La sensibilisation des collaborateurs à la menace Cyber en entreprise 

Un hacker expliquait à la radio récemment qu’une « attaque informatique réussie restait inconnue des victimes ». C’est dire si la menace est bien réelle et parfois invisible. Or le vol de données en entreprise n’a pas que des conséquences sur celle-ci, mais potentiellement aussi sur ses clients et ses partenaires. Hélas, la porte d’entrée à la menace Cyber est bien souvent l’équipement informatique des collaborateurs. Pour mieux protéger son système, la sensibilisation est donc essentielle, et elle ne passe pas seulement par la DSI. D’autres services ont leur rôle à jouer dès l’intégration des nouvelles recrues.

Partager :

Pourquoi sensibiliser fortement ses collaborateurs à la cybersécurité ?

La cybersécurité est l’affaire de tous, en entreprise comme chez soi. Mais en tant qu’entreprise, vous devez protéger non seulement vos données, mais aussi celles relatives à vos clients et à l’ensemble de votre écosystème. Lorsque les attaques parviennent à leurs fins, les conséquences peuvent être aussi bien financières que réputationnelles et ralentir, entre autres, la signature de contrats.
Les risques de voir s’envoler des coordonnées, des informations financières aux mains de hackers, puis être partagées sur le dark web, sont loin d’être minimes. Ainsi, 54 % des entreprises françaises ont été victimes d’une cyberattaque en 2021 selon le dernier baromètre du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), soit plus d’une sur deux. Encore une fois, ce sont des attaques dont elles ont eu connaissance, par exemple en raison d’une demande de rançon. Ce qui n’inclut pas celles dont elles ne savent peut-être rien.
Autre enseignement de ce rapport : si la sensibilisation est de mieux en mieux intégrée (pour 82 %), les collaborateurs restent néanmoins peu proactifs en cas de doutes. Si bien qu’apprendre à ses salariés l’importance de leur vigilance de tous les instants est essentielle.

Les principaux axes d’attaques informatiques chez les salariés

Comme pour un particulier, un salarié peut recevoir des menaces directement sur son ordinateur, par le biais de mails ou de logiciels frauduleux. Et ce ne sont pas les seuls moyens trouvés par les hackers pour tenter de récupérer des données sensibles ou de siphonner les comptes de l’entreprise. On peut ainsi citer :

  • Le phishing ou le ransomware: les collaborateurs reçoivent un mail en apparence inoffensif, mais qui recèle un lien qui leur demande de communiquer des informations confidentielles (données bancaires ou autres) et le piège se referme.
  • Les mots de passe récupérés: des mots de passe trop simples, répétés sur plusieurs sites, sont autant de risques d’une attaque possible sur les e-mails ou sur des services en ligne essentiels au fonctionnement de l’entreprise.
  • Les sites web frauduleux ou l’exploitation de failles sur des sites web a priori sains : les hackers peuvent alors injecter des scripts malveillants.
  • Une autre menace vient directement des collaborateurs s’ils n’en prennent pas la mesure : la connexion de périphériques déjà infectés, comme une clé USB ou un disque dur externe.
  • Le Wifi ouvert, non sécurisé : lorsqu’ils sont en déplacement, vos collaborateurs peuvent être tentés de se connecter sur n’importe quel réseau Wifi, avec tous les risques de sécurité que cela comporte.

A cela s’ajoutent bien d’autres méthodes, parfois sans que les hackers n’aient besoin de toucher un ordinateur au moment de l’attaque. Pour cela, il leur suffit de prendre contact par téléphone avec leur cible en se faisant passer pour quelqu’un d’autre, afin que la victime procède à des actions en ligne à leur profit (un virement, comme dans la fraude au président, ou leur donne accès à un système sécurisé de l’entreprise).

Sensibiliser concrètement ses salariés à la cybersécurité

Pour informer ses collaborateurs sur les bonnes pratiques de cybersécurité, il est essentiel de commencer dès leurs premiers pas dans l’entreprise. Ce qui doit impliquer aussi bien le service RH, que la DSI et la communication interne.

  • Les RH doivent mettre en place une partie cybersécurité dans l’intégration des nouvelles recrues afin d’expliquer l’importance que cela a pour l’entreprise.
  • La DSI doit être la source d’informations et d’alertes en cas de doute ou de problème avéré.
  • Le service communication doit élaborer des campagnes de sensibilisation qui passent autant par l’affichage, que par le digital. Cela suppose notamment d’envoyer des newsletters régulières qui parlent du sujet en toute transparence. N’hésitez pas aussi à lancer des quiz et des challenges afin de diffuser au maximum « l’hygiène numérique » auprès de vos collaborateurs.

Au-delà, toute l’entreprise, avec l’appui de la direction, doit intégrer la réalité de la cybermenace pour anticiper et savoir comment réagir quand la tentative de piratage se matérialise.

Les conseils incontournables à faire circuler

  • La mise à jour des logiciels et des équipements dès qu’ils sont disponibles
  • En cas de demande d’informations par e-mail, la vérification des expéditeurs en regardant précisément l’adresse
  • L’interdiction de connecter des périphériques personnels
  • L’interdiction de se connecter à des hotspots wifi ouverts
  • Le blocage d’applications inconnues sur les smartphones fournis par l’entreprise

Pour s’assurer que les conseils soient bien appliqués, certaines entreprises mettent en place des tests aléatoires, comme elles le font pour les alertes incendies. Le principe est simple : elles transmettent des faux mails à la manière d’un hacker et constatent si le collaborateur se fait ou non berner. Les résultats ne sont pas là pour donner les bonnes ou les mauvaises notes, mais pour concrétiser la menace et en faire prendre conscience à ses équipes.

Dans la plupart des cas, l’accès des pirates aux données est la conséquence d’une erreur humaine aux lourdes conséquences, d’où l’importance d’une sensibilisation accrue et renouvelée régulièrement.

 

Découvrez notre offre 

 

Dernières ACTUALITÉS