Introduction

Dans ce troisième article de notre boite à outil GRC, nous allons faire un focus sur la sensibilisation du personnel à la sécurité de l’information. Sujet complexe, tant les mesures de sécurité peuvent facilement être vues comme des contraintes de production dans l’activité de tous les jours. Cet article explore différentes stratégies pour sensibiliser les employés et renforcer la culture de sécurité au sein de l’entreprise.

Pourquoi la sensibilisation à la cybersécurité est-elle cruciale ?

Vous avez forcément déjà entendu cette phrase : « la plus grande menace en matière de sécurité IT se situe entre la chaise et le clavier ! ». Si l’on s’intéresse à quelques statistiques, on peut s’apercevoir rapidement que cet adage repose sur des faits bien réels :

  • En 2023, 74% des violations de données dans le monde étaient causées par de la négligence humaine (partage involontaire d’informations, clic sur des liens de phishing, etc.) - Verizon’s 2023 Data Breach Investigations Report (DBIR)
  • Plus de 90% des attaques exploitent la négligence humaine - IBM X-Force Threat Intelligence Index 2024

Avec ces chiffres en tête, il devient évident qu’un personnel sensibilisé et formé aux bonnes pratiques de sécurité représente un des leviers de réduction des risques cyber les plus efficaces pour une entreprise. Par ailleurs, sans une prise de conscience collective et une compréhension claire des risques, même les mesures techniques les plus drastiques et poussées sont vouées à l’échec. Elles pourraient en effet être mal suivies, contournées ou créer des tensions nocives pour la cohérence de l’entreprise.

Stratégies de Sensibilisation

La sensibilisation doit être traitée comme un « chantier cyber » complet, comprenant différentes manières d’implémentation, toutes complémentaires les unes des autres. Voici nos recommandations pour une gestion de la sensibilisation efficace et cohérente.

Formation Continue et Interactive

L’ensemble du personnel doit suivre des sessions de formation de manière régulière. Les programmes de formation doivent suivre deux logiques : une logique d’ordre des sessions dispensées, et une logique de public visé.

Ordre des sessions

L’ordre des sessions doit être pensé et réfléchi en amont, afin de garder une cohérence globale. Par exemple, dans le cadre du démarrage d’un projet sécurité global, on pourrait imaginer un programme comme suit :

  • Session 1 : vision globale de la sécurité et projet d’intégration en interne. Cette session parlerait de l’état des lieux de la sécurité dans le monde (exemples d’attaques marquantes, menaces, sources de risques) et de la vision globale de l’entreprise sur le sujet (souhait de montée en maturité, objectifs cibles comme des certifications, moyens pour y arriver, chantiers en cours, etc.).
  • Session 2 : bonnes pratiques à suivre. Cette deuxième session parlerait de l’ensemble des bonnes pratiques sécurité de l’état de l’art. On y discuterait de mots de passe, de vigilance quant aux mails non sollicités, de gestion des postes de travail et terminaux mobiles en déplacement, etc. L’idée ici est de former le personnel sur les comportements de base à adopter dans une optique de première montée en maturité.
  • Session 3 : présentation de la PSSI interne. Si, en parallèle du chantier de sensibilisation a eu lieu un travail de formalisation d’une PSSI, cette troisième session peut être l’occasion de présenter au personnel les documents de ce corpus documentaire et discuter de leur contenu.
  • Session 4 : état des lieux sécurité interne. Cette quatrième session permettrait de communiquer au personnel l’avancement du projet de sécurité au sein de l’entreprise (atteintes des objectifs, reste à faire, effort restant à fournir dans le cadre de certifications, etc.).

Par la suite, les sessions suivantes auront pour vocation de maintenir un niveau de connaissance satisfaisant, de par des rappels et mises à jour réguliers. Par ailleurs, il ne faudrait pas oublier les nouveaux collaborateurs qui s’ajoutent au fur et à mesure du projet. Pour ces derniers, une ou deux sessions de « rattrapage » spécifiques peuvent être envisagées, avant de les inscrire au processus par défaut.

Adaptation aux publics visés

Il est nécessaire de prévoir des sessions spécifiques pour des populations qui peuvent représenter un risque particulier pour l’entreprise. De manière générale, les populations concernés sont au minimum :

  • Les développeurs, sur lesquels reposent le code source des applications utilisées en interne ou vendues aux clients.
  • Les administrateurs, qui disposent de droits avancés pouvant potentiellement créer des dégâts considérables s’ils sont mal utilisés.

Des sessions spécifiques peuvent également être mises en place pour d’autres catégories de personnel, avec par exemple :

  • RH (contrôles des candidats, procédures d’arrivée et de départ, gestion des données à caractère personnel, etc).
  • Commercial et marketing (données pouvant être communiquées et celles plus confidentielles, discours sur la démarche sécurité interne, etc.).
  • Direction administrative et financière (gestion et contrôle des tiers notamment).

Les sessions pourront être interactives pour maintenir l’engagement du personnel. L’utilisation d’exemple d’attaques, de jeux de sensibilisation et de modules e-learning dynamiques permet de rendre la formation plus captivante et mémorable. Enfin, il est fortement conseillé d’inclure dans les sessions de formation des quizz afin de s’assurer de leur bonne compréhension.

Campagnes de Sensibilisation

Les campagnes de sensibilisation à la cybersécurité doivent être prévues et mener régulièrement au sein de l’entreprise. Elles peuvent se présenter sous la forme d’affiches, de newsletters, de vidéos, de séminaires ou de passages physiques des équipes sécurité dans les bureaux par exemple. Ces campagnes doivent être conçues pour rappeler continuellement les meilleures pratiques et les nouvelles menaces potentielles.

Campagnes de phishing

Les tests de phishing réguliers sont un excellent moyen de mesurer l’efficacité de la sensibilisation et de former les employés à reconnaître les tentatives de phishing. Après chaque test, il est crucial de fournir des retours constructifs pour améliorer la vigilance des collaborateurs.

Red Team

La mise en place d’une ou plusieurs missions de Red Team est également un moyen souvent très efficace pour sensibiliser le personnel, en particulier les membres de la direction. Ce type de mission peut être déployé rapidement au démarrage du chantier de sensibilisation du personnel, afin de créer un électrochoc au sein de l’entreprise et entamer une bonne dynamique sur le sujet. Si vous ne savez plus ce qu’est une mission Red Team, nous vous invitons à lire ou relire notre article sur les différentes activités de la sécurité offensive ici : https://www.hackcyom.com/2024/03/petit-precis-securite-offensive/

Toutes ces stratégies de sensibilisation doivent être soutenues par des politiques et procédures claires et facilement accessibles par l’ensemble du personnel, qui doivent notamment comprendre ce qui est attendu de leur part et comment réagir en cas d’incident de sécurité.

Rôle Clé des Responsables de la Sécurité

Les responsables de la sécurité de l’information jouent un rôle central dans la sensibilisation. Ils doivent non seulement élaborer des stratégies et des politiques, mais aussi servir de modèle en adoptant eux-mêmes les meilleures pratiques de cybersécurité. Ils ont également la charge du suivi de la sensibilisation, en s’assurant notamment que 100% du personnel soit bien intégré dans le processus de sensibilisation. Par ailleurs, les responsables de la sécurité doivent se rendre disponibles pour répondre aux interrogations diverses, et promouvoir en permanence la vigilance ainsi que les bonnes pratiques de sécurité.

Conclusion

La sensibilisation à la cybersécurité est un processus continu qui nécessite l’implication de toute l’organisation. En adoptant une approche proactive et en utilisant des méthodes interactives et engageantes, les entreprises peuvent significativement réduire les risques de cyberattaques et renforcer leur posture de sécurité globale. La clé réside dans l’engagement constant et l’amélioration continue des pratiques de sensibilisation.