L’année 2022 s’est conclue sur une hausse des activités liées à la cybercriminalité. Les attaques par rançongiciel restent parmi celles causant le plus de dégâts.
Un rançongiciel est un programme informatique malveillant qui va permettre de chiffrer les données d’un ordinateur, il faut alors payer une rançon pour espérer obtenir la clé de déchiffrement.
Il est pourtant possible de s’en protéger, en mettant en place des actions simples ou l’humain occupe une place prépondérante.
40% des cas de rançongiciels signalés à l'ANSSI en 2022 concernent les petites et moyennes entreprises, les collectivités territoriales ainsi que les établissements de santé publique. Ces entités restent des cibles privilégiées des attaquants car très souvent mal protégées.
Qu’il s’agisse de rançongiciels, de cryptojacking (Le cryptojacking est une forme de logiciel malveillant ou « malware » qui se cache sur votre appareil et qui vole ses ressources informatiques afin de fabriquer, dit miner, cryptomonnaies comme le Monero.) ou encore d’hameçonnage ou « phishing », les employés de l’entreprise sont souvent la source de ces compromissions, principalement par manque de sensibilisation ou de formation. Les conséquences sont souvent lourdes pour l’entreprise : détournement de messagerie, vol d’identifiants, fraude au président, installation d’un logiciel de prise de contrôle à distance, vol de données, vol de savoir-faire, etc.
Pourquoi sensibiliser ses employés à la cybersécurité ?
Une sensibilisation continue à la cybersécurité, avec des outils de qualité et adaptés aux différents métiers de l’entreprise est capitale dans le monde numérique actuel afin de protéger les systèmes d'information et surtout les données sensibles qui le compose.
L’erreur et/ou l’inattention humaine est responsable de plus de 90% des incidents de sécurité.
Prenons le cas de ce promoteur immobilier qui a été, l’année dernière, victime d’une arnaque au président et s’est fait dérober plus de 33 millions d’euros.
“Tout a démarré par un e-mail adressé à la responsable de la comptabilité ! L’imposteur s'est fait passer pour le directeur général de la société en lui expliquant qu'il préparait l'entrée en bourse de l'entreprise.”
Il suffit d’un seul employé mal informé ou non sensibilisé, d’un manque de procédure claire, pour déclencher une grave atteinte à la sécurité dans votre entreprise et entrainer de lourdes répercussions.
Quels sont les enjeux de la cybersécurité pour votre entreprise ?
Les cyberattaques peuvent entraîner des conséquences graves pour les entreprises de toutes tailles et de tous secteurs, telles que :
- Des pertes financières importantes ;
- Des perturbations de la prestation de services, voir l’interruption des activités ;
- La perte de données sensibles ou personnelles de partenaires ou clients ;
- Des atteintes à la confidentialité des données ;
- Des poursuites judiciaires par les personnes impactées ;
- Une perte de confiance des clients ;
- Une perte d’image longue à reconstruire.
Comment réaliser une sensibilisation marquante ?
Il existe différentes méthodes pour sensibiliser ses employés à la sécurité informatique mais les plus efficaces restent les séminaires, les outils de formations et les mises en situations (tests).
Il est capital de mesurer l’efficacité autrement que par des questionnaires rapides et souvent composés de réponses évidentes.
Les formats des sensibilisations ou des formations doivent être adaptés au public visé.
- Mettre en place des séminaires
Les séminaires en présentiel sont une excellente méthode pour sensibiliser les employés aux risques cyber. Ils peuvent être interactifs et permettre aux employés de poser des questions et de discuter des sujets avec des experts en cybersécurité. Les formations vont porter sur différents aspects de la sécurité informatique de l’entreprise comme les risques d’internet, les comportements et les réactions à adopter en cas d’attaque avérée ou supposée sur les installations informatiques.
- Déployer des outils de formation
Des plateformes comme KnowBe4, MetaCompliance ou Kamaé permettent de faire des campagnes de sensibilisation personnalisées auprès des collaborateurs. Différentes vidéos et quiz sont disponibles afin d’apprendre les bonnes pratiques, sensibiliser le personnel à la confidentialité des données et aux cybermenaces et acquérir les bons réflexes. Utiliser des plateformes comme celles-ci offre plusieurs avantages : comme la facilité de création et de lancement de campagne à toute l’organisation, le suivi efficace de l’état d’avancement d’une campagne et les résultats de celle-ci, la création de groupes de maturité pour chaque département de l’organisation...
- Faire des mises en situations
La mise en situations est un des meilleurs moyens de sensibiliser les collaborateurs aux risques (comme s’il s’agissait de la réalité) et de mesurer l’efficacité des sensibilisations et formations. C’est un excellent exercice de mise en pratique pour compléter une formation.
Il convient d’utiliser des moyens créatifs pour évaluer l’efficacité du programme de formation des employés en fonction des objectifs fixés. Différents fournisseurs permettent la mise en place de campagnes de phishing automatisées et permettent un suivi efficace afin de préparer les employés à réagir (reconnaître, corriger et signaler les e-mails de phishing et les ransomwares par exemple).
Il reste important de sensibiliser sur la robustesse des mots de passe. Utiliser des mots de passe complexes, différents n’est pas une évidence pour tout le monde. Il est aussi très important d’expliquer l’intérêt de l’authentification à multi-facteurs.
Comme vous pouvez le comprendre, la sensibilisation des employés à la sécurité informatique est essentielle et doit faire partie d’une stratégie et d’un programme complet au sein de l’entreprise. La présence d'experts est, quant à elle, indispensable, tant pour conseiller sur les outils et la façon de les mettre en place, que pour réaliser des audits et aiguiller sur les actions à mettre en œuvre pour assurer la sensibilisation et la formation des collaborateurs.
La sensibilisation ne doit pas se faire en une fois, mais plutôt de manière soutenue et récurrente afin de changer les habitudes et pratiques de vos collaborateurs.
Théo, consultant Cyber sécurité chez Avangarde Consulting