Blogs & actualité

De la sensibilisation à un environnement de travail cyber sécurisé et à une culture de la sécurité.

Le mois de la sensibilisation à la cybersécurité est arrivé. Le mois d'octobre est celui où les organisations accordent une grande attention à la sensibilisation et à la connaissance de la cybersécurité parmi leurs employés. Au cours de ce mois, elles organisent souvent diverses activités de sensibilisation à la sécurité ou utilisent le mois comme point de départ d'une campagne de formation dans le but de rendre les employés résistants aux dangers en ligne, tels que le phishing, les ransomwares et d'autres formes de cybercriminalité. Cette année, le thème du mois européen de la cybersécurité est #BeSmarterThanAHacker ( Soyez plus intelligent qu'un hacker ).

Pour obtenir un véritable changement de comportement, les organisations doivent assurer un suivi adéquat du Mois de la sensibilisation à la cybersécurité. En ne s'intéressant au sujet qu'au moment du Mois de la sensibilisation à la cybersécurité et en ne prenant pas beaucoup d'initiatives pendant le reste de l'année, vous obtiendrez le résultat inverse. Les employés sont inondés d'informations, perdent tout intérêt et retombent rapidement dans leurs vieux travers. Sensibiliser à la sécurité et changer les comportements prend du temps ! Malheureusement, la sensibilisation à la sécurité est encore trop souvent considérée comme une action ponctuelle et non comme un processus continu.

Dans ce blog, nous vous donnons un certain nombre d'outils pour une approche de sensibilisation à la cybersécurité basée sur les processus, afin que vous puissiez suivre avec succès le mois de la cybersécurité et éventuellement créer une culture de sensibilisation à la sécurité. Ces outils concernent le dépistage, la formation et l'implication des employés.

10 oct De la sensibilisation à la culture de la sécurité.

Soutien à la sensibilisation à la sécurité

Soutien à la gestion

Une campagne de sensibilisation à la sécurité ne sera jamais couronnée de succès sans des employés motivés et engagés qui comprennent la nécessité d'une formation de sensibilisation à la sécurité. Cela commence par la gestion. La direction doit rayonner et faire savoir que l'organisation ne peut se passer d'un processus de sensibilisation à la sécurité. Vous pouvez lire comment créer un soutien parmi la direction dans notre livre blanc « Créer un soutien pour la sensibilisation à la sécurité au sein de la direction ».

Des employés engagés

Une bonne façon de montrer aux employés la nécessité d'une formation de sensibilisation à la sécurité est de simuler un incident; seul moyen réel de mieux comprendre le comportement des employés. Les simulations d'attaques par hameçonnage ou d'autres enquêtes mettent souvent en évidence des vulnérabilités majeures, montrent que tout le monde peut être victime de criminels et peuvent donc laisser une forte impression.

Expliquez également clairement aux employés comment se déroulera le reste de la campagne de sensibilisation à la sécurité. Quelles sont les méthodes de formation et les enquêtes utilisées et à quelle fréquence ont-elles lieu ? Qu'attend-on réellement des employés ? Et à qui doivent-ils s'adresser pour poser leurs questions ? La sensibilisation à la sécurité n'est pas l'affaire d'un seul service. C'est pourquoi nous recommandons toujours d'entreprendre le projet en collaboration avec le service de communication interne.

Simulations d'incidents bien exécutées

Pour laisser une forte impression, il est essentiel que les simulations d'incidents et les enquêtes soient menées de manière éthique et équitable et que les résultats soient communiqués de manière amicale au sein de l'organisation. "Mais les criminels ne pensent sûrement pas non plus à la bonne volonté des employés", me direz-vous. En effet, mais il existe d'innombrables sujets de réflexion qui impressionnent et n'offensent pas les employés. Si un employé a cliqué sur un lien d'hameçonnage ou communiqué son mot de passe par téléphone, ne le montrez pas du doigt et donnez à l’ ”incident" une tournure positive.

Créer une culture de reporting ouverte

En outre, veillez à ce que la culture du signalement soit ouverte, c'est-à-dire que les employés sachent où et à qui signaler un incident (potentiel) ou s'ils ont des questions sur la campagne. Là encore, ne montrez pas du doigt, mais donnez une tournure positive au signalement. Pour en savoir plus sur la création d'une culture de signalement ouverte, consultez notre blog : « Les 5 étapes d'une culture de signalement sûre pour une meilleure sécurité des données ». 

Formation pour apprendre à reconnaître les risques

Le transfert de connaissances est bien sûr un aspect indispensable dans le cadre d'une campagne de sensibilisation à la sécurité, mais n'est pas une fin en soi. Après tout, l'objectif ultime est de créer un environnement de travail (cyber) sûr. Cependant, la formation sur la reconnaissance de l'hameçonnage ou la création de mots de passe forts qui sont également faciles à retenir constituent souvent la base d'une campagne de sensibilisation à la sécurité.

Malheureusement, la formation est souvent mal utilisée. Nous voyons encore (trop) souvent que les organisations inondent les employés de beaucoup d'informations en peu de temps. Comme mentionné dans l'introduction : avec cette approche, les employés retombent rapidement dans de vieilles habitudes. D'autre part, il y a des organisations qui pensent qu'une session de formation unique en classe ou en ligne est suffisante. On retrouve souvent ces deux approches dans les organisations qui doivent encore rapidement « cocher la case », par exemple pour la certification ISO. Nous n'avons pas besoin de souligner que cela ne crée pas un changement de comportement durable et donc pas d'environnement de travail (cyber) sûr.

Le pouvoir de la répétition

Les campagnes de formation réussies consistent en plusieurs pics de connaissances sur une longue période de temps. La sensibilisation et le changement de comportement sont des processus à long terme. Vous pouvez, par exemple, mettre l'accent sur un thème particulier chaque mois. Pour ce faire, utilisez différentes méthodes de transmission des connaissances. Utilisez la formation en ligne comme base et organisez des réunions ou d'autres méthodes d'apprentissage autour de celle-ci. Veillez également à solliciter l'aide du service de communication interne pour élaborer un plan à long terme et concevoir des affiches et d'autres gadgets amusants pouvant être utilisés sur le lieu de travail.

Rendre (et garder) les employés alertes

Une fois que les employés ont été motivés et qu'une base a été jetée en termes de connaissances, la création de vigilance est la prochaine étape d'une approche de sensibilisation à la sécurité basée sur les processus. Les employés vigilants appliquent les connaissances acquises dans la pratique quotidienne. Vous créez de la vigilance en continuant à stimuler les employés, par exemple en effectuant continuellement des simulations de phishing. Récompenser les employés qui signalent un incident ou le préviennent dans une certaine mesure contribue également à créer une culture d'alerte.

Incidemment, il n'est pas mal du tout de communiquer au sein de l'organisation que les tests seront effectués en continu. Bien au contraire! Les employés évalueront les e-mails inattendus de manière plus critique et ne se contenteront pas de laisser entrer des visiteurs non annoncés. De cette façon, vous avez déjà atteint une grande partie de votre objectif!

Attention aux attentes trop élevées

Fixez des attentes trop élevées. La sécurité à 100% est impossible. Quelle que soit la qualité de la conception d'une campagne de sensibilisation à la sécurité, un incident peut toujours se produire. Un moment d'inattention et une erreur se font facilement. De plus, les criminels ne restent pas immobiles lorsqu'il s'agit d'utiliser de nouvelles techniques pour séduire les gens.

Vous voulez parler de la façon dont nous pouvons vous aider à sensibiliser à la sécurité?

Chez Awaretrain, nous aidons les organisations à donner corps à la sensibilisation à la sécurité. Avec notre vaste portefeuille de produits et services, il existe toujours une méthode de formation ou de mesure adaptée à votre organisation. Jetez un coup d'œil à notre page produit ou contactez-nous sans engagement.

+33 (0)1 44 04 01 73 info@awaretrain.fr

Découvrez notre plateforme de sensibilisation à la cybersécurité

Plus d'infos

Lire la suite

Découvrez nos autres blogs et articles d'actualité.

09 jan
Hameçonnage : Le fossé entre les connaissances et le comportement Plus d'infos
5 étapes vers une culture de reporting sécurisée 14 nov
5 étapes vers une culture de reporting sécurisée pour une meilleure sécurité des données Plus d'infos
John Ross Hunt ( responsable du produit Phish Insight) de Trend Micro 22 aoû
Entretien avec Trend Micro sur les évolutions en matière de sensibilisation à la sécurité. Plus d'infos
Voir tous les blogs