Secu
Cybersécurité : Repenser la sensibilisation des utilisateurs
Par Xavier Biseul, publié le 08 novembre 2022
La généralisation du télétravail fait encore davantage peser la responsabilité de la cybersécurité sur les collaborateurs. Entre la menace de sanctions et l’approche pédagogique, de nouvelles façons de sensibiliser les utilisateurs se dessinent.
C’est l’une des nombreuses conséquences de la crise de la Covid 19. La généralisation du télétravail conduit à repenser la politique de cybersécurité. À leur domicile, les collaborateurs ne disposent pas du même niveau de protection que retranchés derrière le pare-feu de l’entreprise, ni des conseils potentiellement avisés de leur collègues. Le recours accru à des terminaux personnels et à des systèmes d’accès à distance tels que les VPN crée de nouvelles fragilités.
Dans l’édition 2022 du rapport monde de l’assureur Hiscox, 43 % des professionnels interrogés citent le nombre important d’employés en télétravail comme facteur d’aggravation du risque cyber. Et 21 % pointent du doigt le manque de conscience des exigences de sécurité par les collaborateurs. Dans une autre enquête, conduite par Cisco, six employés français sur dix admettent contourner les systèmes de sécurité de leur entreprise pour accomplir leur travail.
Alors que la cybersécurité repose plus que jamais sur les épaules des salariés, comment les sensibiliser aux risques cyber, là où les formations traditionnelles montrent leurs limites ? La Cnil est partisane de la responsabilisation en s’appuyant sur le cadre légal. La Commission conseille de donner une force contraignante à la charte informatique, en l’annexant, par exemple, au règlement intérieur et en rappelant les sanctions encourues en cas de non-respect. Les personnes ayant vocation à manipuler des données à caractère personnel doivent, elles, signer un engagement de confidentialité.
À LIRE AUSSI :
Pédagogie ou coercition ?
Le Cigref est davantage porté sur une approche pédagogique. Dans un guide publié en février, le réseau des « grands » DSI estime que l’adoption d’une politique dite zero trust suppose de faire évoluer l’état d’esprit des collaborateurs par une prise de conscience des enjeux et en faisant accepter l’idée d’une identification plus poussée (authentification multi- facteur, biométrie…).
Il s’agit, par ailleurs, de permettre le droit à l’erreur tout en exigeant une forte réactivité en cas de problème. Pour « systématiser les réflexes », le Cigref conseille de tester les utilisateurs au moyen de fausses attaques récurrentes de phishing. C’est sur ce créneau de l’apprentissage par l’erreur que les éditeurs français Conscio Technologies et Mailinblack proposent de simuler des cyberattaques ultra-réalistes.
Les collaborateurs piégés en cliquant sur le lien frauduleux sont alors renvoyés vers des contenus de formation à base de vidéos et de quizz. Avec Mailinblack, il est possible de personnaliser les campagnes en reprenant, par exemple, la charte graphique de l’entreprise que l’on souhaite imiter ou de reprendre des informations internes pour simuler une attaque de type fraude au président.
À partir des résultats de ces campagnes de simulation, une DSI va disposer d’une cartographie des comportements à risques dans son organisation qui lui permettra de concentrer ses efforts de sensibilisation sur tel métier ou tel service.
Une solution idéale ? À Voir ! Dans une tribune titrée « La technologie protège contre le phishing, pas la formation », Andrew Shikiar, directeur exécutif de l’Alliance FIDO (une association qui vise à réduire l’usage des mots de passe) met en doute ce type d’approche. Il rappelle que, face à des mails frauduleux, conçus pour susciter une réaction urgente et émotionnelle, les utilisateurs abandonnent tout sens logique. Retour à la case départ ?
À LIRE AUSSI :