ou une mauvaise intervention sur un cyber-incident peut considérablement augmenter l'impact de l'événement. Donnez des instructions sur la façon de parler au public et à la presse de l'incident. Mettez en place un plan de communication interne et une stratégie de relations publiques avant que quelque chose ne se produise. Envisagez une assurance pour les cyber-incidents.
9Tester régulièrement les employés sur leurs connaissances de la cybersécurité
Rendez le test pertinent pour leur vie numérique. Rendez-le amusant et/ou gratifiant, avec des incitations pour des réponses rapides.
10Appeler, écouter et répondre aux retours
Si vous forcez les employés à changer de mot de passe chaque semaine, ne soyez pas surpris s’ils sont écrits et publiés dans leurs espaces de travail. S'il est trop difficile ou compliqué d'accéder à quelque chose dont ils ont besoin pour leur travail, ils trouveront des solutions moins sécurisées, comme l'utilisation de courriels personnels, de clés USB, ou le recourt à des collègues pour contourner les restrictions. Découvrez la cause racine du comportement dangereux.
Source : Kaspersky Lab
Image d’entête 611761488 @ iStock novintito