Secu
Construire un programme de sensibilisation à la cybersécurité
Par La rédaction, publié le 20 novembre 2024
La réussite d’une stratégie de cybersécurité repose sur le fondement d’une formation solide et d’une sensibilisation permanente. C’est en renforçant les compétences des équipes et en promouvant des pratiques adaptées, que les entreprises peuvent répondre aux défis d’un environnement numérique toujours plus complexe. Avec une bonne sensibilisation, les collaborateurs deviennent la première ligne de défense.
Par Alain Sanchez, EMEA Field CISO, Fortinet
Si l’on considère la cybersécurité aujourd’hui, il n’est pas surprenant de voir de nombreuses entreprises victimes d’attaques avec pour facteur aggravant, la difficulté à recruter des compétences. Toutes les entreprises sont aujourd’hui confrontées à une série de défis permanents, qu’il s’agisse de la sophistication du paysage des menaces ou de l’évolution constante des réglementations en matière de conformité. Parallèlement, les cybercriminels sont de plus en plus créatifs, eux-aussi épaulés par l’Intelligence Artificielle. Les chefs d’entreprise craignent à juste titre que ces nouvelles tactiques d’attaque, en particulier celles qui font appel à l’IA, soient plus difficiles à déjouer que les cyberattaques « traditionnelles ».
En matière de cyber incidents, les conséquences sont de plus en plus importantes. Les brèches coûtent plus cher et la responsabilité des dirigeants est engagée. La cybersécurité devient un sujet de gouvernance. Les équipes subissent plus de pressions internes et externes et en réponse, les entreprises doivent adopter une approche holistique de la gestion des risques.
Chacun a un rôle à jouer dans la protection de l’entreprise
Une équipe entrainée et des technologies appropriées constituent le fondement de toute stratégie de sécurité. De plus, au-delà des services Informatique et Sécurité, les autres départements peuvent constituer une excellente première ligne de défense à condition qu’ils soient régulièrement sensibilisés aux menaces et formés sur les manières d’y répondre. Les entreprises se trouvent en effet confrontées à un éventail de plus en plus large d’attaques qui vont du phishing, au détournement de mots de passe, en passant par un ciblage ultra personnalisé des utilisateurs. Il devient de la responsabilité des dirigeants de mener des campagnes de formation régulières sur ces menaces et la façon insidieuse dont elles se manifestent désormais.
Cette sensibilisation devrait être intégrée au plus haut niveau de la gestion des risques, à la fois stratégiques et opérationnels. La bonne nouvelle, c’est que les dirigeants d’entreprise accordent plus d’importance à cette démarche.
Que doit inclure la formation à la cybersécurité ?
Qu’il s’agisse d’élaborer un nouveau programme de formation ou de repenser un cursus existant, il convient d’abord de définir les objectifs, le format et le calendrier. Partager ses idées avec les équipes est un excellent moyen d’affiner le plan et d’identifier des relais dans les différents services afin de susciter des vocations de « champion » de la sécurité.
Les programmes doivent être adaptés aux besoins de chaque entreprise. Il existe cependant des connaissances de base communes à toute démarche de formation à la cybersécurité que chacun doit posséder, quel que soit son secteur d’activité :
* Mots de passe : L’utilisation de mots de passe forts est essentielle, mais il faut expliquer pourquoi, sans cela les syntaxes auront tendance à être contournées. La formation doit inclure des conseils sur la manière de les créer ainsi que des exemples de brèches célèbres. Une formation sur les gestionnaires de mots de passe et la façon de bien les utiliser peut également être enrichissante et motivante pour les utilisateurs.
* Authentification à plusieurs facteurs (MFA) : Cette approche offre une protection beaucoup plus importante, même s’il est bon de rappeler qu’elle n’est pas non plus infaillible. Il convient ici aussi d’en expliquer le pourquoi afin d’éviter un rejet de la part des utilisateurs qui ne sont spécialistes.
* Attaques d’ingénierie sociale et hameçonnage : l’hameçonnage (phishing) reste encore la principale tactique utilisée dans la majorité des infiltrations. Avec un peu d’entrainement, les utilisateurs peuvent apprendre à déjouer la majorité des tentatives même sophistiquées et savoir comment se comporter s’ils ont des raisons de penser qu’ils sont en train d’être ciblés.
* Mises à jour: L’un des moyens les plus simples de réduire le cyber risque est de mettre à jour les différents composants de son environnement de travail (applications, logiciels…). Seulement voilà, ces mises à jour sont souvent fastidieuses et arrivent toujours au mauvais moment. Là encore, comprendre pourquoi et mesurer le risque par l’exemple constitue la meilleure des motivations.
Des initiatives bénéfiques pour tous
La formation et la sensibilisation jouent un rôle primordial dans la lutte contre la cybercriminalité. Elles créent une culture de la cyber qui se construit progressivement et aide les utilisateurs non seulement à reconnaître les attaques mais aussi à les déjouer.
Certaines entreprises choisissent de développer elles-mêmes ces formations, mais pour celles qui ne disposent pas des ressources nécessaires, il existe des offres de grande qualité qui proposent des programmes complets et clé en main.
À l’heure où la menace devient plus systématique et insidieuse, et que l’Intelligence Artificielle rend le travail des attaquants plus efficace, il n’y a pas de meilleur moment pour créer ou réévaluer votre programme de sensibilisation et de formation à la cybersécurité. Cet effort doit être relayé à tous les niveaux et ne pas être laissé uniquement aux mains des départements Informatique et Sécurité. C’est ce travail collectif de relai, de remise en question permanente du contenu, du calendrier et des sessions elles-mêmes qui rendra l’entreprise plus sereine et plus résistante.
À LIRE AUSSI :
À LIRE AUSSI :
