Les initiatives de cybersécurité doivent inclure une formation sur la sensibilisation à la sécurité de l’information à l’intention des employés. Il importe que la formation soit actualisée régulièrement
Aucune entreprise n’est complètement à l’abri des pirates informatiques. Les cybercriminels d’aujourd’hui utilisent des techniques incroyablement perfectionnées, en plus d’être déterminés et bien informés. Ils aspirent à mettre la main sur les données sensibles des entreprises et recherchent toujours de nouvelles stratégies ou de nouveaux outils pour les aider à réaliser cet objectif. Aggravant les choses, les cybercriminels réalisent de plus en plus le potentiel immense qu’ils peuvent retirer en ciblant non seulement les grandes entreprises, mais aussi les PME. Compte tenu du nombre de menaces qui les guettent, il est pratiquement impossible pour une entreprise de se protéger complètement du risque d’atteintes à la protection des données.
En revanche, cela ne veut pas dire que les entreprises sont entièrement à la merci des cybercriminels. Bien au contraire, les entreprises peuvent et devraient prendre des mesures proactives pour consolider leurs défenses et diminuer leur vulnérabilité. Comme l’a souligné récemment Tiffany Robertson, collaboratrice à JD Supra, ces initiatives devraient comprendre une formation sur la sensibilisation à la sécurité de l’information des employés à long terme, laquelle devrait être actualisée régulièrement.
« Les entreprises doivent aller au-delà de la technologie et mettre l’accent sur le facteur humain. »
Le facteur humain
Comme beaucoup d’autres spécialistes de l’industrie, Mme Robertson a insisté sur le fait que, bien que les outils de cybersécurité puissent jouer un rôle inestimable pour protéger une entreprise contre les menaces externes, ceux-ci ne sont pas suffisants. Pour vraiment améliorer leurs capacités de cybersécurité, les entreprises doivent aller au-delà de la technologie et mettre l’accent sur le facteur humain.
Qui plus est, Mme Robertson a rappelé que de telles initiatives doivent s’étendre au-delà du service des TI. Même avec un service des TI rigoureux et adéquatement financé, les entreprises peuvent encore être vulnérables aux attaques, à moins que chaque employé de l’entreprise reconnaisse les menaces constituées par la cybersécurité et possède les compétences et les connaissances nécessaires pour donner suite à cette compréhension.
Besoins en formation
En gardant cela à l’esprit, Mme Robertson a déterminé que la formation et la conscientisation des employés étaient des composantes essentielles de toute initiative visant la mise en place d’une culture de sensibilisation à la cybersécurité.
La formation est indispensable pour plusieurs raisons. D’abord et avant tout, Mme Robertson a insisté sur le fait que ces initiatives sont nécessaires pour s’assurer que les employés ont la capacité de se conformer aux politiques de l’entreprise en matière de cybersécurité. Même une stratégie de cybersécurité soigneusement préparée et exhaustive n’aura aucun effet si les travailleurs ne possèdent pas les connaissances requises pour en respecter les lignes directrices au jour le jour. À titre d’exemple, les travailleurs doivent apprendre comment cerner toute activité suspecte, y compris les courriels et d’autres messages.
De surcroît, Mme Robertson a fait remarquer que les employés opposeront une résistance aux politiques de cybersécurité s’ils ne comprennent pas le raisonnement qui sous-tend les décisions. Après tout, les politiques risquent de nuire aux opérations de travail et au comportement des employés et les travailleurs ne seront donc pas emballés par leur établissement. Si les employés comprennent l’incidence de ces politiques sur la cybersécurité de l’entreprise ainsi que leur importance, ils seront beaucoup plus susceptibles d’en tenir compte.
Initiatives continues et diversifiées
Mme Robertson a aussi fait valoir que les initiatives de formation sur la sensibilisation à la sécurité doivent être continues. Avec le temps, les menaces de cybersécurité les plus urgentes et les plus sérieuses auxquelles les entreprises sont confrontées continueront inévitablement d’évoluer. En conséquence, les pratiques exemplaires en matière de cybersécurité devront aussi évoluer pour gérer les nouvelles menaces.
Enfin, l’auteure de l’article a insisté sur le fait que les campagnes de sensibilisation doivent être diversifiées. Plutôt que de se fier à une seule initiative de sensibilisation, les entreprises devraient recourir à un « éventail de ressources – affiches, bulletins de nouvelles, astuces par courriel, blogues », etc. Une approche à plusieurs volets aura beaucoup plus d’impact qu’une stratégie plus limitée.
Ces points doivent être pris en considération. Si une entreprise veut vraiment améliorer sa situation en matière cybersécurité, elle ne peut pas ignorer le rôle assumé par les employés dans l’ensemble de l’entreprise. Trop souvent, les entreprises se fient à une seule séance de formation pour encourager les membres de leur personnel à adopter un comportement plus prudent. Or en agissant ainsi, l’entreprise sera non seulement incapable de tirer pleinement parti des leçons à tirer, mais elle donnera aussi l’impression que la cybersécurité ne représente pas un enjeu important. À l’opposé, une formation ponctuelle, actualisée régulièrement, souligne d’emblée l’importance de ce genre d’initiative pour l’entreprise dans son ensemble.