Recherche
S'abonner à la newsletter S'abonner au magazine

Cybersécurité : le défi des directions d'entreprise contre les attaques

Publié par le | Mis à jour le
Cybersécurité : le défi des directions d'entreprise contre les attaques

Acculturer aux risques informatiques n'est pas une obligation mais un devoir, que les entreprises embrassent de plus en plus largement. La question de l'intérêt, de l'implication et donc de la motivation de chacun est au coeur de ce dispositif vertueux.

Je m'abonne
  • Imprimer

Pour améliorer de façon durable la situation de votre organisation en matière de cybersécurité, il est essentiel de savoir comment accroître le sentiment d'implication de tous à la protection. D'après les dernières études, 95 % des cyberattaques sont le produit d'une erreur humaine. Et bien que le sentiment de responsabilité des collaborateurs ne soit pas évalué, il est peu probable que chacun se sente aujourd'hui investi d'une mission en participant à une session de sensibilisation à la cybersécurité.

Augmenter la participation des employés aux programmes de formation en sensibilisation à la cybersécurité est de plus en plus souvent l'un des problèmes majeurs que plusieurs leaders en sécurité rencontrent.

Lorsqu'il s'agit de formation en sensibilisation à la sécurité, un taux de participation inférieur à 90 % est considéré comme insuffisant. Pour favoriser l'engagement des collaborateurs et le soutien de la direction, il est important de bien connaître son public cible. Puis d'identifier les compétences et les informations à partager ainsi que la meilleure façon de les transmettre. Voici les trois règles d'or pour favoriser une acculturation à la cybersécurité, qui franchira, au fil du temps, les frontières mêmes de l'entreprises.

Règle n°1 : Identifier le public cible

Pour que les collaborateurs adhèrent à une formation en sensibilisation à la sécurité, elle doit être pertinente. Malheureusement, il n'existe pas de raccourci pour produire du matériel de formation pertinent. La seule façon est de prendre le temps d'identifier le public cible, ainsi que les cybermenaces auxquels il est exposé au quotidien.

Pour la plupart des organisations, il est possible de décomposer son public cible en quelques groupes clés :

Le management - Les managers et la direction de l'entreprise doivent être moteurs de ce type d'initiative et donc conscients des risques pour la sécurité afin d'en comprendre l'importance.

Les fonctions critiques - Il est essentiel que les métiers les plus sensibles (juridique, direction financière, comptabilité) soient sensibilisés à la sécurité en premier. Ils sont souvent les ambassadeurs de ces programmes de par leur exposition, qui ne signifie néanmoins pas que le reste de l'entreprise ne peut être touché.

La direction informatique - Le personnel IT est un guide des meilleures pratiques pour la sécurité de l'information et sera d'une grande aide pour gérer les vulnérabilités des réseaux, des systèmes et des applications utilisés dans l'environnement informatique de l'entreprise.

Enfin, et comme précisé plus haut, nul maillon de la chaîne humaine que constitue l'entreprise ne doit être laissé de côté. Chaque collaborateur est un rempart potentiel contre les cyberattaques, il est donc primordial qu'ils adoptent les meilleures pratiques et les comportements nécessaires pour assurer la sécurité en ligne.

Règle n°2 : Connaître les publics cibles et les attaques qui peuvent les toucher

Les sujets couverts par une formation dépendent des risques à la sécurité spécifiques à chaque environnement. Toutefois, il existe certains sujets généraux qui constituent une base solide pour chaque typologie de public : Il est essentiel de viser l'acquisition de connaissances sur les menaces de sécurité, en couvrant des sujets comme la sécurité et la confidentialité des informations, les réflexes de sécurité incontournables pour la création de mots de passe, l'utilisation de sa messagerie électronique, les essentiels pour une utilisation sécurisée d'Internet (réseaux sociaux, navigation, cloud), les techniques communes de phishing et d'ingénierie sociale, les cyberattaques, les malwares et la manipulation des données.

Du côté du management

Envisager d'aborder des sujets comme les principaux risques courus par l'entreprise, la manipulation des informations sensibles, les attaques et les fraudes les plus communes visant les cadres, ainsi que la conformité aux exigences en matière de sécurité et de sensibilisation est essentielle pour assurer une bonne compréhension des enjeux inhérents à la sécurité informatique.

Pour les experts informatiques

Miser sur l'accroissement de la sensibilisation aux meilleures pratiques de sécurité relatives aux vulnérabilités des réseaux, des systèmes et des applications utilisés est une bonne première base. Néanmoins, les personnes IT sont des chefs de file de la sensibilisation à la cybersécurité aussi ils ont la charge d'actions de pédagogie et d'explication des risques aux autres populations de l'entreprise.

Règle n° 3 : Savoir susciter la motivation des individus

Le niveau de motivation des employés exerce une influence directe sur le taux de participation général à la formation et plus tard, sur le niveau de vigilance de chacun dans l'utilisation des différents outils technologiques employés. Stimuler la motivation intrinsèque des employés peut d'ailleurs passer par un discours sur l'importance du rôle et de l'action de chacun dans la protection des données. Mais plus que l'approche dogmatique, ce qui semble s'imposer, sur tous les sujets clés de gouvernance d'entreprise, est la collaboration et l'échange inclusif.

Offrir l'opportunité aux collaborateurs qui le souhaitent de se démarquer en devenant des ambassadeurs d'un programme de sensibilisation à la sécurité peut par exemple être bénéfique et encourager l'émulation et la création de « cyber-équipes » dans chaque service de l'entreprise. Ce « badge », même informel, encouragera les personnes à partager leurs idées, à partager les feedbacks de leurs collègues sur les programmes, pour permettre à la direction informatique d'optimiser au besoin le pan « sensibilisation » de sa stratégie de sécurité informatique.

S'il n'existe aucun raccourci ou geste unique pour permettre l'acculturation des personnes aux risques de cybersécurité, engager les collaborateurs d'une entreprise doit reposer sur une bonne connaissance des publics comme de leurs motivations. C'est le dialogue et la co-construction qui doivent ensuite guider les différentes directions. Et ce encore davantage à l'issue de deux années de crise sanitaire, qui ont distendu les liens unissant les collaborateurs à l'entreprise et offert dans le même temps un très (trop) grand nombre de cyberattaques. Avec une acculturation de la part active de la société aux premiers gestes cybers et aux risques auxquels ils sont exposés, nul doute que cette nouvelle culture s'étendra au reste de la société...

Pour en savoir plus

Théo Zafirakos, RSSI chez Terranova Security


 
Je m'abonne

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

Chef d'Entreprise Newsletter

Artisans Newsletter

Commerce Newsletter

Event

Event

Event

Les Podcasts de Chef d'Entreprise

Lifestyle Chef d'Entreprise

Artisans Offres Commerciales

Chef d'Entreprise Offres Commerciales

Commerce Offres Commerciales

Good News by Netmedia Group

La rédaction vous recommande

Retour haut de page