Comment sensibiliser ses collaborateurs pour limiter les risques numériques


Dans la categorie - Sécurité

Virus, ransomware, malware mobile, phishing… les attaques informatiques sont constantes et les entreprises sont sous le feu permanent des pirates. Pour y faire face, il faut bien sûr une DSI/RSSI avec des moyens, des compétences et des outils adaptés. Mais pas seulement. Le maillon faible de toutes les organisations reste l’utilisateur, car c’est par lui que rentre la très grande majorité des cybermenaces. Qu’il soit directeur général, cadre commercial, réceptionniste ou assistant juridique, il n’a – sauf exception – aucune volonté de nuire. Ce dont il souffre, c’est d’une méconnaissance des enjeux et des impacts de la sécurité informatique sur les actifs de l’entreprise.

Pour y remédier, une seule solution : la sensibilisation des collaborateurs. Exemples, conseils et bonnes pratiques pour trouver l’inspiration et transformer vos salariés en rempart contre les risques numériques.

 

Les risques numériques en entreprise

Ils sont multiples, et ils peuvent prendre différentes formes. Il y a peu en commun entre l’interception de communications téléphoniques, un virus encapsulé dans la macro d’un tableur Excel et une menace applicative liée à une faille de sécurité. Pour y faire face, un état des lieux s’impose.

Les 3 cas du risque numérique en France

Une étude de l’institut Ponemon financée par IBM a pris le temps de s’intéresser aux menaces informatiques, pays par pays. En France, le risque numérique se répartit de la façon suivante :

  • Attaques criminelles (ciblées ou opportunistes) : 50% des cas.
  • Erreur humaine : 31% des cas.
  • Problème technique ou défaillance du système informatique ou logiciel : 19% des cas.

Clic sur un lien inadéquat, non-respect des mises à jour logicielles, mots de passe griffonnés sur un post-it, shadow IT… si les raisons qui peuvent mettre en danger le système d’information d’une entreprise sont nombreuses, l’utilisateur est toujours impliqué dans la chaîne d’actions qui précède une attaque. Qu’il s’agisse de négligences, de manque d’intérêt ou de temps, ne pas impliquer les utilisateurs peut avoir des conséquences importantes. Surtout que les menaces ne faiblissent pas.

Les 5 menaces du moment

Pour une DSI/RSSI, toutes les menaces sont à surveiller. Mais pour sensibiliser ses collaborateurs, il est inutile d’être exhaustif. La concision, la clarté et la démonstration par l’exemple auront toujours plus d’impact.

  • Le ransomware : c’est une attaque qui chiffre les fichiers d’un ordinateur ou bloque un smartphone et qui nécessite le paiement d’une rançon en bitcoins pour le déverrouillage des données. C’est l’équivalent d’une prise d’otage, mais en version numérique, et avec un criminel qu’il est presque impossible d’identifier.

 

  • Le vol massif de données : à travers un système mal surveillé ou via des mots de passe non sécurisés, cela concerne le vol, l’exploitation et la revente de données personnelles servant à financer les activités illicites des cybercriminels.

 

  • Advanced Persistent Threat : ce sont des infiltrations longues et discrètes visant à récupérer des documents ou données confidentielles ciblant des gouvernements, banques, médias ou toute entreprise avec un enjeu stratégique (défense, recherche, transport, etc.). Nous sommes ici dans la catégorie de l’espionnage numérique, où les utilisateurs sont traqués et surveillés avec des méthodes de social engineering pour optimiser les attaques.

 

  • Attaque DoS (déni de service) : c’est la surcharge volontaire des capacités d’un serveur pour le paralyser momentanément ou durablement. Une attaque qui peut avoir des conséquences importantes, notamment pour les sites marchands.

 

  • Le piratage mobile : c’est l’accès à des données personnelles et confidentielles stockées sur un terminal mobile volé ou via l’installation d’une malware.

 

Les bonnes pratiques pour sensibiliser ses collaborateurs

Connaître les menaces est essentiel, mais transmettre les bons messages à une audience non technicienne utilisant les outils informatiques sans en connaître les coulisses est un défi tout aussi important. Un rôle qui tient davantage de la pédagogie, et qui implique la direction générale, la DSI, le RSSI, la communication interne et les ressources humaines.

Mettez en place une politique adaptée et actualisée

La première chose à faire consiste à créer un ensemble de règles claires. La recherche de l’équilibre entre exhaustivité et efficacité est essentielle, car plus l’information sera dense et complexe, plus les chances seront élevées que ces règles soient mal comprises ou mal appliquées. Votre politique interne doit clarifier votre position sur de nombreux sujets : réseaux sociaux, utilisation des terminaux personnels en entreprise, réseau Wifi, applications mobiles, RGPD, etc.

Une politique de sécurité numérique doit être évolutive. Les menaces changent régulièrement et nécessitent des mises à jour constantes. D’autre part, cette politique doit s’inscrire dans le processus d’intégration des nouveaux employés, et de nouveaux outils.

Enfin, selon la culture de votre organisation, il peut être utile de clarifier la partie juridique. Cela passe par la sécurisation des clauses de responsabilités et de confidentialité dans les contrats de travail, ainsi que par des engagements de confidentialité des fournisseurs, clients, partenaires tiers, etc.

Formez en ligne et en présentiel

La formation est indispensable pour sensibiliser ses collaborateurs. C’est une mission qui peut d’ailleurs nécessiter le travail d’un designer pédagogique, afin de créer des parcours d’apprentissage personnalisés, adaptés aux fonctions et aux rôles des salariés. Ces formations doivent être régulières, non techniques dans la majorité des cas, et illustrées avec de nombreux exemples concrets.

Sur le plan organisationnel, le blended learning qui comprend un mix de formations en présentiel et en ligne est une option qui fonctionne bien. Une plateforme d’apprentissage peut ainsi intégrer un système de quiz et de vérification des acquis, ainsi que des sessions de vidéos à la demande visionnables selon les contraintes des équipes.

Les guides de bonnes pratiques ainsi que les MOOC publiés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), sont des ressources utiles dans ce contexte.

Impliquez la direction générale

La DSI/RSSI ne peut pas tout faire toute seule. La direction générale doit être impérativement associée aux démarches de sensibilisation des collaborateurs. Cela signifie débloquer les budgets adaptés, mais également s’impliquer à titre personnel. Le message et la stratégie doivent venir de la direction générale et le top management doit s’associer au management opérationnel et à toutes les équipes pour participer, présenter et animer les formations (en ligne ou en personne).

Faites des « stress tests »

Vous faites régulièrement des exercices d’évacuation d’incendie. Pourquoi ne pas faire la même chose avec votre sécurité numérique ? Ces exercices consistent à mesurer en situation réelle le comportement de ses collaborateurs et s’inscrivent dans une démarche d’amélioration continue.

C’est ce qu’a fait le Ministère de l’Économie et des Finances en envoyant un email de phishing à ses 145  000 agents pour mesurer l’impact des mesures de protection et de sensibilisation. Résultat : 20% des employés se sont fait avoir.

Autre idée, l’exercice de « l’arnaque au président » où vous tentez d’abuser de la crédulité d’un collaborateur pour déclencher un achat en ligne ou un ordre de virement. Une arnaque qui touche toutes les entreprises, y compris les PME.

Enfin, dernier exemple qui nécessite là aussi la complicité de votre DSI : vous laissez volontairement une clé USB dans vos locaux (parkings, couloirs, salle de réunion, etc.) avec un fichier du type « grille salariale.xls » dessus. Avec un système de tracking, vous pourrez savoir qui a ouvert le fichier, ce qui peut ensuite rediriger vers un avertissement de sécurité interne.

Sécurisez vos terminaux

Plus vos salariés seront habitués à utiliser des terminaux et des outils sécurisés, plus ils prendront conscience des risques. C’est particulièrement vrai pour les smartphones qui sont, par définition, en situation de mobilité permanente. Sécuriser ses smartphones professionnels doit donc passer par des solutions de sécurité et de chiffrement permettant de crypter les communications entrantes et sortantes (email, SMS, consultation web et voix), de protéger les données locales (contacts, fichiers, photos) en cas de perte ou de vol du terminal, et de généraliser le déverrouillage par authentification forte.

Le risque numérique vient aujourd’hui s’ajouter à tous les autres risques déjà intégrés par les entreprises. Même si votre activité n’est pas à 100% dépendante d’une activité en ligne, un piratage peut avoir des conséquences graves : gestion de paie, de l’approvisionnement, supply chain, logistique, achats, etc. Les menaces d’aujourd’hui sont différentes de celles d’hier et de celles à venir. Il faut donc traiter ces enjeux avec prudence et professionnalisme. Et pour y parvenir, il est impossible de se passer de la sensibilisation de ses collaborateurs.

 

S'inscrire à la newsletter