Pourquoi vous devriez prendre la sensibilisation à la sécurité informatique plus au sérieux

Pourquoi vous devriez prendre la sensibilisation à la sécurité informatique plus au sérieux

Votre organisation doit prendre la formation à la cybersécurité des utilisateurs plus au sérieux. Et par "sérieux", je veux dire "bien plus poussé que ce que la majorité des organisations mettent en place".

Que vous soyez RSSI, DSI, CTO, ou même RH ou chargé de formation, cet article devrait vous ouvrir un peu plus les yeux sur la réalité de la menace qui pèse sur votre entreprise.

Alors bien sûr, être cofondateur d'une solution de sensibilisation me pousse à vous convaincre dans ce sens. Mais croyez-moi, j'ai de bonnes raisons (objectives) de vous parler des dangers que posent des employés peu sensibles à la cybersécurité 😉

La SSI, c'est de la gestion du risque

La sécurité des systèmes d'information est avant tout une histoire de gestion des risque. Comme il est impossible d'éliminer tous les risques, le métier des responsables SSI -ou assimilé- consiste à énumérer les différents risques et à se concentrer sur ceux qui sont susceptibles de représenter la plus grande menace sur un laps de temps donné. Les menaces les plus dommageables doivent être atténués en priorité, et toutes les autres actions sont inutiles.

Voyons ensemble les deux raisons pour lesquelles la sensibilisation devrait faire partie de vos préoccupations.

L'ingénierie sociale est le risque n°1

Il existe de nombreuses façons d'être attaqué, notamment par des logiciels non-patchés, des violations de mot de passe, des attaques de type man-in-the-middle, des écoutes, des configurations d'accès trop laxistes, des délits d'initiés, etc.

Cependant, depuis des décennies, l'utilisateur est considéré comme la source principale de faille dans tout système d'information. C'est toujours le cas, et l'information ne vient pas -que- de moi !

De nombreuses enquêtes montrent que que l'ingénierie sociale et le phishing constituent aujourd'hui la menace majeure pour la plupart des organisations. Par exemple, une étude Statista a montré qu'au moins 80 % des attaques malveillantes réussies étaient réalisées par le biais du phishing (France, 2020).

La question est maintenant de savoir si vous pensez -sincèrement- que votre entreprise les considère comme la menace numéro un. Pour être honnête, la plupart ne le font pas.

Ce n'est pas forcément de leur faute, car les sujets de sécurité informatique passent souvent après d'autres problématiques qui seraient davantage "prioritaires". Mais au regard des risques actuels et de leur aura médiatique, il n'y a plus d'excuse !

Et même quand les organisations considèrent l'ingénierie sociale comme un risque important, elles ne lui accordent pas le budget ni l'attention nécessaires. Tout se passe comme s'il s'agissait d'un problème modérément important ou d'une partie mineure d'un enjeu plus grand, mais jamais LE problème en soi.

Le décalage fondamental entre ce risque et sa gestion effective explique en grande partie le succès des cyberattaques.

Quoi que vous fassiez, vos utilisateurs seront atteints

De manière générale, chaque risque SSI doit faire l'objet d'une défense en profondeur sur plusieurs niveaux. La combinaison de politiques internes, de défenses techniques et de formation permet de prévenir, détecter et réduire le cyber-risque.

Cependant, malgré tous vos efforts pour empêcher le phishing d'atteindre vos collègues, une certaine dose de menace parviendra à vos utilisateurs finaux. Depuis plus de 30 ans, des solutions révolutionnaires sont censées reléguer le hameçonnage au rang de vieillerie. Mais les solutions se succèdent et les pirates finissent toujours par toucher les utilisateurs, malgré tous les efforts déployés pour les en empêcher.

Si la résolution de cet enjeu était simple, on en entendrait plus autant parler dans les médias. En réalité, ces vecteurs d'attaque sont plus populaires que jamais -et causent plus de dommages que jamais. Comme vos politiques de conformité et vos meilleures solutions techniques ne sont pas la solution miracle, vous devez apprendre à vos collaborateurs à reconnaître les cyber-méchants et à s'intéresser au monde de la sécurité informatique.

La sensibilisation doit être une priorité

Si l'ingénierie sociale représente la principale menace en ligne, et que les attaquants arrivent toujours à leurs fins, ces risques doivent être traités comme tels. Les directions doivent s'y intéresser de près et y consacrer davantage de budget et de ressources.

Attention, je ne dis pas qu'une entreprise devrait consacrer 80 % de son budget de sécurité informatique à la formation à la sensibilisation à la sécurité. Le problème, c'est que l'organisation lambda consacre probablement moins de 5 % de son budget à cette aspect de la formation.

C'est ce décalage fondamental entre la mise à disposition des ressources et les mesures d'atténuation du risque qui fait que la cybersécurité est si mal lotie. Je le répète, la sensibilisation à la sécurité DOIT être une priorité. Y compris pour le Comex. Ils doivent y penser en permanence. Les PDG et les conseils d'administration doivent poser des questions à ce sujet à chaque réunion. C'est loin d'être le cas aujourd'hui, puisque 75% des RSSI estiment que leur CA ne prend pas la mesure de la menace.

Diffuser une culture SSI

Mais pour cela, il faut d'abord faire savoir aux cadres que c'est un enjeu majeur. La plupart d'entre eux considèrent que la sensibilisation ne représente qu'une petite part de leurs défenses en matière de cybersécurité. Ils doivent prendre conscience de la menace que posent l'ingénierie sociale, et savoir que l'entreprise compte s'intéresser au problème.

Ce n'est qu'en reconnaissant l'importance du sujet que le management sera prêt à entendre qu'il faut agir. Et à partir de cette volonté, des mesures pourront être prises pour diffuser une véritable culture cybersécurité dans toute l'entreprise.

Une fois que la direction se concentrera sur la menace posée par le risque humain et la traitera comme telle, il s'agira de faire fréquemment le point sur l'efficacité des mesures mises en place. Et c'est une excellente transition pour la partie suivante.

Vous avez besoin d'un professionnel

Oui, à temps plein.

Si ce n'est pas déjà le cas, il vous faut des responsables cybersécurité au sein de votre organisation. Vous l'avez compris, l'ingénierie sociale et le phishing constituent votre principale menace, il est donc logique d'engager une personne dont la seule tâche est de déployer et de gérer au mieux la sécurité informatique.

Je peux comprendre qu'une PME ne puisse pas se permettre d'engager un collaborateur à temps plein pour gérer uniquement la SSI et sa sensibilisation. Mais quel est le coût d'un ransomware ? On estime cet impact à 150k€ en moyenne pour une PME et 500 à 1200h de travail perdues pour se remettre d'une attaque. Ce qui représente, vous en conviendrez, légèrement plus que le coût d'un CDI lambda...

Et si vous ne pouvez vraiment pas vous permettre le coût d'une embauche, faites appel à un prestataire ! Pour que ce soit efficace, ce dernier doit devenir votre partenaire à part entière, qui puisse se concentrer sur votre protection en tenant compte de vos spécificités.

L'offre est vaste en matière de cybersécurité : confiez votre entreprise au partenaire qui comprend l'importance de la sensibilisation, et qui est prêt à ne pas faire les choses à moitié.

La sensibilisation ne se fait pas à moitié

L'idée, c'est d'arriver à intéresser vos collaborateurs sur le long terme aux enjeux SSI afin qu'ils maintiennent un niveau de vigilance constant au fil du temps. J'ai conscience que ce n'est pas une mince affaire, mais au regard du risque posé par les techniques d'ingénierie sociale, c'est primordial.

Votre programme de formation doit être régulier. Dispenser une formation une fois par an ou par trimestre revient essentiellement à ne rien faire. Vos collaborateurs se souviendront des cours la première semaine, le premier mois... mais la vigilance finira par retomber.

Vous devriez organiser une formation complète à la cybersécurité pour chaque nouvel employé, et très régulièrement ensuite. Cette formation complète doit couvrir les sujets majeurs en matière de cybersécurité (par exemple, les mots de passe forts, les mises à jour, le verrouillage de l'écran lorsqu'on quitte son poste, le phishing, etc).

Cette formation peut aussi être suivie de campagnes de simulation au phishing qui permettent de mesurer les taux de clics et de renforcer les connaissances acquises.

La sensibilisation doit être mesurée

La bonne nouvelle, c'est que toutes ces mesures sont efficaces ! Un rapport Hiscox démontre qu'on peut réduire le risque de près de 75% en suivant un programme de sensibilisation adapté. La clé, c'est de mesurer son efficacité au cours du temps.

Toutes les mesures d'atténuation du risque cyber ont besoin d'indicateurs et doivent être mesurées régulièrement. Cela commence par le suivi du niveau de risque des grands thèmes majeurs, et la formation des collaborateurs les plus novices. La mise en pratique de tests de phishing peut vous aider à déterminer qui est le plus sensible à l'ingénierie sociale, si vous ne le faites pas déjà.

L'objectif est de pouvoir attribuer une "note de criticité" par typologie de risque, afin de pouvoir vous préparer au mieux contre les menaces. Il faut également pouvoir suivre le niveau d'un département en particulier, selon son exposition au risque.

Si vous faites bien les choses (ce qui n'est finalement pas si compliqué), le niveau de maturité devrait augmenter au fil du temps, ce qui montrera à la direction que leur investissement est efficace.

Formez vos collaborateurs !

J'espère vous avoir convaincu de l'importance que vos collaborateurs soient bien armés face aux risques SSI. Pour lutter contre la menace numéro 1, il est crucial de se former pour réduire les risques. Il n'est jamais trop tard pour se protéger.

Nous utilisons des cookies, comme décrit dans notre politique de confidentialité.

Cookie Settings

We use cookies to improve user experience. Choose what cookie categories you allow us to use. You can read more about our Cookie Policy by clicking on Cookie Policy below.

These cookies enable strictly necessary cookies for security, language support and verification of identity. These cookies can’t be disabled.

These cookies collect data to remember choices users make to improve and give a better user experience. Disabling can cause some parts of the site to not work properly.

These cookies help us to understand how visitors interact with our website, help us measure and analyze traffic to improve our service.

These cookies help us to better deliver marketing content and customized ads.