24 octobre 2023 • Cyber security
95 % des piratages et des fuites de données sont causés par des erreurs humaines, telles que :
- Cliquer sur un lien de phishing
- Ne met pas régulièrement à jour les logiciels
- Travailler sur un Wi-Fi public sans VPN
- Utiliser des mots de passe faibles
La plupart de ces erreurs humaines peuvent être évitées en améliorant l'état de la sensibilisation à la cybersécurité au sein de votre organisation.
Dans cet article, vous apprendrez les fondamentaux de la sensibilisation à la cybersécurité et comment votre organisation peut commencer à l'améliorer dès aujourd'hui.
Qu'est-ce que la sensibilisation à la sécurité : une définition
La sensibilisation à la sécurité désigne la compréhension des cybermenaces et des meilleures pratiques pour protéger les informations et systèmes sensibles. Elle implique de reconnaître les risques potentiels, d'adopter des comportements sécurisés et de rester informé des cybermenaces en constante évolution afin de se prémunir contre les violations de données, les malwares et autres défis de sécurité en ligne.
Pourquoi la Security Awareness Training est plus importante que jamais
Il existe de nombreuses idées fausses concernant la Security Awareness. Voici quelques-unes de celles que nous entendons souvent :
→ « La sécurité est la responsabilité du service informatique, pas la mienne »
→ « Les cybercriminels sont trop avancés pour que le Security Awareness Training soit efficace »
→ « Les cybercriminels ne piratent que les grandes entreprises, pourquoi me cibleraient-ils ? »
→ « Mes employés n'ont pas besoin de formation, ce sont des utilisateurs d'Internet expérimentés »
Comme indiqué en introduction de cet article, 95 % de tous les piratages et fuites de données sont causés par une erreur humaine. Peu importe le nombre de logiciels de Cyber security que vous avez mis en place, ils ne peuvent pas vous protéger des erreurs humaines telles que cliquer sur un lien de Phishing ou utiliser des mots de passe faibles. Cela signifie que chaque employé de votre organisation a la responsabilité de protéger les données de votre entreprise.
Bon nombre des tactiques utilisées par les cybercriminels ne sont pas aussi sophistiquées qu'on le pense. Une fois que votre équipe est sensibilisée aux fondamentaux, les risques de violation de données diminuent considérablement. Par exemple, la plupart des fuites de données sont encore causées par des mots de passe faibles et l'absence d'authentification à deux facteurs.
Voici un exemple de hacker éthique qui pirate le système d'une organisation. Non pas avec des outils sophistiqués, mais avec une simple ingénierie sociale :
Si votre organisation est consciente de ces menaces et dispose des procédures adéquates, des piratages de ce type sont beaucoup moins susceptibles de se produire.
La plupart des grandes entreprises ont massivement investi dans la cybersécurité. C'est pourquoi les cybercriminels élargissent leur champ d'action et ciblent des entreprises de toutes tailles. En 2022, les cyberattaques contre les petites entreprises étaient plus fréquentes que les attaques contre les grandes entreprises. La même année, on a constaté une augmentation globale de 22 % des cyberattaques.
Tout cela implique qu'il est indispensable pour les entreprises de toutes tailles d'investir dans la sensibilisation à la sécurité pour l'ensemble de leur organisation.
Comment développer la sensibilisation à la cybersécurité au sein d'une organisation
Pour développer un programme de sensibilisation à la sécurité solide au sein de votre organisation, vous devrez suivre les étapes suivantes.
Obtenez l'adhésion de la direction
Avant de lancer toute campagne de Security Awareness Training, assurez-vous d'obtenir le soutien de votre équipe de direction. Si la direction n'est pas impliquée, tout votre travail acharné sera vain au final. Si votre PDG ne s'en soucie pas, pourquoi le reste de l'entreprise se sentirait-il concerné ?
Partagez l'importance de la sensibilisation à la cybersécurité (ou partagez simplement cet article 😉 ) et établissez une cadence régulière pour les informer des projets de sécurité en cours.
Une fois que votre équipe de direction croit réellement en la nécessité de la sensibilisation à la cybersécurité, vous pouvez commencer à vous concentrer sur les « champions départementaux ». Il s'agit souvent de chefs d'équipe qui sont plus proches du reste de l'entreprise et qui peuvent avoir besoin de vous aider à mettre en œuvre des initiatives de sécurité. Ce sont les personnes par lesquelles vous communiquez les préoccupations et les nouvelles mesures de sécurité.
Si vous travaillez dans une grande organisation et que vous devez convaincre de nombreuses parties prenantes, il peut être utile de les suivre à l'aide d'un modèle de gestion des parties prenantes.

Lors de la présentation de vos plans à l'équipe de direction, il est important de préciser qu'il s'agit d'un programme à long terme. Si ce n'est pas clair, certaines personnes pourraient penser que vous organiserez un événement ponctuel. Mais votre programme de sensibilisation doit être un marathon, pas un sprint, pour être efficace.
Mettez en place des politiques et des procédures claires
Les politiques et procédures de sécurité constituent le fondement de la défense de toute organisation contre les cyberattaques. Ces politiques servent de lignes directrices qui définissent non seulement comment protéger les données, les systèmes et les réseaux, mais dictent également le comportement des employés dans le monde numérique.
Voici deux exemples de politiques de sécurité essentielles :
- Politique de contrôle d'accès aux données : Cette politique définit qui peut accéder aux données sensibles et dans quelles circonstances. Elle définit les rôles et les autorisations des utilisateurs, les méthodes d'authentification d'accès et les restrictions sur le partage des données. Cela empêche les personnes non autorisées de consulter et de modifier des informations confidentielles.
- Politique de mots de passe : Une politique de mots de passe robuste établit des directives pour la création et la gestion des mots de passe. Elle dicte les critères de complexité, d'expiration et de protection des mots de passe. Cela réduit le risque d'accès non autorisé aux comptes.
Vous avez également besoin de procédures claires sur la manière dont les employés doivent agir face à une cybermenace ou même à une violation.
Mettez en place des formations récurrentes pour les employés
Une fois que vous avez obtenu l'adhésion de l'équipe de direction, il est temps de mettre en place une formation de sensibilisation pour tous au sein de l'organisation. Au cours de ces formations, les employés devraient apprendre toutes les menaces cyber pertinentes, que nous aborderons plus tard dans cet article.
Lors de la recherche d'une solution de formation, tenez compte des aspects suivants :
- Choisissez une solution de formation basée sur la gamification. Un jeu de sensibilisation à la cybersécurité comme Guardey permet aux utilisateurs d'apprendre activement.
- Proposez des formations récurrentes. Les entreprises offrent souvent des formations annuelles qui donnent un rapide coup de pouce aux connaissances, mais n'entraînent pas de changement de comportement durable. Optez pour des solutions de formation qui proposent des modules hebdomadaires et concis.
- Assurez-vous d'offrir une formation sur toutes les menaces cybernétiques actuelles. Par exemple, si une solution de formation ne contient aucun contenu sur les menaces liées à l'IA, ce n'est pas la bonne solution. Les cybercriminels évoluent rapidement, ce qui signifie que votre solution de formation doit se développer tout aussi vite pour tenir vos employés informés.
Présentez votre programme avec un ton positif
Un ton négatif est souvent associé à la communication concernant la cybersécurité. Lorsque les employés échouent à un test de phishing ou n'obtiennent pas de bons résultats lors d'un Security Awareness Training, ils peuvent avoir l'impression d'être jugés ou même sanctionnés. C'est pourquoi il est essentiel de positionner votre programme comme un avantage à la fois pour votre organisation et pour l'employé.
Dans cet esprit, comprenez également que les gens ne se soucieront pas de votre programme de sécurité de la même manière que vous. Communiquer le pourquoi peut donc vraiment faire une grande différence. Dépeignez un tableau vivant de l'impact que peut avoir l'absence de programme de sensibilisation à la sécurité.
Quelles cybermenaces devraient être incluses dans la formation ?
La Security Awareness implique plus que le simple Phishing et la gestion des mots de passe. Lorsque vous formez votre personnel, vous devez vous assurer de couvrir toutes les cybermenaces auxquelles vous pourriez être confronté. Voici une liste loin d'être exhaustive qui vous donne une idée des menaces à inclure dans la formation.
- Attaques de phishing : Apprenez à votre équipe à reconnaître les e-mails de phishing et les liens suspects, et soulignez l'importance de ne pas partager d'informations sensibles avec des sources inconnues.
- Ransomware : Fournir des conseils sur l'identification des menaces de ransomware potentielles et souligner l'importance de sauvegarder régulièrement les données.
- Ingénierie sociale : Formez les employés à la prudence concernant le partage d'informations sensibles en personne, par téléphone ou en ligne, et à la vérification de l'identité des personnes demandant des données confidentielles.
- Sécurité des mots de passe : Promouvoir de bonnes pratiques en matière de mots de passe, notamment l'utilisation de mots de passe complexes et uniques, l'activation de l'authentification à deux facteurs et l'évitement du partage de mots de passe.
- Logiciels malveillants : Sensibilisez les employés aux risques liés au téléchargement de logiciels ou de fichiers provenant de sources non fiables et à l'importance d'utiliser un logiciel antivirus réputé.
- Menaces internes : Sensibiliser au potentiel d'actions malveillantes de la part d'employés ou de partenaires, en soulignant la nécessité d'une culture de vigilance et de confiance.
- Risques liés au BYOD (Bring Your Own Device) : Fournir des directives pour l'utilisation sécurisée des appareils personnels sur le lieu de travail et pour la reconnaissance des menaces de sécurité potentielles qui y sont associées.
- Gestion et protection des données : Formez les employés sur la manière de manipuler, stocker et transmettre correctement les données sensibles afin de prévenir les fuites de données et les accès non autorisés.
- Sécurité Wi-Fi : Sensibiliser les employés aux dangers de l'utilisation des réseaux Wi-Fi publics non sécurisés et à l'importance d'utiliser un réseau privé virtuel (VPN) si nécessaire.
- Sécurité des e-mails : Mettez en évidence les meilleures pratiques en matière d'e-mail, telles que la vérification des expéditeurs, ne pas ouvrir les pièces jointes ni cliquer sur les liens dans les e-mails suspects, et le signalement des tentatives de phishing.
Et la liste est encore longue. Si une solution de Security Awareness Training ne couvre pas certains des sujets ci-dessus, considérez-la comme incomplète et inadaptée.
En résumé
Contrairement aux idées reçues, il est tout à fait possible de déjouer les hackers. Les organisations sensibilisées à la sécurité sont tout simplement moins susceptibles d'être victimes de cyberattaques. La plupart des piratages et des fuites de données sont encore dus à de simples erreurs humaines : cliquer sur des liens de phishing, travailler depuis un réseau non sécurisé ou ne pas utiliser l'authentification à deux facteurs.
Pour établir une sensibilisation à la cybersécurité au sein de votre organisation, vous devriez envisager de proposer des Security Awareness Training réguliers. Cela permet à vos employés de se familiariser avec les plus grands risques cyber et d'agir en conséquence lorsqu'ils y sont confrontés.
Avec le jeu de sensibilisation à la sécurité de Guardey, votre équipe relève un défi hebdomadaire de 3 minutes sur un sujet de sécurité spécifique. Le jeu est conçu en collaboration avec des hackers éthiques et des pédagogues pour induire un changement de comportement durable. Vous pouvez dès maintenant commencer un essai gratuit de 14 jours.