Blogs & actualité

5 étapes vers une culture de reporting sécurisée pour une meilleure sécurité des données

La honte et la peur dominent souvent chez les employés qui doivent payer du jour au lendemain pour se connecter à leur ordinateur portable (ransomware) ou au nom desquels des courriels ont été envoyés à l'ensemble de la liste de contacts (usurpation d'identité). Un petit moment d'inattention et une erreur est facilement commise. Ce type d'incidents de (cyber)sécurité peut également se produire à la maison et avoir un impact direct sur la sécurité numérique au travail. Dans ce blog, nous vous expliquons pourquoi une culture de signalement est importante et comment créer une culture de signalement sécurisée au sein de l'organisation.

14 nov 5 étapes vers une culture de reporting sécurisée

Créer une culture du signalement sûre

Il est essentiel de détecter à temps le phishing, les violations de données, les attaques d'ingénierie sociale et les autres (cyber)menaces au sein de l'organisation pour pouvoir les traiter correctement. Le responsable de la sécurité de l'information ou toute autre personne responsable ne peut agir à temps que si un rapport est établi au sein de l'organisation. Il est donc essentiel d'instaurer une culture de signalement sécurisée. C'est plus facile à dire qu'à faire. Les cinq étapes suivantes vous permettront d'instaurer une culture de signalement plus sûre.

1. Mettre en place une hotline centrale vers laquelle tout le monde peut s'adresser

Les employés doivent pouvoir faire un rapport facilement et sans difficulté. Il convient donc de désigner un point de contact au sein de l'organisation. Il peut s'agir d'une fonction ou d'une équipe. Un employé qui souhaite faire un rapport mais ne sait pas où le faire est évidemment une occasion manquée. Le plus important est donc que les coordonnées soient largement communiquées. Ici, plus il y a de moyens, mieux c'est. C'est pourquoi, en plus d'une ligne d'assistance numérique, il convient de mettre en place une ligne d'assistance physique : un bureau ou une salle où l'on peut se rendre pour faire un signalement.

2. Former les employés à ce qu'il faut signaler

Un courriel suspect dans votre boîte de réception, un SMS contenant une demande de paiement inconnue sur votre téléphone (professionnel), un visiteur non invité qui se promène dans le bâtiment, des fichiers que vous devez soudainement ouvrir à l'aide d'un mot de passe. Ce sont là des exemples de situations dans lesquelles vous devez signaler un incident de (cyber)sécurité. Les priorités et les types d'incidents importants varient d'une organisation à l'autre, mais en général, il vaut mieux signaler trop de choses que pas assez. Veillez à ce qu'il y ait une communication reconnaissable sur les situations qu'il est important de signaler au sein de votre organisation. Les grandes organisations utilisent souvent des outils de formation à la sensibilisation à la sécurité en ligne pour apprendre à leurs employés à reconnaître les risques liés aux données.

3. Donner des instructions sur la manière de faire un rapport

Souhaitez-vous recevoir la notification verbalement ou par courrier ? Combien de détails la personne doit-elle donner ? Est-il utile de faire des captures d'écran ou des photos ? Veillez à ce que des instructions claires et concises soient disponibles sur la "manière de signaler" et que ces instructions soient liées à d'autres procédures et instructions de travail dans le cadre d'une politique de sécurité globale.

4. Communiquer ce qui a été fait avec le rapport

Pour encourager le signalement d'incidents, il est très important que l'auteur du signalement sache ce qui a été fait de son rapport. Non seulement le rapporteur, mais aussi tous les autres employés peuvent être motivés par la communication de ce qui est fait avec l'apport des collègues. Prévoyez-vous de communiquer largement sur le rapport et les résultats ? Veillez alors à ce que le rapport ne puisse pas être retracé jusqu'au rapporteur si celui-ci préfère que son nom ne soit pas mentionné.

5. Récompenser les signalements, même s'il s'agit d'une fausse alerte

Le signalement d'un incident place l'employé dans une position vulnérable. Il convient donc de prendre tous les rapports au sérieux. Un rapporteur qui ne se sent pas pris au sérieux préférera se taire à l'avenir. Mettez le rapporteur sous les feux de la rampe, car grâce à lui, l'organisation est mieux défendue contre les incidents de (cyber)sécurité. Pensez à un cadeau, un trophée, un "employé du mois", ou laissez le journaliste lui-même raconter quelque chose lors d'une réunion de service, d'un déjeuner-conférence ou d'une séance d'information. Là encore, demandez à l'auteur de la déclaration s'il souhaite que ses collègues soient informés de l'incident.

Besoin d'aide pour créer une culture du reporting ?

N'hésitez pas à nous contacter pour discuter de la création d'une culture ouverte en matière de sécurité de l'information et de rapports sur la cybersécurité au sein de votre organisation.

+33 (0)1 44 04 01 73 info@awaretrain.fr

Découvrez notre plateforme de sensibilisation à la cybersécurité

Plus d'infos

Lire la suite

Découvrez nos autres blogs et articles d'actualité.

09 jan
Hameçonnage : Le fossé entre les connaissances et le comportement Plus d'infos
De la sensibilisation à la culture de la sécurité. 10 oct
De la sensibilisation à un environnement de travail cyber sécurisé et à une culture de la sécurité. Plus d'infos
John Ross Hunt ( responsable du produit Phish Insight) de Trend Micro 22 aoû
Entretien avec Trend Micro sur les évolutions en matière de sensibilisation à la sécurité. Plus d'infos
Voir tous les blogs