Il est fini le temps où la cybercriminalité était exécutée par des hackers isolés. En quelques années, elle s’est professionnalisée autour de cybercriminels spécialisés dans différents domaines (développement de logiciels malveillants, ingénierie sociale, revente de données, etc.), et associés à des fins de vol de données ou d’extorsion d’argent. 

Outre les failles technologiques utilisées par les cybercriminels, 90 % des cyberattaques trouvent leur origine dans une erreur humaine.

Sensibiliser et former vos salariés aux bonnes pratiques de cybersécurité est donc un élément clé de la cyberdéfense. 

La plupart des méthodes utilisées par les pirates pour inciter les utilisateurs à révéler leurs identifiants ou à installer un programme malveillant ne nécessitent qu’un clic sur un lien ou sur une pièce jointe. 

Baptisée hameçonnage, cette technique repose sur un mail envoyé depuis un émetteur de confiance – collègue, institution, banque, société de livraison…- dont l’adresse a été détournée. Après avoir cliqué sur le lien, le destinataire, berné, accède à une copie pirate de site qui lui réclame une connexion avec les identifiants. Dans le cas du programme malveillant, le clic télécharge un logiciel qui bloque les ordinateurs ou rend illisibles les données. 

Autre technique de cyberattaque : l’ingénierie sociale, dont l’objectif est de manipuler les individus jusqu’à la divulgation d’informations confidentielles (mot de passe, numéro de carte de crédit, informations sensibles) ou la réalisation d’actions compromettant la sécurité. 

Les messages envoyés jouent souvent sur l’empathie, l’urgence ou la peur. Alors, comment éviter tous ces pièges ? 

Avant toute chose, pour se prémunir des éventuelles failles humaines, les services informatiques des entreprises doivent mettre en place divers systèmes de protection, tels que :

Former l’ensemble des collaborateurs à l’identification des menaces est crucial. Une attention particulière doit être portée à certains profils plus exposés. C’est le cas notamment des employés ayant accès à des données critiques, comme les dirigeants et cadres supérieurs. 

De nombreux utilisateurs disposent d’un mot de passe unique et simple pour tous les accès. Explorer des connexions possibles devient alors un jeu d’enfant pour les pirates. Aussi, pour éviter toute usurpation, les mots de passe utilisés doivent être longs, complexes, différents selon les comptes et modifiés régulièrement. Utiliser un gestionnaire de mots de passe permet de générer et stocker des mots de passe forts pour tous les comptes. 

Les collaborateurs ne doivent jamais mélanger usage personnel et usage professionnel d’un même matériel. Un virus téléchargé sur une application grand public, un jeu, une promotion,… sera exploité aussi pour pirater les accès professionnels. 

Vos collaborateurs doivent doubler la simple identification par un moyen supplémentaire de confirmation (code envoyé par sms, notification à confirmer,…).

De nombreux outils comme les ateliers, les vidéos, les guides, les manuels, les posters ou les nudges, peuvent être utilisés pour former et illustrer le propos d’exemples concrets. Présenter les cyberattaques et les conséquences sur l’entreprise constitue aussi un moyen efficace pour  retenir l’attention et  faire évoluer les comportements des salariés. 

Tester régulièrement les réflexes des collaborateurs face au phishing en simulant de fausses cyberattaques permet non seulement de délivrer des infos sur les dernières techniques utilisées par les hackers, mais aussi d’accroître la probabilité d’adopter les bonnes pratiques. Désigner des champions de la cybersécurité suite à ces tests au sein de l’entreprise donne l’occasion d’évangéliser le personnel et sert de relais humain dans la stratégie de sécurité. 

Avec ces initiatives, la politique de cybersécurité gagne en efficacité et s’ancre durablement dans la culture de l’entreprise. 

Ce n’est qu’avec une bonne sensibilisation – et plus, une formation avec validations des acquis – que l’ensemble des personnels de l’organisation va suivre ces bonnes pratiques. 

Il s’agit donc de proposer à vos collaborateurs des formations sérieuses (ne pas se contenter d’un MOOC de quelques heures) et répétées chaque année en fonction de l’évolution permanente des menaces.

Des bons conseils peuvent être trouvés, techniques auprès de l’ANSSI ou plus accessibles auprès de Cybermalveillance.gouv. Des fiches pratiques et des vidéos didactiques – parfois amusantes – peuvent y être téléchargées. 

La sécurité informatique doit être surtout organisée, partagée, acceptée et faire partie des règles de bon fonctionnement de l’entreprise, qui doivent allier engagement et sanctions officiellement négociées.

Vous pouvez mener une démarche RH de sensibilisation et une négociation avec les partenaires sociaux : via une charte informatique annexée au contrat de travail ou ayant fait l’objet d’un avenant – signé par le salarié concerné, par exemple.

Si sécuriser les données à un coût, cela représente aussi un atout indéniable à plusieurs titres. La sécurité des données engage la réputation de l’entreprise, rassure et motive des collaborateurs et présente un avantage business.

Non seulement cela rassure les partenaires, les clients, mais cela répond aussi aux exigences réglementaires européennes, telles que NIS2, une directive portant sur la sécurité des réseaux et de l’information. Prolongement de NIS1, NIS2 s’étend et prend en compte la sécurité de l’ensemble de la chaîne d’approvisionnement incluant les sous-traitants, intégrateurs, éditeurs de logiciels. Avec NIS2, les entreprises sont contraintes de mettre en place des mesures techniques, opérationnelles et organisationnelles pour gérer les risques liés à la sécurité des réseaux et des SI sur toute la chaîne d’approvisionnement. 

Loin d’être un handicap, la sécurité informatique représente donc un facteur de différenciation notable que l’entreprise peut mettre en avant dans le cadre de réponses à des appels d’offres et devient ainsi un marqueur de choix pour le décisionnaire.

Dans un contexte où la cybercriminalité ne cesse de croître, toute entreprise doit jouer sur deux leviers de sécurité. Au niveau technique, elle doit s’équiper de solutions de sécurisation des données. Au niveau humain, elle doit  mettre en place les conditions d’information et de formation des employés afin que chacun puisse garantir une manipulation sécurisée des données.