ISO27002 : 2022 La nouvelle édition !
24 mars 2022
NIST LPB Conseil
NIST : Cybersecurity Framework
22 novembre 2022

Les attaques par Ransomware sont principalement dues à une erreur humaine. Le personnel de l’entreprise doit être sensibilisé aux risques cyber et aux bonnes pratiques à mettre en œuvre.

La sensibilisation ne doit évidemment pas pointer du doigt les erreurs qui ont pu être commissent par les salariés. Mais bien faire preuve de pédagogie afin d’expliquer et de faire le lien entre les comportements à risque et le danger qu’ils peuvent représenter pour l’activité de l’entreprise.

Le personnel est une ressource précieuse en termes de cybersécurité.

On parle là d’un véritable rempart à certaines pratiques comme le phishing, les intrusions physiques sur site, le partage de fichiers etc.

Sans le savoir, la sécurité de l’entreprise peut être remise en cause par des pratiques qui peuvent sembler anodines aux yeux des utilisateurs.

C’est un pan complet de la sécurité du SI sur lequel il est nécessaire de pouvoir s’appuyer. C’est pourquoi la formation du personnel à la cybersécurité est absolument indispensable aujourd’hui.

C’est d’autant plus vrai que les pratiques ont évolué ces dernières années avec l’arrivée du télétravail. Au bureau ou à domicile, les utilisateurs peuvent perdent certains automatismes.

cybersécurité culture

Des formations doivent donc être dispensées afin d’aider le personnel non technique à comprendre et appréhender les conséquences de leurs actions et faire la lumière sur les mesures à prendre en cas d’incident de sécurité.

Afin d’être efficace les sensibilisations se doivent d’être interactives et encourager les échanges questions / réponses. Les thèmes abordés doivent comporter les risques de sécurité, les violations de données à caractère personnel et expliquer les mesures/politiques de sécurité déjà en place dans l’entreprise. L’implication et la responsabilisation du personnel doit être claire afin de lutter contre les risques de cybersécurité de façon commune.

La création de plans de réponses aux incidents permet d’identifier les contacts à prévenir ce qui peut être crucial dans le cas d’attaques par Ransomware par exemple. En effet le temps de réactivité est primordial. Il ne s’agit plus d’être réactif mais PROACTIF et ainsi permettre de limiter les impacts sur les métiers.

Le plan de réponse aux incidents doit être connu, clair et compréhensible afin que chacun puisse l’appliquer à son niveau. Pour un utilisateur par exemple, il s’agira de prévenir un responsable lorsqu’il constate un dysfonctionnement dans la sécurité ou qu’il a un doute sur un événement lié à la sécurité.

Pour faciliter le signalement des activités suspectes un processus dédié doit être mis en place et celui-ci doit-être communiqué à l’ensemble de l’organisation. Il peut s’agir d’un numéro spécial d’alerte ou d’une icône implémentée dans le client de messagerie pour signaler un mail suspect etc.

L’idée que la cybersécurité est uniquement une affaire de spécialiste ou du service informatique est dépassée. Ça doit être l’affaire de tous, qu’ils s’agissent du service RH, des commerciaux ou même des services de production. A partir du moment où vous avez un accès à l’entreprise vous être concerné et d’autant plus si vous disposez d’accès au système d’information. Par conséquent les organisations ne peuvent pas se permettre de ne pas mettre en œuvre une culture sécurité. Rappelons que cette démarche doit être soutenue activement par la Direction. Dans le cas contraire la démarche n’arrivera malheureusement pas à son terme. Chaque processus mis en place doit être simple et fluide pour être assimilés de tous.

 

Concentrez-vous sur la création de processus conviviaux pour vos employés. Il va de soi que plus la réaction à une cyber-attaque est rapide, plus la probabilité de réduire les dommages éventuels est élevée. En outre, chacun doit se sentir à l’aise pour s’adresser à vous ou à son supérieur en cas d’imprévus.

 

Outre le fait de donner à vos employés l’algorithme des actions à entreprendre face à différents types de cyber-risques, la première chose qu’ils doivent faire est d’admettre leurs actions qui les ont conduits à être confrontés à ce problème. Les sanctions publiques ne font jamais partie d’une stratégie efficace. Vous pouvez plutôt célébrer les cas de réussite pour encourager les gens.

 

Il est important d’avoir des actions de communications régulières comportant des informations ciblées sur chacun des risques :

  • Phishing, pièces jointes, redirection de liens…
  • Politique de mots de passe
  • Diffusion d’information à un partenaire externe

Toute ces sessions de sensibilisations doivent avoir un lien, une cohérence afin de ne pas perdre les utilisateurs. Il faut également s’assurer de la bonne compréhension de toutes les règles de sécurité. Pourquoi les mots de passe de l’entreprise sont si complexes ? Pourquoi avoir plusieurs mots de passe ? les attentes à leur égard doivent également être très claires.

Mots de la fin

Il sera bon de mettre en place avant les premières séances de sensibilisations des quiz ou des évaluations afin de mesurer le niveau de maturité des participants à la cybersécurité et ainsi adapter le niveau de la sensibilisation.

Une feuille d’émargement sera également à produire celle-ci attestera des participants de la date de suivi de la formation, des thèmes abordés etc.

gdpr-image
Ce site utilise des cookies pour améliorer votre expérience. En utilisant ce site internet, vous autorisez notre Politique de Gestion des Données Personnelles.
En savoir davantage