7 conseils pour sensibiliser vos employés à la cybersécurité

Une erreur humaine est vite arrivée. Les employés de l’entreprise sont les maillons les plus faibles en matière de cybersécurité. La menace d’initié (insider threat) est donc fréquente. La protection de votre entreprise contre cette menace est cruciale, car les menaces d’initié ne sont pas anodines : “La menace interne la plus dangereuse ? Le collaborateur innocent qui fait involontairement du tort à l’entreprise”, met en garde Wouter Vandenbussche.

Source : medium.com, 2018

1. Insistez sur vos procédures de sécurité

Votre procédure de sécurité ne fonctionnera pas si tous vos employés ne la connaissent pas. Par exemple, un nombre bien trop élevé de collaborateurs ne signalent toujours pas la réception d’un e-mail suspect et se contentent de le placer dans la corbeille. Des études montrent que plus d’un tiers d’entre eux ne savent pas à qui s’adresser ni comment réagir. La raison ? Ils ne connaissent pas les procédures. Votre première mission consiste donc à attirer leur attention sur les procédures de sécurité.

2. Montrez le bon exemple

Votre campagne sur la cybersécurité sera nettement plus efficace si votre équipe de direction y travaille et y participe activement. Confiez par exemple la présentation de la campagne au directeur ou au CEO. Vos collaborateurs comprendront toute l’importance que revêt la cybersécurité et celle-ci commencera à s’ancrer dans les esprits. Un manager clique sur un lien dans un mail de phishing ? Cela fera rapidement le tour de l’entreprise et décrédibilisera votre campagne.

3. Investissez dans de micro-apprentissages

Pour apprendre à vos employés à gérer la sécurité, évitez les programmes de sensibilisation qui n’en finissent pas. Vous obtiendrez de bien meilleurs résultats si vous organisez plusieurs petites actions ponctuelles par an : campagne d’affichage, aménagement d’un stand dans un endroit central de votre bâtiment… Le suivi de mini-formations permettra à vos employés de maintenir leur vigilance en matière de sécurité. Envoyez par exemple un courrier de temps à autre ou une vidéo de quelques minutes pour savoir comment identifier un mail de phishing, organisez une campagne anti-phishing et envoyez vous-même un mail de phishing pour tester vos employés.

4. Introduisez l’authentification dynamique

Les mails de phishing dirigent souvent vers des pages que l’on peut facilement confondre avec les pages de connexion de nos applications. La gestion des mots de passe est donc primordiale. Cela commence avec l’authentification dynamique par le biais, par exemple, d’une application mobile. Vous déterminez la nécessité d’une authentification supplémentaire en fonction du lieu où votre collaborateur se connecte et de l’appareil qu’il utilise. Cette solution, très simple à mettre en œuvre, a l’avantage de limiter significativement le risque.

Organisez plusieurs fois par an de petites sessions et actions sur la cybersécurité. Vous obtiendrez de bien meilleurs résultats qu’avec une campagne unique de grande ampleur.

Wouter Vandenbussche, Solution Lead Cybersecurity chez Proximus

5. Donnez accès à toutes les applications via une plateforme centrale

Demander à vos employés de changer de mot de passe tous les mois ? Cela n’a pas beaucoup de sens. La plupart se contentent en effet d’ajouter un nouveau chiffre à la fin de leur mot de passe. Il est également fortement déconseillé de choisir un mot de passe différent pour chaque application. La meilleure solution consiste à s’authentifier via une plateforme centrale. Chaque employé dispose ainsi d’une seule identité d’entreprise qu’il peut utiliser sur toutes les applications de la firme. Conformément au 4e conseil, vous devez alors mieux protéger cette identité.

6. Évitez l’usage à titre privé du PC portable professionnel

Avec l’augmentation du travail à distance ou du télétravail, les employés emportent des données ou des appareils de l’entreprise en dehors des locaux de celle-ci. Les smartphones ou PC portables en dehors du bureau sont aussi très vulnérables. Les employés doivent être attentifs à ne pas divulguer d’informations sensibles sur les réseaux sociaux et à ne pas ouvrir de mails de phishing sur leurs équipements professionnels.

7. Instaurez la vigilance face aux comportement suspects

La cybersécurité ne s’arrête pas au phishing. Les organisations criminelles de hackers envoient aussi des espions dans les entreprises. Entraînez donc la vigilance de vos employés. Ouvrir une porte à quelqu’un qui n’a pas de badge ou prêter son badge à un visiteur : cela arrive bien trop souvent et c’est alors la porte ouverte au vol de données. Une personne sans badge visible circule dans un espace sécurisé ? Vos collaborateurs doivent pouvoir l’identifier rapidement !