Nous assistons ces dernières années à une multiplication des cyberattaques contre les entreprises. Selon l’ANSSI, leur nombre a quadruplé de 2019 à 2021 ! Les conséquences peuvent être terribles pour les entreprises. Atteinte à la notoriété et l’image de l’entreprise, perte d’exploitation engendrée par la mise à l’arrêt des systèmes informatiques, chantage financier des pirates, préjudice commercial… Les entreprises se dotent donc de systèmes de sécurité très performants qui se révèlent… inopérants. 90% des incidents de sécurité informatique auraient pour origine l’erreur humaine (étude IBM) ! Alors comment faire en sorte de réduire ces risques et d’impliquer tous ses collaborateurs dans la cybersécurité ?
I – La cybersécurité, l’affaire de tous
1 – Deux visions s’opposent
On entend souvent dire qu’en matière de cybersécurité, le problème se trouve “entre la chaise et le clavier”. Le nombre important d’incidents de sécurité informatique liés à une erreur humaine semble confirmer cette déclaration. Mais est-ce vraiment le cas ? Ne faudrait-il pas changer de perspective ?
Et considérer les collaborateurs comme un moyen de protection qui n’est pas encore assez exploité ? Plutôt qu’un problème ?
Dans les entreprises, il y a souvent deux visions qui s’opposent.
D’un côté, les experts en sécurité informatique. Ils reprochent aux utilisateurs de ne pas respecter les principes de base de la sécurité et se sentent obligés d’augmenter constamment le niveau de sécurité des outils. Et d’un autre côté, les utilisateurs qui pensent que les experts ne prennent pas assez en compte leur réalité opérationnelle.
Ces utilisateurs peuvent se retrouver confrontés à des menaces dont ils ne soupçonnent même pas l’existence… Ce qui va rendre ainsi le système d’information vulnérable sans qu’ils en soient conscients…
Ces deux visions s’affrontent souvent et pourtant les deux camps veulent la même chose : une entreprise protégée.
2 – Changer de perspective
Il est donc important de mettre fin à ce décalage entre ces deux visions. La cybersécurité, c’est l’affaire de tous : de la Direction du Système d’Information, à la direction en passant par les collaborateurs.
On ne peut plus mettre de côté ces derniers dans la construction de la politique de sécurité de l’entreprise. Ils doivent faire partie intégrante de la sécurité et être considérés plutôt comme un nouveau levier d’amélioration plutôt qu’un frein inévitable !
Cela demande un véritable changement de perspective : ne plus considérer l’humain comme le maillon faible de sa chaîne de sécurité mais vouloir le transformer en maillon fort.
Car on le sait, la vigilance et la capacité d’action des équipes sont essentielles pour maintenir la sécurité toute entière de l’organisation !
L’une des clés qui vous permettra de changer de perspective est la mise en place de la démarche de certification ISO 27001. Chez Feel Agile, nous vous proposons de vous accompagner dans cette démarche et de vous aider à mettre en place des actions qui réconcilieront les deux visions de vos équipes pour avancer vers le même objectif : la sécurisation de votre entreprise.
3 – Les collaborateurs doivent se sentir responsables aussi de la sécurité
Qu’on le veuille ou non, chaque collaborateur est un maillon de la chaîne de sécurité. Chaque personne est donc un acteur essentiel de la politique de cybersécurité de l’entreprise. C’est à ce niveau que la prise de conscience doit s’opérer.
Les collaborateurs ne doivent pas se sentir sous pression de suivre telle ou telle règle de sécurité (souvent vues comme des contraintes) sans qu’ils en comprennent le sens. La DSI ne doit pas chercher à “faire peur” et à “contraindre” les utilisateurs mais plutôt à les impliquer davantage pour les responsabiliser. En considérant l’utilisateur comme un composant essentiel de la performance de la chaîne de sécurité, le message sera beaucoup plus adapté et pris en compte par les équipes.
Chez Feel Agile, nous oeuvrons dans ce sens en proposant une solution aux entreprises pour responsabiliser leurs collaborateurs : notre outil SMSI. Grâce à l’automatisation de votre système de management en SAAS, vous pourrez faire participer toute l’entreprise à la démarche de certification. Feedbacks, rappels, suivi en temps réel, documentation,… : tout est fait pour organiser votre démarche et faciliter votre certification.
Retrouvez tous nos webinaires à venir en cliquant sur ce lien !
II – Créer une prise de conscience par la sensibilisation à la cybersécurité
Quand on entend sensibilisation à la sécurité, on a tous en tête la charte informatique et une séance de formation donnée par des experts de la sécurité, mais il faut amener la réflexion et l’action à un autre niveau. Pour changer la perspective des équipes et leurs rôles plus qu’important au sein de la chaîne de sécurité de l’entreprise, il est nécessaire de créer une véritable prise de conscience au sein de l’entreprise.
1 – Donner du sens aux mesures de sécurité
Ainsi pour toute action de communication, formation, sensibilisation, il ne suffit pas de délivrer simplement des indications ou des consignes. Il est indispensable de leur donner du sens. Pourquoi cette consigne est-elle nécessaire ? Qu’est-ce que ça pourrait engendrer si elle n’était pas suivie ? Quels en sont les risques inhérents ? Quel exemple peut-on donner pour faire prendre conscience des répercussions ?
C’est en comprenant les enjeux et les risques encourus que vos équipes seront plus intéressées par le sujet de la sécurité. Ils appliqueront avec beaucoup plus de conviction ces mesures quand ils comprendront concrètement leur rôle à jouer dans la stratégie de cyberdéfense de leur entreprise.
2 – Apprendre en continu
Pour que toutes les équipes puissent jouer leur rôle de “gardien” dans la sécurité de l’organisation, il est indispensable de les former régulièrement. En les initiant aux bonnes pratiques à adopter, les collaborateurs pourront analyser la situation rapidement et avoir les bons réflexes pour réagir.
Il ne s’agit pas seulement de les former une fois (notamment à chaque nouvelle arrivée dans la structure) mais plutôt d’établir une stratégie de sensibilisation dans le temps. Les équipes retiendront beaucoup plus facilement les informations délivrées petit à petit et de façon répétées qu’une grande journée de formation qui ne sera pas suivie d’autres actions par la suite.
Le format de e-learning est ainsi une solution intéressante en terme d’interactivité et de rythme de sensibilisation.
Pour que la formation soit un véritable levier de sécurité de votre entreprise, Feel Agile propose un abonnement à des formations à distance et des événements réguliers en fonction des besoins de vos collaborateurs et de leur niveau de maturité sur les enjeux de sécurité. Nous proposons par exemple un e-learning sur la certification ISO 27001 pour former à la partie organisationnelle, les processus et les procédures, ou encore une solution de formation des développeurs à la sécurité OWASP.
Si vous souhaitez en savoir plus et connaître toutes nos offres, contactez-nous directement !
3 – Éveiller par la pratique
Une autre piste à creuser pour sensibiliser les équipes à la cybersécurité, c’est d’allier la pratique à la théorie. Pourquoi ne pas réaliser des simulations pour mettre les collaborateurs en condition réelles et les entrainer à réagir de la bonne manière ? Ils pourront ainsi mettre en pratique ce qu’ils ont appris pendant les sessions de formation et acquérir de véritables automatismes : quoi faire, qui prévenir, quel process appliquer ?
Les tests réguliers (test d’intrustion, phishing,…) ou tests de connaissances sont également un bon moyen d’améliorer l’intégration des automatismes, des réflexes à adopter en cas de cyberattaque. Cela permettra également d’évaluer les connaissances de vos équipes et de les entretenir dans le temps.
C’est pourquoi lors de nos accompagnements, nous proposons de réaliser des sessions de sensibilisation à distance ou sur site avec des expériences ludiques. Cette approche « gamifiée » de la cybersécurité permet aux équipes de s’impliquer, de se tester et d’intégrer des automatismes pour trouver une solution ensemble en cas de cyberattaque.
La chaine YouTube de la certification CYBER : La Chaine Feel Agile pour vous former gratuitement
III – Mettre en place une communication interne
Nous l’avons vu, pour contribuer à la responsabilisation des collaborateurs à la sécurité de leur entreprise, il est important de communiquer. D’une part pour les faire changer de perspective et leur faire prendre conscience de leur rôle essentiel dans la chaîne de sécurité. D’autre part, pour qu’ils soient à même de détecter les comportements suspects ou adopter une grande prudence dans les informations qu’ils délivrent.
1 – S’adapter aux différents interlocuteurs
Un des enjeux pour une bonne communication, c’est de s’adresser à la bonne cible. Chaque personne ne va pas forcément être réceptif au même type de message. Ainsi, quand on va sensibiliser à la cybersécurité, il est essentiel d’adapter son message et le niveau d’expertise à son interlocuteur. Si les communications sont beaucoup trop complexes, les collaborateurs ne se sentiront absolument pas concernés et délaisseront ces enjeux. Au contraire, si les communications sont pédagogiques, accessibles à tous, il sera plus facile de les prendre en compte. Il est également possible de satisfaire leur curiosité et les inciter à aller plus loin avec la mise à disposition de ressources complémentaires.
2 – Communiquer dans les deux sens
La communication ne va pas que dans un sens. Délivrer des informations sans vraiment se pencher sur ce qu’en pensent les équipes est une erreur que vous pouvez aisément rectifier.
On demande souvent aux collaborateurs d’écouter des conseils ou des consignes mais l’inverse est rarement vrai. Alors que les équipes ont souvent beaucoup à dire. Des anecdotes sur leur expérience personnelle, des questions qu’ils se posent, des pistes d’amélioration qui pourraient être prises en compte… C’est en les écoutant et comprenant comment ils fonctionnent au quotidien que la DSI pourra mieux cibler ses communications et ses formations. Elle pourra adapter son message en fonction des pratiques concrètes des collaborateurs.
3 – Cultiver une culture de la sécurité dans l’entreprise
En adoptant une communication qui soit adaptée à l’interlocuteur, pédagogique et surtout positive (on arrête les messages anxiogènes et culpabilisants), vous allez créer une véritable dynamique au sein de l’entreprise pour constituer une culture de la sécurité.
Portée par la direction, cette culture de la sécurité renforcera le dispositif prévu par la DSI pour contrer les cybermenaces. Les collaborateurs, autonomes et actifs, qui auront accéder à un degré de maturité numérique élevé, deviendront ainsi un élément décisif du système de défense de leur organisation !
IV – Notre solution CyberAgile
Ainsi la réponse aux cybermenaces ne peut pas être uniquement technologique. Nous le voyons bien, lorsque l’on parle de cybersécurité, il est plus que nécessaire de prendre en compte le « facteur humain ». Nous approfondissons d’ailleurs cette notion dans cet autre article. En permettant aux collaborateurs, aux utilisateurs finaux de faire partie de la solution et non plus du problème, l’entreprise va bâtir une culture de la sécurité essentielle pour se prémunir des attaques.
Chez Feel Agile, nous sommes convaincus de l’importance d’une politique de sensibilisation ciblée, maitrisée et planifiée. C’est pourquoi nous avons choisi d’accorder une grande place dans nos accompagnements à la sensibilisation des vos équipes avec la mise au point d’une solution globale et complète: CyberAgile.
Cet outil de sensibilisation et de simulation d’attaque est la réponse idéale pour former, impliquer et tester vos collaborateurs.
Vous pourrez ainsi :
– sensibiliser vos équipes sur un large panel de sujets liés à la sécurité de l’information : hameçonnage, RGPD, bonnes pratiques de gestion des mots de passe,…
– évaluer les connaissances de vos collaborateurs
– simuler des attaques pour évaluer la mise en application des mesures de sécurité
– utiliser la bibliothèque de plus de 300 supports liés à la cybersécurité
– organiser et piloter vos campagnes de sensibilisation
Si vous souhaitez en savoir plus sur cette solution, contactez-nous !
J’espère que cet article vous aura apporté quelques idées de solutions.
V – Webinaire sur la sensibilisation des collaborateurs
Très prochainement nous allons réaliser un webinaire sur le thème « Faites de l’humain votre première ligne de cyber défense en cybersécurité ». Pour vous inscrire suivez les liens ci-dessous :
« Sensibilisez et formez vos collaborateurs à la cybersécurité » : S’incrire au webinaire pour le Jeudi 27 oct. 2022 · 17:00 UTC+2
https://feel-agile.webinargeek.com/ : Notre chaine des webinaires en certification cybersécurité !
La chaine YouTube de la certification CYBER : La Chaine Feel Agile pour vous former gratuitement !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
