Sensibiliser le personnel pour renforcer la cyberprotection
La quatrième étude sur la cyberprotection réalisée auprès des PME confirme ce qu’avaient déjà révélé les éditions précédentes: les mesures organisationnelles de cyberprotection, telles que les formations de sensibilisation, sont beaucoup moins fréquemment appliquées que les mesures techniques. Elles sont pourtant essentielles pour la cybersécurité des entreprises, explique Nicole Bögli, spécialiste en cyberrisques.
Qu’implique le fait que les entreprises tendent à négliger les mesures organisationnelles propres à améliorer leur cybersécurité?
Sans mesures organisationnelles de cyberprotection, les entreprises sont des proies faciles pour les pirates informatiques. Si le personnel n’est pas formé à l’utilisation sûre des systèmes informatiques, même les meilleures mesures techniques ne suffisent pas à protéger l’entreprise. Tout concept de sécurité doit donc inclure des mesures organisationnelles, en sus des mesures techniques.
Quelle est la mesure organisationnelle la plus importante?
Dans la plupart des cas, ce sont des membres du personnel qui permettent aux cybercriminels de pénétrer le réseau de l’entreprise. Et une fois dans la place, ils ont beau jeu de causer de graves dommages. Il est donc très important de sensibiliser le personnel aux cyberrisques. Il faut que chacune et chacun sache reconnaître un e-mail d’hameçonnage (phishing) et définir des mots de passe sûrs et évite dans tous les cas de cliquer sur des liens inconnus et suspects.
Mise en œuvre de mesures organisationnelles
Dispose-t-on de chiffres sur la fréquence à laquelle c’est le personnel lui-même qui ouvre la porte du système informatique de l’entreprise aux pirates?
Selon différentes études, entre 70% et 95% des cyberattaques réussies font suite à une erreur humaine. Quel que soit le chiffre effectif, il est évident que l’être humain est le principal facteur de risque en cas de cyberattaque.
Lors d’attaques par hameçonnage – que ce soit par SMS, e-mail, téléphone ou autre –, les cybercriminels tentent de se procurer des données sensibles à des fins d’enrichissement illégal. Quel type d’hameçonnage a le plus de succès?
C’est l’hameçonnage reposant sur des éléments qui éveillent immédiatement l’intérêt de la victime, tels qu’un comparatif des salaires dans l’entreprise au moyen d’un nouvel outil informatique, l’invitation à régler les droits de douane d’un prétendu colis ou la participation à un tirage au sort. S’appuyant sur ces éléments, les pirates tentent de déclencher une réaction rapide de la victime en la mettant sous pression à l’aide de techniques dites d’ingénierie sociale. Ils lui demandent notamment de communiquer ses données de connexion (identifiant et mot de passe) ainsi que des informations relatives à sa carte de crédit. Et moins la personne visée a le temps de réfléchir, plus vite elle commettra une erreur. Les PME sont fréquemment la cible d’attaques par hameçonnage, généralement par e-mail, car elles sont réputées être des victimes «plus faciles» que les grandes entreprises.
Mise en œuvre de mesures techniques
Comment les PME peuvent-elles sensibiliser leur personnel aux cyberrisques?
Une des mesures possibles consiste à émettre des directives garantes d’une utilisation sûre des données et de leurs supports ainsi que des mots de passe. Il est également indispensable de désigner une personne responsable de la sécurité informatique, à laquelle le personnel puisse poser des questions. Il existe en outre divers types de formations de sensibilisation aux cyberrisques. Par exemple, les formations vidéo, qui peuvent être facilement suivies en ligne, sont idéales pour les PME. Des simulations d’hameçonnage permettent ensuite de tester les acquis et de faire prendre encore davantage conscience des risques. Ces formations portent entre autres sur le traitement des e-mails, la séparation entre activités professionnelles et affaires privées ou sur la protection des données sensibles au poste de travail.
Une seule formation suffit-elle?
Non. Les pirates informatiques inventent en permanence des méthodes d’attaque toujours plus sophistiquées et complexes. Il est donc essentiel que le personnel suive régulièrement de nouvelles formations, afin d’être informé de l’évolution de ces méthodes. De plus, renforcer la prise de conscience de l’importance de la cybersécurité requiert de thématiser cette question à intervalles réguliers, afin que les comportements adéquats deviennent une habitude. Il s’agit d’instaurer une véritable culture de la cybersécurité dans l’entreprise. Par ailleurs, ces formations sont bien plus qu’un investissement dans la cyberprotection: elles permettent aussi à l’entreprise de se positionner comme un employeur responsable. Enfin, la cyberprotection est importante non seulement pour l’entreprise, mais aussi dans la vie privée. Les collaboratrices et collaborateurs profitent donc doublement de ces formations.
Les PME ont-elles les moyens de financer ces formations?
Les PME n’ont souvent qu’un modeste budget réservé à la cybersécurité, ou n’en ont même aucun. Nous leur recommandons donc d’inclure cette thématique dans leur planification budgétaire, de manière à disposer de ressources suffisantes pour déjouer des risques qui doivent figurer au premier rang de leurs préoccupations. Nous sentons certes que les PME sont de plus en plus nombreuses à se soucier de cyberprotection, mais bien souvent ce n’est malheureusement qu’après avoir subi une première attaque réussie.
Autrice
Nicole Bögli est spécialiste en cyberrisques à la Mobilière. Elle est responsable en particulier de l’exploitation des cyberservices.
Sensibilisation aux cyberrisques
Contenu de la formation de sensibilisation aux cyberrisques de la Mobilière:
- Séquences d’exercices en ligne pour apprendre à gérer les menaces venant d’Internet
- Simulation d’attaques par hameçonnage avec évaluation de la réaction du personnel
- Rapport sur les principaux résultats de la formation