visu-responsabiliser-collaborateurs

Responsabiliser les collaborateurs pour faire face aux cyberattaques

La pandémie de covid-19 et les mesures restrictives en découlant ont indubitablement fait muter l’univers professionnel et économique. Pour rester à flot, les entreprises, qu’elles soient privées ou publiques, ont dû négocier un virage qui va parfois jusqu’à 180°. Malheureusement, au-delà des nombreux défis auxquels elles sont déjà confrontées, ces organisations ont aussi fait face à la multiplication des cyberattaques.

Tandis que les entreprises mettent tout en œuvre pour rebondir, de nombreuses organisations malveillantes naissent et redoublent d’ingéniosité afin de mettre au point de nouvelles techniques pour les fragiliser davantage. Aussi perfectionnés soient-ils, les dispositifs de sécurité, à eux seuls, ne suffisent plus à contrer les cyberattaques. C’est pourquoi il apparaît plus opportun de les coupler à la responsabilisation des collaborateurs. Cet article fait le point sur ce que les dirigeants doivent entreprendre pour y parvenir efficacement.

Responsabiliser les collaborateurs face aux attaques par phishing

Lorsque l’on parle de cyberattaques, force est de constater que le phishing ou hameçonnage est de loin le plus élaboré.

Qu’est-ce que le phishing ?

Il s’agit d’une menace qui pèse de plus en plus sur toutes les entreprises et qui est basée sur le principe de l‘ingénierie sociale. Les hameçonneurs exploitent plus précisément le facteur humain, c’est-à-dire les failles liées aux comportements des collaborateurs pour parvenir à leurs fins.

Lors de leurs campagnes d’hameçonnage, ils se font passer pour un organisme que les entreprises cibles connaissent (CAF, banque, service des impôts…) en utilisant son nom ainsi que son logo. Ces escrocs transmettent un mail qui demande généralement à leurs victimes de “confirmer” ou de “mettre à jour” leurs informations suite à un incident technique, plus particulièrement leurs coordonnées bancaires. Ils peuvent aussi agir via un appel téléphonique.

En bref, le phishing est une pratique de cybercriminalité utilisant la supercherie, la tromperie ou la fraude pour inciter les entreprises à divulguer des données personnelles sensibles.

Sécurité informatique : comment mobiliser les salariés face aux risques de phishing ?

Puisqu’il vaut mieux prévenir que guérir, le premier réflexe que doivent avoir les dirigeants pour se prémunir d’une telle ingénierie sociale est de responsabiliser tous les utilisateurs. Dans la majorité des cas, ces derniers ignorent complètement les risques encourus et n’ont aucune idée des méthodes utilisées par les hackers afin de tromper leur vigilance. Voilà pourquoi les malfaiteurs préfèrent s’en prendre au maillon humain des entreprises du fait de leur vulnérabilité plutôt que de rechercher une faille logicielle. Il a été constaté que près de 85 % des cyberattaques à l’échelle mondiale misent sur le facteur humain.

La responsabilisation des salariés peut se faire grâce à une méthodologie s’articulant en trois étapes. La première étape consiste à appréhender les risques d’hameçonnage ainsi que leurs enjeux et tout ce qu’il faut entreprendre pour les éviter. Quant à la seconde, il s’agit d’informer les utilisateurs sur les conséquences et impacts des comportements humains. Lors de la dernière étape, les dirigeants doivent former, puis mettre à l’épreuve chaque collaborateur afin qu’il puisse devenir un acteur de la cybersécurité. Pour ce faire, ils peuvent utiliser des solutions telles que celles proposées chez Arsen et opter pour un logiciel permettant la formation pratique des utilisateurs contre les tentatives d’hameçonnage.

cyberattaque entreprise

Les dirigeants peuvent en profiter pour mettre en œuvre des simulations d’hameçonnage réalistes. Pour créer des attaques élaborées et entraîner leurs salariés en conditions réelles, ils peuvent, soit utiliser les scénarios pré-installés, soit en créer d’autres.

A lire également  L'effort massif de la Chine pour collecter l'ADN de son peuple inquiète les scientifiques

Depuis la même plateforme, les dirigeants peuvent suivre en live l’évolution de leurs campagnes factices et voir comment chaque utilisateur se comporte face à des attaques réalistes. De la sorte, ils peuvent facilement transformer l’élément humain de leur entreprise en un véritable firewall humain. Le logiciel met aussi à disposition de ses utilisateurs un large panel d’outils de formation élaborés dans une optique de conformité.

Sensibiliser en permanence les collaborateurs pour se prémunir des cyberattaques

À présent que les salariés savent comment reconnaître un phishing et comment le contrer, il est question de les intégrer dans une stratégie de cybersécurité en béton. Les dirigeants peuvent alors les sensibiliser constamment aux impératifs de la sécurité informatique, mais également aux autres méthodes utilisées par les pirates informatiques ainsi qu’à leurs impacts :

  • téléchargement furtif,
  • attaque par déni de service distribué,
  • attaque par déni de service,
  • cassage de mot de passe,
  • ransomware ou rançongiciel (application malveillante pour prendre en “otage” des données personnelles et exiger une rançon en échange du déverrouillage),
  • injection SQL,
  • cross-site scripting,
  • écoute clandestine…

Cela passe logiquement par l’élaboration d’une charte informatique, laquelle a pour objectif la formalisation et le partage des bonnes pratiques. Constituant le premier rempart dans la protection des données, elle définit le cadre d’utilisation des programmes et outils informatiques mis à disposition des collaborateurs.

Une charte informatique définit de surcroît les règlements auxquels doit se conformer le traitement des données, de même que les barrières entre vie professionnelle et vie privée.

cyberattaque entreprise sécurité

Les dirigeants peuvent en outre mettre en place des sessions d’e-learning afin de permettre à tous les salariés de se former en toute autonomie et à leur propre rythme. Les formations de groupe ne doivent en aucun cas être négligées pour l’émulation et le partage d’expérience.

Pour sensibiliser, former et responsabiliser les salariés, les employeurs peuvent opter pour des outils participatifs et ludiques. Et surtout, il faut prévoir de temps en temps des séances de live-hacking ou de reproduction factice de cyberattaques en utilisant le logiciel d’entraînement.

Toutes les méthodes de sensibilisation citées précédemment doivent respecter un certain nombre de règles. Elles doivent d’abord être portées et encouragées par la direction tout en proposant des contenus liés aux utilisations réelles des salariés. La sensibilisation ne doit en outre se focaliser en profondeur que sur les sujets les plus pertinents et doit concerner les utilisateurs au complet. Elle doit aussi être couplée à une évaluation des acquis afin de voir si tout s’est déroulé comme il se doit à l’issue de chaque formation. La sensibilisation des utilisateurs doit s’opérer le plus régulièrement possible, les menaces étant en perpétuelle évolution.

Il convient enfin de souligner que la sensibilisation, la responsabilisation et la mobilisation des collaborateurs s’inscrivent dans un système de sécurité ayant plusieurs couches au sein duquel chaque utilisateur constitue la couche ultime.

Yohann G.