Votre entreprise doit accorder une attention beaucoup plus sérieuse à la formation à la cybersécurité des utilisateurs. Et quand je dis “sérieuse”, je veux dire qu’il faut aller bien au-delà de ce que la plupart des organisations mettent en place.
Que vous soyez RSSI, DSI, CTO, ou même RH ou responsable de la formation, cet article va vous ouvrir les yeux sur la réalité de la menace qui pèse sur votre entreprise.
Maintenant, bien sûr, en tant que cofondateur d’une solution de sensibilisation, je suis un peu partial. Mais croyez-moi, j’ai de bonnes raisons objectives de vous parler des dangers posés par des employés peu sensibilisés à la cybersécurité 😉
La sécurité des systèmes d’information repose avant tout sur la gestion des risques. Étant donné qu’il est impossible d’éliminer tous les risques, les responsables SSI – ou assimilés – doivent identifier les différentes menaces et se concentrer sur celles qui représentent la plus grande menace dans un laps de temps donné. Les menaces les plus dommageables doivent être traitées en priorité, toutes les autres actions étant inutiles.
Nous allons maintenant voir les deux raisons pour lesquelles la sensibilisation doit être une préoccupation majeure pour vous.
L’ingénierie sociale est la principale menace
Il existe de nombreuses façons d’être attaqué, comme l’utilisation de logiciels non mis à jour, des violations de mots de passe, des attaques de type “man-in-the-middle”, des écoutes, des configurations d’accès trop permissives, des délits d’initiés, etc.
Cependant, depuis des décennies, l’utilisateur est considéré comme la principale source de failles dans les systèmes d’information. C’est toujours le cas, et cette information ne vient pas seulement de moi !
De nombreuses enquêtes démontrent que l’ingénierie sociale et le phishing représentent aujourd’hui la menace majeure pour la plupart des organisations. Par exemple, une étude de Statista a révélé qu’au moins 80 % des attaques malveillantes réussies ont été réalisées grâce au phishing (France, 2020).
Maintenant, la question est de savoir si vous pensez sincèrement que votre entreprise considère ces menaces comme la priorité numéro un. Honnêtement, la plupart ne le font pas.
Ce n’est pas nécessairement de leur faute, car les sujets de sécurité informatique passent souvent après d’autres problématiques qui sont considérées comme “plus prioritaires”. Mais compte tenu des risques actuels et de leur couverture médiatique, il n’y a plus d’excuse !
Et même lorsque les organisations considèrent l’ingénierie sociale comme un risque important, elles ne lui accordent pas le budget ni l’attention nécessaires. On dirait qu’il s’agit d’un problème modérément important ou d’une partie mineure d’une question plus vaste, mais jamais du problème en soi.
Le décalage fondamental entre la gravité de cette menace et sa gestion effective explique en grande partie le succès des cyberattaques.
Quoi que vous fassiez, vos utilisateurs seront touchés
En général, chaque risque de sécurité des systèmes d’information doit faire l’objet d’une défense en profondeur, à plusieurs niveaux. La combinaison de politiques internes, de mesures techniques et de formations permet de prévenir, détecter et réduire les risques liés à la cybersécurité.
Cependant, malgré tous vos efforts pour empêcher le phishing d’atteindre vos collègues, une certaine dose de menace finira par toucher vos utilisateurs finaux. Depuis plus de 30 ans, des solutions révolutionnaires sont censées éliminer complètement le hameçonnage. Mais les solutions se succèdent et les pirates trouvent toujours un moyen de toucher les utilisateurs, malgré tous les efforts déployés pour les en empêcher.
Si la résolution de ce problème était simple, on n’en entendrait pas autant parler dans les médias. En réalité, ces vecteurs d’attaque sont plus populaires que jamais et causent plus de dommages que jamais. Étant donné que vos politiques de conformité et vos meilleures solutions techniques ne constituent pas une solution miracle, vous devez apprendre à vos collaborateurs à reconnaître les cybercriminels et à s’intéresser à la sécurité informatique.
Si l’ingénierie sociale représente la principale menace en ligne et que les attaquants réussissent toujours, il est essentiel de considérer ces risques comme tels. Les dirigeants doivent s’y intéresser de près et leur accorder plus de budget et de ressources.
Attention, je ne dis pas qu’une entreprise doit consacrer 80 % de son budget de sécurité informatique à la sensibilisation à la sécurité. Le problème est que la plupart des organisations consacrent probablement moins de 5 % de leur budget à cet aspect de la formation.
Ce décalage fondamental entre les ressources mises à disposition et les mesures d’atténuation du risque explique pourquoi la cybersécurité est si négligée. Je le répète, la sensibilisation à la sécurité doit être une priorité, même pour la haute direction. Les PDG et les conseils d’administration devraient poser des questions à ce sujet à chaque réunion. Malheureusement, cela est loin d’être le cas aujourd’hui, car 75 % des RSSI estiment que leur direction ne mesure pas la gravité de la menace.
Diffuser une culture de la cybersécurité
Mais avant tout, il faut faire comprendre aux cadres que c’est un enjeu majeur. La plupart d’entre eux pensent que la sensibilisation ne représente qu’une petite partie de leurs mesures de cybersécurité. Ils doivent prendre conscience de la menace que représente l’ingénierie sociale et savoir que l’entreprise compte s’attaquer sérieusement au problème.
Ce n’est qu’en reconnaissant l’importance de cette question que la direction sera prête à agir. Et à partir de cette volonté, des mesures pourront être prises pour diffuser une véritable culture de la cybersécurité dans toute l’entreprise.
Une fois que la direction se concentrera sur la menace posée par le facteur humain et la considérera comme telle, il sera essentiel de régulièrement évaluer l’efficacité des mesures mises en place. C’est également une excellente transition vers la partie suivante.
Vous avez besoin d’un professionnel de la cybersécurité
Oui, à temps plein.
Si ce n’est pas déjà le cas, votre entreprise doit engager des responsables de la cybersécurité. Comme vous l’avez compris, l’ingénierie sociale et le phishing représentent votre principale menace, il est donc logique de recruter une personne dont la seule mission est de gérer au mieux la sécurité informatique.
Je peux comprendre qu’une PME ne puisse pas se permettre d’embaucher un collaborateur à temps plein uniquement pour la gestion de la SSI et sa sensibilisation. Mais quels sont les coûts d’une attaque de ransomware ? On estime que cela coûte en moyenne 150 000 € pour une PME et entraîne la perte de 500 à 1200 heures de travail pour s’en remettre. Ce qui représente, vous en conviendrez, un coût légèrement supérieur à celui d’un poste à temps plein…
Et si vous ne pouvez vraiment pas vous permettre d’embaucher quelqu’un, faites appel à un prestataire ! Pour que cela soit efficace, ce dernier doit devenir votre partenaire à part entière, capable de se concentrer sur votre protection en tenant compte de vos spécificités.
Les offres en matière de cybersécurité sont nombreuses : confiez votre entreprise à un partenaire qui comprend l’importance de la sensibilisation et qui est prêt à ne pas faire les choses à moitié.
L’idée est de susciter l’intérêt et l’engagement de vos collaborateurs à long terme pour les enjeux de la SSI afin qu’ils maintiennent une vigilance constante au fil du temps. Je suis conscient que ce n’est pas une tâche facile, mais compte tenu du risque posé par les techniques d’ingénierie sociale, c’est primordial.
Votre programme de formation doit être régulier. Dispenser une formation une fois par an ou par trimestre revient essentiellement à ne rien faire. Vos collaborateurs se souviendront des cours la première semaine, peut-être le premier mois… mais leur vigilance finira par retomber.
Vous devriez organiser une formation complète sur la cybersécurité pour chaque nouvel employé, suivie de formations régulières par la suite. Cette formation complète devrait couvrir les principaux sujets liés à la cybersécurité (par exemple, les mots de passe forts, les mises à jour, le verrouillage de l’écran lorsqu’on quitte son poste, le phishing, etc).
Cette formation peut également être suivie de campagnes de simulation de phishing pour mesurer les taux de clics et renforcer les connaissances acquises.
La sensibilisation doit être mesurée
La bonne nouvelle, c’est que toutes ces mesures sont efficaces ! Un rapport Hiscox a démontré qu’un programme de sensibilisation adéquat peut réduire le risque de près de 75 %. La clé, c’est de mesurer régulièrement son efficacité.
Toutes les mesures d’atténuation du risque cyber doivent être soutenues par des indicateurs et doivent être mesurées régulièrement. Cela commence par le suivi du niveau de risque des principaux thèmes majeurs et la formation des employés les moins expérimentés. La mise en place de tests de phishing peut vous aider à déterminer qui est le plus sensible à l’ingénierie sociale, si vous ne l’avez pas déjà fait.
L’objectif est d’attribuer une “note de gravité” à chaque type de risque, afin de mieux vous préparer contre les menaces. Il est également important de suivre le niveau de chaque département en fonction de son exposition au risque.
Si vous faites les choses correctement (ce qui n’est finalement pas si compliqué), le niveau de maturité devrait augmenter au fil du temps, démontrant ainsi à la direction que leur investissement est efficace.
Formez vos collaborateurs aux enjeux de la cybersécurité !
J’espère vous avoir convaincu de l’importance que vos collaborateurs soient bien préparés face aux risques liés à la cybersécurité. Pour lutter contre la principale menace, il est essentiel de se former et de réduire les risques. Il n’est jamais trop tard pour se protéger.
