Sensibilisation à la sécurité : la valeur des personnes dans la sécurité des entreprises

Ces dernières années, nous avons assisté à une évolution du mode de fonctionnement du cyberpiratage, qui s’oriente de plus en plus vers des techniques d’ingénierie sociale et d’hameçonnage pour atteindre ses cibles.

Paradoxalement, alors que les entreprises s’équipent pour répondre aux nouveaux besoins en mettant en œuvre des technologies, les cyberattaques tendent à les contourner en s’attaquant au dernier maillon faible, à savoir les personnes. En effet, le facteur humain est de plus en plus important dans le maintien de la sécurité au sein des entreprises, d’autant plus que la technologie ne peut pas grand-chose face à un comportement inadéquat ou irresponsable d’un travailleur.

La plupart des incidents de sécurité informatique sont dus à un manque de sensibilisation. Une mise à jour du rapport du Clusit montre une augmentation des attaques exploitant les techniques de phishing et d’ingénierie sociale de 26 % au cours du premier semestre 2020. Dans ce contexte, le vol du nom d’utilisateur et du mot de passe d’un seul employé peut avoir un impact sérieux sur la sécurité de l’ensemble du réseau, permettant une brèche dans les défenses de l’entreprise.

L’un des moyens les plus efficaces de contrer la menace du phishing est la formation et la sensibilisation de tous les employés, qui, associées à des technologies spécifiques, peuvent constituer une véritable valeur ajoutée pour les organisations.

Les comportements à risque les plus courants sont les suivants :

  • Le partage par inadvertance de documents avec des personnes extérieures à l’entreprise
  • L’utilisation de dispositifs non autorisés (tels que les clés USB)
  • L’utilisation de services externes tels que les réseaux sociaux et les webmails privés
  • L’ouverture de pièces jointes sans vérification de l’expéditeur
  • Le fait de cliquer sur des liens malveillants

L’objectif de la sensibilisation à la sécurité est la formation à tous les niveaux, créant ainsi un processus horizontal qui peut conduire à un changement culturel en matière de sécurité.

 

Mais quelles sont les meilleures pratiques pour sensibiliser les organisations ?

Une session de formation annuelle ne peut suffire à maintenir les connaissances acquises, c’est pourquoi il est désormais nécessaire de développer de véritables campagnes coordonnées, combinant formation et simulations d’hameçonnage. Il sera ainsi possible d’obtenir des données sur la propension à ouvrir des courriels malveillants, qui pourront être utilisées pour déterminer l’efficacité de la campagne.

Les simulations devraient être effectuées de manière aléatoire, afin de minimiser la baisse du taux d’ouverture des courriels malveillants et d’obtenir ainsi des estimations plus précises de la probabilité d’être victime d’un hameçonnage.

Le suivi régulier des tendances pourrait avoir un impact positif significatif sur l’organisation, en réduisant les risques et en augmentant par conséquent la sensibilisation des employés grâce à une méthodologie libérée des limites imposées par la formation traditionnelle, en utilisant une approche interactive équilibrée par rapport à l’application pratique.

Pour faire face aux nouveaux types de menaces, les organisations doivent une fois de plus faire preuve d’une volonté de changement, d’un esprit d’adaptation et adopter toutes les dernières méthodes disponibles pour garantir la sécurité de l’entreprise.