Cybersécurité

Sensibiliser ses collaborateurs à la cybersécurité : ce qu’il faut savoir

Illustration de la cybersécurité : un cadenas en relief

Un hacker expliquait à la radio récemment qu’une « attaque informatique réussie restait inconnue des victimes ». C’est dire si la menace est bien réelle et parfois invisible. Or le vol de données en entreprise n’a pas que des conséquences sur celle-ci, mais potentiellement aussi sur ses clients et ses partenaires. Hélas, la porte d’entrée à la menace Cyber est bien souvent l’équipement informatique des collaborateurs. Pour mieux protéger son système, la sensibilisation est donc essentielle, et elle ne passe pas seulement par la DSI. D’autres services ont leur rôle à jouer dès l’intégration des nouvelles recrues.

Pourquoi sensibiliser fortement ses collaborateurs à la cybersécurité ?

La cybersécurité est l’affaire de tous, en entreprise comme chez soi. Mais en tant qu’entreprise, vous devez protéger non seulement vos données, mais aussi celles relatives à vos clients et à l’ensemble de votre écosystème. Lorsque les attaques parviennent à leurs fins, les conséquences peuvent être aussi bien financières que réputationnelles et ralentir, entre autres, la signature de contrats.

Les risques de voir s’envoler des coordonnées, des informations financières aux mains de hackers, puis être partagées sur le dark web, sont loin d’être minimes. Ainsi, 54 % des entreprises françaises ont été victimes d’une cyberattaque en 2021 selon le dernier baromètre du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), soit plus d’une sur deux. Encore une fois, ce sont des attaques dont elles ont eu connaissance, par exemple en raison d’une demande de rançon. Ce qui n’inclut pas celles dont elles ne savent peut-être rien.
Autre enseignement de ce rapport : si la sensibilisation est de mieux en mieux intégrée (pour 82 %), les collaborateurs restent néanmoins peu proactifs en cas de doutes. Si bien qu’apprendre à ses salariés l’importance de leur vigilance de tous les instants est essentielle.

Pictogramme ampoule blanc

Les principaux angles d’attaque côté salariés

Comme pour un particulier, un salarié peut recevoir des menaces directement sur son ordinateur, par le biais de mails ou de logiciels frauduleux. Et ce ne sont pas les seuls moyens trouvés par les hackers pour tenter de récupérer des données sensibles ou de siphonner les comptes de l’entreprise. On peut ainsi citer :

  • Le phishing ou le ransomware : les collaborateurs reçoivent un mail en apparence inoffensif, mais qui recèle un lien qui leur demande de communiquer des informations confidentielles (données bancaires ou autres) et le piège se referme.
  • Les mots de passe récupérés : des mots de passe trop simples, répétés sur plusieurs sites, sont autant de risques d’une attaque possible sur les e-mails ou sur des services en ligne essentiels au fonctionnement de l’entreprise.
  • Les sites web frauduleux ou l’exploitation de failles sur des sites web a priori sains : les hackers peuvent alors injecter des scripts malveillants.
  • Une autre menace vient directement des collaborateurs s’ils n’en prennent pas la mesure : la connexion de périphériques déjà infectés, comme une clé USB ou un disque dur externe.
  • Le Wifi ouvert, non sécurisé : lorsqu’ils sont en déplacement, vos collaborateurs peuvent être tentés de se connecter sur n’importe quel réseau Wifi, avec tous les risques de sécurité que cela comporte.

À cela s’ajoutent bien d’autres méthodes, parfois sans que les hackers n’aient besoin de toucher un ordinateur au moment de l’attaque. Pour cela, il leur suffit de prendre contact par téléphone avec leur cible en se faisant passer pour quelqu’un d’autre, afin que la victime procède à des actions en ligne à leur profit (un virement, comme dans la fraude au président, ou leur donne accès à un système sécurisé de l’entreprise).

Sensibiliser concrètement ses salariés à la cybersécurité

Pour informer ses collaborateurs sur les bonnes pratiques de cybersécurité, il est essentiel de commencer dès leurs premiers pas dans l’entreprise. Ce qui doit impliquer aussi bien le service RH, que la DSI et la communication interne.

  • Les RH doivent mettre en place une partie cybersécurité dans l’intégration des nouvelles recrues afin d’expliquer l’importance que cela a pour l’entreprise.
  • La DSI doit être la source d’informations et d’alertes en cas de doute ou de problème avéré.
  • Le service communication doit élaborer des campagnes de sensibilisation qui passent autant par l’affichage, que par le digital. Cela suppose notamment d’envoyer des newsletters régulières qui parlent du sujet en toute transparence. N’hésitez pas aussi à lancer des quiz et des challenges afin de diffuser au maximum « l’hygiène numérique » auprès de vos collaborateurs.

Au-delà, toute l’entreprise, avec l’appui de la direction, doit intégrer la réalité de la cybermenace pour anticiper et savoir comment réagir quand la tentative de piratage se matérialise.

Les conseils incontournables à faire circuler

  • La mise à jour des logiciels et des équipements dès qu’ils sont disponibles
  • En cas de demande d’informations par e-mail, la vérification des expéditeurs en regardant précisément l’adresse
  • L’interdiction de connecter des périphériques personnels
  • L’interdiction de se connecter à des hotspots wifi ouverts
  • Le blocage d’applications inconnues sur les smartphones fournis par l’entreprise

Pour s’assurer que les conseils soient bien appliqués, certaines entreprises mettent en place des tests aléatoires, comme elles le font pour les alertes incendies. Le principe est simple : elles transmettent des faux mails à la manière d’un hacker et constatent si le collaborateur se fait ou non berner. Les résultats ne sont pas là pour donner les bonnes ou les mauvaises notes, mais pour concrétiser la menace et en faire prendre conscience à ses équipes.

Dans la plupart des cas, l’accès des pirates aux données est la conséquence d’une erreur humaine aux lourdes conséquences, d’où l’importance d’une sensibilisation accrue et renouvelée régulièrement.

En bref : 6 conseils pour sensibiliser vos collaborateurs à la cybersécurité

1. Identifier leur niveau de maturité

Tous les collaborateurs n’en sont pas au même stade en matière de cybersécurité. Avant de vous lancer dans une campagne de sensibilisation, interrogez-vous sur les points forts et les points faibles de vos équipes. De cette manière, vous trouverez facilement des sujets prioritaires à aborder et des angles pour le faire de manière pertinente.

2. Choisir les formats les plus appropriés

Tous les formats de sensibilisation à la cybersécurité d’entreprise ne conviennent pas à tous les profils. Par exemple, pour des équipes très mobiles, on évite les affiches dans la salle de pause qui ne seront pas suffisamment vues. Adaptez-vous aux usages de chacun pour être aussi percutant que possible (e-mails, affiches, SMS sur le téléphone professionnel, etc.).

3. Favoriser les contenus ludiques et impactants

La cybersécurité peut être un sujet obscur pour beaucoup de personnes : votre défi, en matière de sensibilisation, est aussi de captiver l’attention des collaborateurs. Pour cela, privilégiez des formats de contenus brefs, impactants, qui permettent de comprendre simplement et rapidement l’essentiel. Évitez par exemple les textes trop compliqués ou les vidéos qui durent plus de quelques minutes.

4. Rendez vos équipes actrices de leur sensibilisation à la cybersécurité

La meilleure manière d’avoir de l’impact n’est pas de diffuser du contenu de sensibilisation, mais de rendre les équipes actives dans ce processus d’apprentissage. Si les vidéos et autres affiches que vous communiquez ont un intérêt incontestable, elles ne suffisent pas à elles seules. Accompagnez-les de tests grandeur nature qui s’ancreront bien mieux dans les esprits : des exercices de phishing, par exemple.

5. Testez les connaissances et ajustez vos méthodes

Dans toute entreprise, la sensibilisation à la cybersécurité doit être vue comme un véritable processus. Ponctuellement, il ne faut pas hésiter à tester le niveau des équipes, et à adapter le discours en fonction de l’évolution de leur niveau de connaissance.

6. Faites-vous accompagner

La mise en place d’un programme de sensibilisation à la cybersécurité en entreprise nécessite de véritables compétences à la fois techniques et pédagogiques, mais aussi des ressources matérielles et immatérielles (contenus, personnel dédié à sa diffusion). Afin de garantir la réussite de cette initiative, l’idéal reste de la confier à un professionnel capable de tout prendre en charge pour vous : contactez-nous pour obtenir un devis gratuit.

Pictogramme bulles conversation blanc