Un clic rapide sur une pièce jointe, et tout le système informatique se retrouve chiffré et indisponible. Ce scénario catastrophe est malheureusement de plus en plus fréquent et illustre l’exposition de l’utilisateur aux cyberattaques, en particulier dans les conditions actuelles propices du télétravail.
Faites de vos salariés le premier rempart contre les cyberattaques
Vos salariés ont besoin d’être sensibilisés aux principaux risques d’attaques, afin d’être capables de les détecter, de vous prévenir, et d’être ainsi un premier rempart contre les pirates.
Nous vous conseillons d’organiser une démarche en trois temps : réflexion sur vos risques et création des contenus, planification des actions de sensibilisation et, enfin, contrôle du niveau de compréhension des messages passés.
Vous devez dans un premier temps définir des groupes métiers présents dans l’entreprise en fonction de leur niveau d’accès aux informations critiques.
N’oubliez pas de sensibiliser tous les utilisateurs du système d’information (SI) :
- vous ! En tant que chef d’entreprise, vous et vos proches collaborateurs êtes la cible d’attaques plus ciblées appelées “attaque au président” qui visent à détourner des sommes élevées ;
- les fonctions financières : elles peuvent être la cible d’attaques qui consistent à faire modifier les coordonnées bancaires de fournisseurs ;
- l’équipe informatique : elle n’a pas toujours de formation spécifique en sécurité, et doit cependant assurer la disponibilité et l’intégrité des moyens informatiques ;
- les nouveaux arrivants : ils ont aussi besoin d’être sensibilisés et d’adopter les bons réflexes dans votre environnement. De plus, ils sont souvent assez disponibles les premières semaines, et plus ouverts aux nouvelles pratiques.
Varier les supports pour mieux faire passer les messages
Vous pouvez présenter les notions de base à l’ensemble de vos collaborateurs (un kit de sensibilisation complet et gratuit est disponible sur le site de Cybermalveillance) et créer des supports plus ciblés pour des équipes disposant de comptes à privilèges.
Variez les méthodes et montez progressivement la difficulté ou la complexité des sujets ; pensez qu’une des meilleures pédagogies, c’est la répétition : assurez-vous de la cohérence des messages et faites des rappels réguliers des basiques.
Pour cette sensibilisation, voici deux formats à disposition :
| Mode / solution | Description | Notre conseil |
| E-learning | Plateforme proposant des contenus en ligne | Choisissez l’e-learning pour la sensibilisation “en masse” de vos salariés.
Optez pour des solutions simples à utiliser, des contenus courts et interactifs. Mettez les contenus à disposition, à un rythme adapté : ne soyez pas trop ambitieux ; un nouveau sujet par trimestre est amplement suffisant. Coût par utilisateur : faible |
| Session interactive | En présentiel, ou en distanciel, animée par des experts cybersécurité | Choisissez la session interactive pour les actions de sensibilisation approfondie.
Demandez à ce que les contenus soient personnalisés et contextualisés à votre entreprise mais aussi à votre public. Préférez les sessions très participatives, avec des exemples de la vie courante, pour mieux toucher vos utilisateurs. Identifiez quelques messages clés (1 à 3) que vous vous attachez à faire travailler. Coût par utilisateur : moyen à élevé (en fonction du nombre de personnes par session) |
Comment créer un plan de sensibilisation efficace ?
Pour créer un plan de sensibilisation qui génère l’engouement de vos utilisateurs, il faut le penser durable et continu :
- choisissez les solutions les plus adaptées à vos modes de travail et vos habitudes ;
- définissez un rythme adéquat qui mobilise le plus grand nombre avec un faible impact sur le quotidien.
Voici un exemple de plan de sensibilisation, que vous pouvez facilement adopter, personnaliser et répliquer au fil des ans :
| Trimestre 1 | Trimestre 2 | Trimestre 3 | Trimestre 4 | |
| Année 1 | Sensibilisation généraliste à la sécurité de l’information | Sensibilisation approfondie : focus sur une thématique (exemple : ransomware) | Campagne de phishing | Partage des résultats de la campagne
et pistes de progrès |
Préférez des actions courtes et répétées à des actions denses et trop ponctuelles. Nous observons en effet que le niveau de vigilance est très élevé après une session de sensibilisation et a tendance à baisser progressivement ensuite.
Pensez à challenger vos équipes
Enfin, nous vous recommandons de mener des actions de vérification du niveau de maturité :
| Mode / solution | Description | Notre conseil |
| Campagne de phishing par email | Envoi d’emails visant à récupérer des informations de vos utilisateurs | Montez progressivement le niveau de personnalisation des attaques par phishing.
Après chaque campagne, expliquez ce qui permettait de détecter que c’était un phishing Rappelez-vous : un clic et c’est tout le SI qui peut être touché. |
| Exercice de cybercrise | Organisation d’ateliers auprès des responsables métiers | Entraînez chacun à réagir à la crise : des répétitions permettent que les pratiques deviennent réflexes.
Plus vous serez préparés, plus vous pourrez garder la tête froide et prendre les bonnes décisions. |
Faites attention au contenu d’une éventuelle campagne de phishing, afin que cette simulation d’attaque soit bien comprise par vos salariés. Ainsi, une entreprise américaine a dû s’excuser auprès de ses employés après leur avoir fait miroiter une fausse prime de Noël !
Conclusion
La sensibilisation de vos salariés est un levier indispensable pour améliorer le niveau de cybersécurité de votre entreprise. Cet investissement sera doublement bénéfique, en profitant à la fois à votre société en limitant les risques, mais également au salarié pour son usage quotidien.
