Aujourd’hui, dans un monde où tout est numérisé, la cybercriminalité explose et les entreprises de toutes tailles peuvent devenir la cible d’une cyberattaque, qu’il s’agisse d’hameçonnage, de ransomware, d’atteinte à l’image ou d’espionnage. Selon le baromètre de la cybersécurité des entreprises réalisé par le CESIN (le Club des Experts de la Sécurité de l’Information et du Numérique), 57% des entreprises interrogées déclarent avoir connu au moins une cyberattaque en 2020.
A elle seule, la pandémie de Covid-19 a engendré une augmentation de 35% des risques cyber, et la généralisation du télétravail qui en découle a causé une hausse de 37% des risques cyber (toujours selon le rapport du CESIN). Quant on sait que l’erreur humaine est responsable de plus de 90 % des incidents de sécurité, on comprend mieux l’importance et l’urgence pour les entreprises de sensibiliser leurs salariés pour faire face à cette menace croissante.
Si aujourd’hui, 77% des entreprises estiment que leurs salariés sont sensibilisés à la cybersécurité, 63% pensent qu’ils n’appliquent pas tous les recommandations données. Voici donc six conseils pour vous aider à mieux sensibiliser vos équipes aux risques cyber.
Instaurer une culture de la cybersécurité
Pour vous assurer que vos employés comprennent l’importance de la cybersécurité et l’impact considérable que peut avoir une attaque informatique, vous devez intégrer la sécurité informatique et la protection des données dans la culture de votre entreprise.
Les entreprises de toutes tailles et de tous secteurs doivent avoir une culture du risque, c’est-à-dire connaître l’ensemble des risques auxquels elles peuvent être confrontées. Le risque cyber doit en faire partie. Ainsi, elles peuvent mettre en place une stratégie de sécurité complète afin de protéger leurs données et leur réputation, limiter les menaces et réduire leur impact.
Impliquer tout le monde
Comme on l’a dit plus haut, l’erreur humaine est responsable de neuf incidents de sécurité sur dix. Et souvent, il s’agit d’employés bien intentionnés qui se sont laissés piéger. Tous les services et toutes les fonctions sont concernés par la sécurité informatique, du marketing aux finances en passant par les ressources humaines car chacun de vos salariés peut, par exemple, être victime de phishing (ou hameçonnage) ou télécharger un document qu’il n’aurait pas dû.
Vous devez donc impliquer l’ensemble de vos collaborateurs dans la cybersécurité, et pas seulement le service informatique. Ajustez votre politique de cybersécurité en fonction de leurs besoins, et accompagnez-les dans la mise en place des bonnes pratiques et l’éradication des comportements à risques. Impliquer tous vos salariés est un moyen efficace de les sensibiliser.
Rédiger une charte informatique
Au même titre que le règlement intérieur, la charte informatique est un document indispensable qui détermine la politique stricte en matière de sécurité des systèmes d’information de l’organisation. Cela fait partie du rôle du responsable de la sécurité des systèmes d’information (RSSI) de concevoir et de mettre à jour des référentiels de sécurité à l’intention du personnel de l’entreprise, dont la charte informatique et la politique de sécurité des systèmes d’information (PSSI) font partie.
La charte informatique fixe les droits et les obligations concernant l’utilisation du système informatique au sein de l’entreprise. Elle définit notamment les conditions générales d’utilisation de l’accès à Internet, des divers réseaux d’information de l’entreprise ainsi que de ses services multimédias. Elle fixe les conditions d’accès des salariés aux données de l’entreprise et réglemente, si nécessaire, l’usage du matériel personnel (notamment en télétravail).
Rédigée de façon clair et compréhensible, la charte informatique informe les collaborateurs sur les outils qui sont à leur disposition, les usages qu’ils peuvent en faire et les règles de protection des données. Elle détermine également les sanctions disciplinaires éventuelles qui s’appliquent en cas de non-respect de ces règles.
La charte informatique doit être annexée au règlement intérieur de l’entreprise.
Former régulièrement aux bonnes pratiques
L’ensemble de vos salariés doit participer à une formation sur la sécurité informatique. Celle-ci doit s’appuyer sur des exemples concrets afin que vos collaborateurs se rendent mieux compte des dangers auxquels ils peuvent être confrontés.
Le site de l’Agence nationale de sécurité des systèmes d’information (ANSSI) met à votre disposition différents outils tels que le guide des bonnes pratiques de l’informatique et le guide de l’hygiène informatique.
Pour alerter vos salariés sur les cybermenaces en utilisant un ton plus décalé, diffusez-leur les quatre films de la Hack Academy, une campagne de cybersécurité organisée par le Club informatique des grandes entreprises françaises (CIGREF) en 2015.
Il est essentiel de rappeler régulièrement à vos salariés d’être vigilants car les cybercriminels peuvent frapper tous les jours. Pour cela, communiquez par mail ou via l’intranet en rappelant les différents risques cyber, les conseils pratiques pour s’en protéger et les procédures à suivre en cas d’attaque. Favorisez la cyberprudence en informant également sur l’apparition de nouvelles pratiques frauduleuses.
Informer les nouveaux arrivants
Lorsque vous accueillez et intégrez un nouveau collaborateur au sein de votre entreprise, vous devez lui fournir un livret d’accueil qui rassemble toutes les informations concernant votre organisation et son fonctionnement. Cela inclut le règlement intérieur ainsi que votre charte informatique.
Assurez-vous que votre nouvelle recrue a bien pris connaissance de ce document en le lui faisant signer lors de sa prise de poste.
Organiser des exercices de simulation des cyber risques
Afin de mieux sensibiliser vos équipes aux risques cyber et de tester le niveau de sécurité de vos infrastructures et de vos réseaux, vous pouvez organiser des exercices de simulation de cyberattaque. Aujourd’hui, rien ne vaut un entraînement en conditions réelles pour se préparer aux multiples cybermenaces qui guettent votre entreprise.
Ce type d’exercice permet d’évaluer les mesures de sécurité mises en place dans votre entreprise, de vérifier les réactions et les réflexes numériques de vos collaborateurs, et d’apprendre à gérer les dégâts potentiels. Face aux cybermenaces, la clé est l’anticipation. Avec de l’entraînement, vous et vos équipes développerez des compétences, des réflexes et des méthodes vous permettant de mieux réagir et travailler efficacement ensemble. Vous serez alors prêts lorsqu’une cyberattaque se produira.
Pour vous aider, n’hésitez pas à consulter le guide intitulé « Organiser un exercice de gestion de crise cyber » de l’ANSSI.
Pour conclure
Suivez ces six conseils pour sensibiliser vos employés aux risques cyber. Il s’agit d’une mission permanente qui s’inscrit dans la durée. Vous devez sans cesse être vigilant, trouver des moyens d’améliorer votre cybersécurité et de corriger vos points faibles, et former vos collaborateurs car les cybercriminels, eux, ne s’arrêtent jamais.
