La participation des salariés à la stratégie de sécurité d’une organisation est désormais essentielle pour limiter son exposition aux menaces cyber. De plus en plus d’employés prennent d’ailleurs conscience du rôle qu’ils ont à jouer dans la détection et le signalement des menaces, mais certains manquent parfois de conseils ou d’entraînement. D’autres craignent peut-être de voir leur charge de travail s’alourdir. Le degré de maturité des salariés vis-à-vis des bonnes pratiques en matière de cybersécurité est donc très variable.
D’autre part, les menaces cyber sont de plus en plus nombreuses et sophistiquées. Peu d’entreprises sont épargnées par les tentatives de phishing, de ransomwares (rançongiciel) ou de spoofing (usurpation d’identité). Développer une culture de la cybersécurité et mettre en place de bonnes pratiques cyber est en passe de devenir une question cruciale, mais cette démarche doit respecter quelques grands principes.
Après avoir lu cet article de blog, vous aurez accumulé de nombreux conseils pour inciter vos employés à adopter progressivement et quotidiennement de bonnes pratiques en matière de cybersécurité. Bonus : on vous explique comment y parvenir en douceur et avec efficacité.
Valoriser l’importance du facteur humain dans la cybersécurité
La cybersécurité n’est pas (uniquement) une affaire de technologies et de déploiement de mesures de sécurité. Elle va bien au-delà de cette question. D’ailleurs, les réponses technologiques et les protections logicielles ne sont aujourd’hui plus suffisantes pour protéger une organisation contre les menaces cyber. Il devient essentiel de prendre en compte le comportement de l’utilisateur, et donc d’aborder la cybersécurité en prenant en compte le facteur humain. Les cyberattaquants ne s’y trompent pas et ont maintenant tendance à cibler les utilisateurs et non les infrastructures.
Il ne s’agit pas d’opposer la composante technique de la cybersécurité et sa dimension humaine, mais bien d’aborder les deux questions de manière complémentaire, car les deux ont un rôle important à jouer pour protéger une organisation.
Nombre de cyberattaques commencent par une action humaine (un utilisateur qui clique sur un lien frauduleux ou télécharge une pièce jointe infectée, par exemple), mais cette réalité ne doit pas être l’occasion de stigmatiser le comportement des salariés. Au contraire, les organisations ont tout intérêt à responsabiliser leurs employés sur ce sujet, à les considérer comme une force pour leur stratégie de défense, et donc à leur délivrer les meilleures pratiques.
Inciter à adopter les bonnes pratiques… sans les imposer
Le meilleur moyen d’obtenir une implication active des salariés est justement de ne pas perturber leur quotidien. L’adoption de bonnes pratiques en matière de cybersécurité ne doit pas être vécue comme « une tâche en plus » dans un quotidien professionnel probablement déjà bien rempli. Cette démarche ne doit pas non plus sembler complexe pour des utilisateurs peu à l’aise avec les concepts de sécurité. Les conseils de sensibilisation à la cybersécurité doivent être simples et non techniques, et surtout facilement activables.
Tout doit être fait pour que vos utilisateurs aient le sentiment que l’adoption de bonnes pratiques cyber ne va pas « alourdir » leur quotidien, mais bien le rendre plus confortable et sécurisé. Petit plus : la plupart des conseils que vous donnerez à vos utilisateurs peuvent également être appliqués à titre personnel. C’est donc un argument supplémentaire pour motiver les salariés sur cette question.
La cybersécurité en entreprise est une affaire de responsabilité collective. Concrètement, imposer un ensemble de règles à tous les salariés et leur demander de les appliquer a peu de chances de réussir. En revanche, si les managers s’impliquent eux aussi dans la mise en place de bonnes pratiques, ils auront beaucoup plus de chances d’embarquer leurs équipes.
Intégrer la cybersécurité à l’environnement de travail des employés
Pour un grand nombre d’employés, la cybersécurité relève de l’équipe IT. C’est du moins ce que révèle le dernier rapport d’IPSOS et Terranova Security sur la sensibilisation des collaborateurs aux enjeux de cybersécurité. Le meilleur moyen de faire tomber ces réticences est d’expliquer concrètement quelles sont les menaces cyber qui pèsent sur l’organisation (et surtout quelles en seraient les conséquences), avec des exemples, des éléments de compréhension et des chiffres. Tout l’enjeu est de réussir à montrer l’importance de la cybersécurité dans le quotidien professionnel des employés.
Exemple : si le logiciel CRM est inaccessible à la suite d’une cyberattaque, il faudra X jours pour rétablir son fonctionnement. Les X personnes du département marketing ne pourront plus y accéder et travailler. Cela peut entraîner une perte de chiffres d’affaires de X milliers d’euros pour l’entreprise.
Avec ce genre d’exemples, les salariés peuvent mieux comprendre les conséquences possibles d’une cyberattaque et avoir envie de jouer un rôle actif dans la protection de leur entreprise et de leurs collègues.
De la même manière, si vous souhaitez par exemple mettre en place des simulations de phishing, celles-ci doivent être réalistes et adaptées au quotidien professionnel des équipes. Par exemple, vous pouvez élaborer des e-mails réalistes en mentionnant un outil métier utilisé par une équipe en particulier.
Développer une culture de la cybersécurité
« La cybersécurité est l’affaire de tous » : voilà une phrase qui fait office de mantra pour bon nombre de responsables de sécurité, mais comment l’appliquer au quotidien ? En développant une culture de la cybersécurité dès le processus d’intégration des employés. Pourquoi attendre ? Si l’adoption de bonnes pratiques d’hygiène cyber fait partie des priorités de votre organisation (et c’est là un point important pour le succès de la démarche), alors il n’est jamais trop tôt pour sensibiliser les employés sur le sujet. Vous pouvez donc intégrer ce sujet à votre programme d’accueil et d’intégration des nouveaux salariés, qui sont ainsi sensibilisés dès leur prise de poste.
Il ne s’agit pas de faire peur, mais d’amener les collaborateurs vers une prise de conscience des risques cyber et des moyens d’action qu’ils peuvent déployer à leur échelle pour s’en protéger. Le développement d’une culture de la cybersécurité va modeler le comportement des utilisateurs et muscler leurs réflexes. Les bonnes pratiques cyber vont peu à peu se déployer, au point de devenir « naturelles ». Le niveau de sécurité de l’organisation en sera renforcé, puisque chaque collaborateur se considérera comme un maillon essentiel, actif et responsable.
Tester et entraîner plutôt que « piéger »
Vous souhaitez mettre en place des campagnes de simulation de phishing ? Gardez toujours en tête l’objectif de cet entraînement : tester les réflexes de vos collaborateurs et les améliorer. Les employés ne doivent pas se sentir piégés par ce genre de sessions. Certains employés peuvent par exemple se décourager s’ils n’arrivent pas à repérer les e-mails frauduleux, alors que ce n’est en réalité pas vraiment grave lors d’un entraînement. Au contraire, si les campagnes de simulation sont suivies d’explications et de conseils, elles seront bénéfiques. Les meilleurs résultats s’obtiennent par une pratique régulière.
Bonne nouvelle : les comportements et les réflexes des utilisateurs s’améliorent au fil des entraînements à la cybersécurité, d’autant plus si le contenu est pertinent et bien adapté aux différents profils au sein de l’entreprise. La mise en place des différentes mesures énoncées devrait permettre à de plus en plus d’utilisateurs de détecter et de signaler des e-mails de phishing. N’hésitez pas à partager ces chiffres avec les utilisateurs concernés. Il y a fort à parier que certains d’entre eux ont un esprit de compétition et voudront redoubler d’efforts pour améliorer leurs résultats.
En résumé
La cybersécurité n’est plus réservée aux équipes techniques. Chaque collaborateur a désormais un rôle à jouer pour protéger l’organisation en appliquant de bonnes pratiques et en développant des réflexes en cas de cyberattaque. Tout l’enjeu pour vous est de réussir à faire passer les employés à l’action de manière subtile et efficace, mais sans les contraindre. C’est ainsi que vous pourrez améliorer leur engagement en matière de cybersécurité… et l’efficacité de votre stratégie de cyberdéfense.
Souvenez-vous que la cybersécurité s’inscrit dans une démarche d’amélioration et d’entraînement continus. Inutile de délivrer trop d’informations en une seule fois. Mieux vaut entraîner régulièrement les employés pour développer progressivement leurs réflexes et les inciter à garder ces questions bien en tête.
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Visitez notre Hub de la cybersécurité gratuit pour apprendre et partager des informations cruciales sur l’phishing, l’ingénierie sociale et d’autres cybermenaces.