La sensibilisation à la cybersécurité est le dispositif mis en place par les organisations pour former en continu leurs utilisateurs finaux aux bonnes pratiques de sécurité informatique, et limiter ainsi l’impact des cyberattaques.
#TousConcernés

Pourquoi sensibiliser à la cybersécurité?

Plus de 90% des cyber incidents peuvent être attribués à une erreur humaine :

  • Clic sur un lien de phishing,
  • Utilisation – et recyclage ! – d’un mot de passe faible,
  • Téléchargement de fichiers sur un site suspect…
  • … Ou simple navigation sur un site suspect (susceptible d’attaque par « Drive-by-Download »),
  • « Oh, une clef USB par terre, quelle aubaine »

L’humain est une réelle porte d’entrée dans l’organisation.

La sensibilisation à la cybersécurité apparaît donc comme indispensable, et les organisations en sont pleinement conscientes aujourd’hui. En effet, pour contrer l’explosion des cyberattaques, la sensibilisation des utilisateurs est le premier dispositif à être renforcé :

Baromètre CESIN - 81% des clients ont renforcé leur dispositif de sensibilisation utilisateurs

(rapport du CESIN 2022)

Cependant, les programmes mis en place sont-ils toujours efficaces ?

  • Les employés se sentent-ils concernés ?
  • Sont-ils impliqués ? Sont-ils assidus ?
  • Intègrent-ils réellement les bonnes pratiques de sécurité dans leur quotidien ? Et sur la durée ?

En d’autres termes, deviennent-ils un réel rempart contre le risque cyber ?

Aborder le projet sans brûler les étapes

Vous mesurerez l’efficacité de votre programme de sensibilisation par le degré d’atteinte de votre objectif: vos utilisateurs seront devenus votre première ligne de défense contre les cyberattaques, et le resteront, même deux ans après son lancement.

Pour y arriver, il est important d’aborder le projet dans sa globalité, et de ne négliger aucune étape.

Beaucoup d’organisations réduisent le dispositif de sensibilisation au programme de formation des utilisateurs finaux.

Pourtant, rien ne sert de courir…

Avant de s’y lancer à corps (coût) perdu, il est essentiel de partir à point.

Première étape:

Un projet de sensibilisation à la cybersécurité réussi commence… par le haut ! la Direction Générale, les Directions Métiers, les Services. Il est en effet indispensable de s’assurer dans un premier temps que tous les acteurs-clefs de l’organisation ont bien conscience :

  • Des risques de cyberattaques qui pèsent sur leur activité, et de leurs conséquences.
  • De leurs propres responsabilités et donc du rôle qu’ils doivent jouer pour les réduire.
  • Et des moyens nécessaires pour définir et mettre en place une stratégie de cybersécurité efficace, dont la sensibilisation utilisateurs sera un pilier fondateur.

Sensibiliser sa Direction est une étape primordiale pour ne pas faire porter le succès du programme uniquement sur ses employés.

Deuxième étape:

La seconde étape consiste en la création d’un climat de conscience favorable à la sensibilisation.

Ainsi, une fois tous les acteurs impliqués faudra-t-il créer une culture de la cybersécurité au sein de l’entreprise, en établissant un plan de communication interne spécifique, multicanal et permanent, et en le lançant en amont puis en complément du dispositif de formation.

Troisième étape:

Enfin, une fois les deux étapes précédentes validées, le programme de formation en tant que tel pourra être lancé: l’audience sera en effet réceptive et le programme bénéficiera d’un très bon accueil.

Ce dernier devra s’inscrire dans une démarche utilisateur pertinente, avec des thèmes à aborder, tous les jours, en adéquation tant avec leur vie professionnelle que personnelle (utilisation de la messagerie, d’internet, des réseaux sociaux, gestion de ses mots de passe, manipulation de données personnelles…).

Le but étant que chaque personne se sente concernée par les thèmes traités, challengée, et qu’elle y voit les gains non négligeables pour elle-même (pas seulement pour son organisation).

Développons à présent plus précisément chacune des trois étapes présentées.

Étape 1 – Sensibiliser sa Direction

L’objectif de cette première étape est d’accompagner sa Direction Générale et les Directions Métiers dans la prise de conscience:

  • Du risque cyber en général, et spécifiquement dans le domaine d’activité concerné,
  • Du rôle de chacun dans la maîtrise de ce risque, et par conséquent:
  • De la nécessaire implication de TOUS

Cette étape permet de donner sa juste place à la sensibilisation dans la stratégie globale de l’organisation (car non, ce n’est pas la seule responsabilité du RSSI, ou du DSI) et de faire prendre conscience à la Direction Générale des moyens nécessaires (budget, rôle de chaque service) pour avoir une réelle adhésion des employés.

Il est en effet indispensable de s’assurer dans un premier temps que tous les acteurs-clefs de l’organisation soient bien en phase et se sentent concernés par le projet:

  • De l’ampleur des cyberattaques, quelle que soit la taille de l’entreprise et son secteur d’activité
    • Anatomie de la cybercriminalité
    • Risques liés aux usages
    • Exponentialité
  • Des enjeux :
    • Vol de données sensibles / confidentielles
    • Sanctions pécuniaires en cas de non-respect des dispositions du RGPD
    • Arrêt d’activité et conséquences financière directes
    • Conséquences financières indirectes: réputation, perte de clients, cotation en bourse en chute
  • De la nécessité d’une formation construite sur la durée, pour tous les profils
  • Et bien sûr : du budget à engager

Plutôt que de budget, le nerf de la cyberguerre, il s’agira véritablement de considérer le programme comme un investissement car après tout, il sera toujours plus économique d’investir que de perdre une grande partie de ses dossiers/données ou de payer une rançon pour les récupérer

Plusieurs accompagnements sont possibles : de la table ronde formelle, au jeu innovant et interactif mettant chaque intervenant dans la peau d’un RSSI!

Étape 2 – Instaurer une culture de la cybersécurité

L’objectif de cette étape est d’intégrer la cybersécurité comme enjeu majeur au sein de l’organisation, quel que soit son secteur d’activité.

Ceci permettra d’ouvrir le spectre de responsabilité de l’ensemble des acteurs, d’activer leur vigilance qui sera ensuite renforcée lors de la 3e étape: le programme de formation.

Pour créer cette culture de la cybersécurité, un programme de communication interne devra être mené et pourra être décliné sur divers supports :

  • Emailings
  • Affichage
  • Fonds d’écrans
  • Marketing ciblé
  • Objets promotionnels
  • Animations (par exemple: intervention mensuelle « Les mardis de la Cyber »)

Les supports choisis devront faire sens dans le contexte et les habitudes de l’organisation pour que les messages soient passés subtilement mais sûrement.

Étape 3 – Former ses collaborateurs aux bonnes pratiques de sécurité informatique

L’approche de la sensibilisation doit être la plus efficace et ludique possible, avec des thèmes pertinents et du contenu à jour.

La sensibilisation doit se faire sur une durée adaptée, et favoriser l’apprentissage sur des modules court et s’intégrant parfaitement sur une semaine (planning) type d’entreprise.

Nous n’avons pas tous le même niveau de connaissance des risques liés à la cybersécurité, c’est pourquoi le programme intègre différents niveaux de difficulté qu’il sera totalement possible de personnaliser en fonction des différents profils, et ainsi éviter une lassitude dans l’apprentissage.

  • Courbe de l’oubli => Nous perdons plus de 50% de l’information mémorisée après seulement 2 jours, et cette déperdition continue les jours suivant.

Solution => Une formation avec des rappels réguliers dans le temps, pour que chaque information s’ancre de notre mémoire.

  • Gestion de la plateforme simplifiée

La plateforme est très simple à configurer et à utiliser, un accompagnement de 2h par nos services suffit à lancer la campagne de formation auprès de vos services.

  • Outils complétement dans le SAAS

La plateforme a une gestion simplifiée et non intégré dans votre infrastructure car intégralement gérée en mode SAAS. Les formations peuvent être suivies avec une simple connexion internet vers une page Web, et accessible avec n’importe quels appareils, poste de travail, tablette, téléphone mobile.

  • Campagne de phishing (personnalisable)

La plateforme met à votre disposition un ensemble de template déjà réaliser, à modifier ou à créer selon vos besoins, pour que vous puissiez réaliser une campagne totalement personnalisable. La gestion de cette Campagne et elle aussi adaptable, avec le choix de la période de lancement, la durée, la façon dont les Emails sont envoyés.

Côté Admin

  • Lancement de la plateforme (complexité)

Souvent les administrateurs se retrouvent dépassé sur la gestion au quotidien de la campagne de formation.

La plateforme met tout en œuvre pour accompagner les personnes chargées du suivi par l’envoi de rapport régulier avec l’état d’avancement au global ainsi que pour toutes les personnes en formation, et une vision précise (par statistique en autre) des difficultés de chacun sur l’ensemble du parcours de formation.

Tous vulnérables un jour ou l’autre

Etre la source d’une erreur humaine et donc le maillon faible face à une cyberattaque peut arriver à tout le monde. Déconcentration, fatigue, problèmes personnels, penser que cela n’arrive qu’aux autres : tous ces états peuvent amener n’importe quel employé à baisser sa vigilance.

Il est donc essentiel de proposer un programme de sensibilisation qui permette à chacun de vos employés d’acquérir des automatismes ancrés dans leur inconscient, des réflexes aussi efficaces que ceux qu’ils peuvent avoir au volant de leur voiture, ou au guidon de leur moto.

Plus le risque est élevé, plus la vigilance doit être accrue.

Photo créée par rawpixel.com – www.freepik.com