Engendrer une diminution des risques cyber grâce aux collaborateurs

LPB Conseil - Change
Change management : Stratégie et RH
24 septembre 2020
LPB Conseil - Cybersécurtié Hacker
Les failles de l’utilisateur et comment les hackers en profitent
25 janvier 2021
LPB Conseil - Cybersécurtié Hacker identité

La sécurité des systèmes d’information d’une entreprise repose sur des axes techniques et organisationnels. La première ligne concernée par des tentatives d’attaques est l’utilisateur. Il se doit donc d’être informé des risques liés aux cyberattaques afin de comprendre comment s’en protéger. Pour se faire, il faut rester factuel et pragmatique : les exemples et la communication sont primordiaux. En effet, il est peu efficace de fournir des supports « d’éducation » aux collaborateurs sans s’assurer que ce soit bien compris.

Si vous souhaitez connaître les risques couverts grâce à la sensibilisation des collaborateurs ainsi que les meilleurs pratiques pour l’élaborer je vous invite à continuer votre lecture.

 

La réduction des risques cyber par l’adoption des bons reflexes

Si hier encore il y avait peu d’entreprises touchées par des attaques d’ampleur à stopper des productions. Les chiffres étaient déjà marquants dans le rapport de l’ANSSI publié début 2020. Selon ce dernier, les attaques prédominantes concernent bien l’utilisateur final plus que des administrateurs informatiques.

Une fois les gestes du numérique acquis par les collaborateurs, une entreprise réduit certains risques. Par exemple, une campagne de sensibilisation de ses collaborateurs peut éviter des intrusions dans les systèmes d’information par :

  • Un compte utilisateur ou administrateur aux mots de passe peu complexes
  • Une pièce jointe malicieuse pouvant exploiter des failles de sécurité techniques non comblées par l’équipe informatique
  • Un mail de phishing ciblé pouvant tenter un individu à donner des informations de l’entreprise

En outre, les gains d’une campagne de sensibilisation peuvent être en :

  • Efficacité pour le support informatique en éliminant une partie des incidents traités
  • Evitant une attaque d’informatique d’ampleur « passée inaperçue » par l’équipe informatique impactant la production
  • Améliorer la confiance des utilisateurs vis-à-vis du numérique en comprenant mieux ses enjeux au sein de l’entreprise
  • Diminuer l’occurrence des risques majeurs de compromission qui portent aujourd’hui le plus atteintes aux entreprises : le ransomware, la fuite de données, etc

 

Les 6 grandes étapes d’une campagne de sensibilisation aux risques cyber

Une campagne de sensibilisation doit s’adapter au contexte de l’entreprise pour gagner en maturité et réduire les risques. En effet, l’utilisateur doit pouvoir obtenir un résultat plus probant qu’un simple « diplôme » ou « certificat » attestant son passage dans une moulinette.

De notre expérience, voici les grandes étapes d’une campagne de sensibilisation permettant un résultat probant :

  1. Dans un premier temps connaître ses utilisateurs et les outils dont il dispose : il faut définir les thèmes de sensibilisation selon l’organisation en place 
  2. Définir les objectifs à atteindre : définir les résultats attendus selon les cibles potentielles identifiées auparavant
  3. Choisir ses outils et mettre en œuvre d’un tableau de bord 
  4. Communiquer largement autour du programme, le diffuser, et surtout assister ses utilisateurs dans leurs démarches
  5. Tester ses utilisateurs régulièrement : à l’aide de faux phishings, une fausse tentative de fraude, etc
  6. Animer la restitution des résultats périodique à travers le Comité de Sécurité du SI s’il existe, ou à sa Direction

Comme toute démarche, elle est réitérable. En effet, l’intérêt est de pouvoir se l’approprier afin d’adopter ces bons réflexes en continu au sein de l’entreprise.

 

Pour conclure

Les principales menaces informatiques concernent les utilisateurs et la sensibilisation de ses collaborateurs est un levier efficace pour réduire les risques cybers les concernant.

Néanmoins, une campagne de sensibilisation réussie nécessite des étapes clefs comme la mesure de l’efficacité de l’apprentissage transmis. Ces mesures nécessitent d’être contextualisées à l’entreprise pour faire comprendre les enjeux du numérique et adopter les bons reflexes.

 

 

Hugo MAETZ
Hugo MAETZ
Consultant SI et Cybersécurité chez LPB Conseil