L’année 2023 a débuté comme les précédentes : de nombreuses attaques ont fait la une de l’actualité. La menace des ransomwares continue de planer au-dessus des entreprises et les tentatives d’hameçonnage ne cessent de se multiplier. Pour les entreprises victimes de cyberattaques, les coûts directs sont élevés. D’après le dernier rapport du Crip de juin 2023, le cabinet Astérès estime ainsi à 887 millions d’euros le coût direct des cyberattaques réussies, à 888 millions d’euros le montant payé en rançons et à 252 millions d’euros les pertes de production en France. Soit plus de 2 milliards d’euros sur la seule année 2022.

Pour ceux qui ont été attaqués comme pour ceux ayant pour l’heure évité la menace, le constat est sans appel : il faut anticiper l’attaque autant que possible, ce qui passe par divers procédés. Dans cet article, nous vous ferons découvrir les principes essentiels de l’anticipation et de la remédiation, que vous pourrez également découvrir en visionnant le webinaire exclusif mené par Dalila Ben Attia, Directrice régionale Europe chez Terranova Security par Fortra, en compagnie de Xavier Bourdelois, responsable avant-vente chez Commvault France.

Anticiper le risque n’a jamais été aussi important

L’anticipation du risque cyber réside dans la connaissance de celui-ci. Et si l’actualité aide à la percevoir, le déceler et le contourner requiert un travail de fond passant notamment par la sensibilisation des utilisateurs et donc par le développement de leurs connaissances pour mieux identifier les menaces. Chez Terranova Security par Fortra, l’anticipation des cyberattaques commence par l’évaluation du risque humain qui est aujourd’hui au cœur d’environ 90 % des cyberattaques. Accepter que l’ensemble des collaborateurs ne disposent pas de connaissances profondes en cybersécurité est un premier pas.

Le socle de formation et de sensibilisation s’intègre au plan de sauvegarde de l’entreprise et de son intelligence la plus précieuse, ses données. Au même titre qu’un plan de sauvegarde pointue peut être mis en place, former vos collaborateurs aux risques cyber et aux méthodes de signalement des risques est un pré-requis pour, non pas uniquement éviter les menaces, mais pour ne pas en subir les conséquences.

Nous distinguons 6 grandes étapes pour mettre en place une formation de sensibilisation à la cybersécurité réussie :

  • Auditer les connaissances existantes de vos collaborateurs
  • Fixer vos objectifs à court, moyen et long terme
  • Mettre en place votre programme de sensibilisation pour vos collaborateurs
  • Déployer votre programme avec des modules de formation récurrents
  • Évaluer les connaissances de vos collaborateurs au moyen de simulation d’hameçonnage
  • Mesurer vos progrès et ceux de vos collaborateurs pour optimiser les formations et développer de nouvelles connaissances

En outre, il est essentiel de penser à la pérennité et l’évolution de ces actions pour éviter la lassitude des collaborateurs, répondre au mieux à leurs attentes et ainsi développer une véritable culture de la sécurité informatique dans l’entreprise. En France, près des deux tiers des employés (62 %)[1] n’ont jamais reçu de formation en sensibilisation à la cybersécurité alors même qu’une prise de conscience est partagée par plus des trois quarts de la population active (76 %). Seulement, sans les outils adéquats, difficile de se protéger et tout le monde ne peut se sensibiliser seul. Il en va du rôle de l’entreprise de protéger son organisation comme la société dans son ensemble. Ce n’est qu’en investissant plus largement pour l’acculturation de tous que la protection des entreprises pourra être réelle.

L’humain est la première fondation de votre plan de protection informatique et ne doit pas devenir une faille à exploiter par les cyberattaquants.

Adopter des techniques de leurre pour mettre K.O. les menaces

Les simulations d’attaques utilisées chez Terranova Security constituent un moyen efficace d’entraîner les utilisateurs, sensibilisés ou non. Par la mise en place d’une fausse campagne de phishing, donc d’une fausse attaque, Terranova Security étudie les comportements des utilisateurs, leur propension à cliquer, à télécharger un document malveillant, mais aussi à signaler un mail qui leur paraîtrait suspect, ou encore à en parler à leurs collègues. Ces tentatives d’attaques sont fausses, mais ciblent de vraies personnes, ce qui permet ensuite de définir les objectifs de la future campagne de sensibilisation, les besoins de l’entreprise. Les simulations d’hameçonnage permettent également d’obtenir un scoring individuel pour personnaliser le parcours des utilisateurs et ainsi les encourager à compléter leurs formations, à participer aux simulations futures et à s’engager sur le long terme pour protéger l’entreprise.

En effet, outre les cours théoriques, les utilisateurs ont besoin de processus didactiques, comme la simulation de phishing pour rester alertes. Et ce d’autant plus que 79 % des Français sont intéressés par les processus de sensibilisation d’après l’institut IPSOS.

Pour bâtir au mieux votre campagne de simulation d’attaque, il convient de la théoriser autour de 4 piliers pour la concevoir :

Et pour ne pas se tromper au moment de la mise en place de votre campagne de simulation, faites attention à ne pas reproduire les 5 erreurs typiques de ce genre d’activités.

Remédier les attaques : éduquer et entraîner font la paire

Pour remédier à une attaque, plusieurs solutions existent, mais il est nécessaire de les avoir déjà en place au moment de l’attaque. On parle ici de plan de reprise d’activité, comprenant des sauvegardes régulières et protégées des données, de la cartographie des données, de la détection des menaces, etc. Assurer la continuité de son activité passe aussi par le fait de parer les coups. Et sur ce point, chaque utilisateur a un rôle à jouer — d’abord en s’assurant de bien sauvegarder ses données, d’archiver ce qui serait moins utile, de procéder à des tris réguliers. L’importance de connaître sa donnée est primordiale et doit faire partie du socle de connaissances communes dispensées dans les modules de formation en sensibilisation à la cybersécurité.

Dans un second temps, l’humain a un rôle à jouer sur la remédiation post-incident car une cyberattaque donne souvent lieu à un renforcement des tests et simulations de phishing afin d’auditer leurs connaissances réelles. Une individualisation des scores de performance sur les cours théoriques comme les simulations de phishing s’avèrera particulièrement utile pour vous aider à renforcer votre stratégie de protection et aussi fidéliser chaque collaborateur de l’entreprise.

Pour ce faire, voici les 4 étapes que vous devez respecter :

  1. Lancez une simulation comme base initiale de référence
  2. Communiquez les résultats à votre direction et aux utilisateurs (e-mail ou sessions de compte-rendu en direct anonymisé)
  3. Définissez votre stratégie à partir des données récoltées et vos objectifs
  4. Lancez une nouvelle simulation, après une salve d’enseignements théoriques, pour consolider l’apprentissage et réévaluer les comportements des utilisateurs

Évaluer la motivation des collaborateurs et recueillir leurs avis sur les formations, les contenus des cours et les méthodes d’apprentissage est également essentiel pour faire de vos collaborateurs des ambassadeurs actifs et engagés de votre programme. À ne pas négliger donc !

L’ensemble des techniques et procédés évoqués dans cet article sont tous plus longuement évoqués dans notre guide ultime pour la mise en place d’une stratégie de sensibilisation à la cybersécurité dans votre entreprise, que vous pouvez télécharger ici. Des démonstrations de nos outils sont également possibles, ainsi qu’un premier audit gratuit de vos connaissances via une simulation de phishing.

Alors, quand passerez-vous à l’action ?