Il existe quelques étapes évidentes pour entretenir la culture de la sécurité sur le lieu de travail, comme apprendre aux employés à ne pas cliquer sur les liens suspects, à ne pas partager leurs mots de passe et à avoir différents mots de passe pour différents comptes. Mais ce n’est que le début.
Une cybersécurité efficace et durable signifie plus que d’enseigner aux gens ses valeurs fondamentales, cela signifie également montrer comment elle peut leur être bénéfique. En tant que professionnels de la sécurité, nous connaissons les implications d’une mauvaise posture de sécurité, mais pas le travailleur moyen. Par conséquent, nous devons partager nos connaissances et les rendre accessibles et faciles à comprendre par les personnes ne faisant pas partie de la sécurité.
Comme mentionné, les employés sont votre première ligne de défense en ce qui concerne les menaces réseau, et l’amélioration de leurs connaissances dans ce domaine empêche non seulement les cyberattaques et les violations de données, mais aide également l’organisation à se renseigner sur les menaces et à y répondre rapidement.
Surmonter les obstacles liés à l’adhésion des employés et des dirigeants, et les faire travailler ensemble en collaboration avec l’informatique et l’équipe de sécurité, bâtira une organisation véritablement cyber-résiliente. Nous savons que ce n’est pas facile, nous avons donc quelques conseils pour vous aider à créer un plan de formation sur la sensibilisation à la sécurité :
1. Commencez par les bases
Nous voyons souvent des organisations sauter les bases. Cela peut créer beaucoup de confusion parmi les employés – les obligeant à commettre des erreurs qui auraient facilement pu être évitées.
Des éléments essentiels comme une politique de mot de passe solide peuvent aller très loin. Les politiques de mot de passe standard créeront une ligne de défense efficace, ce qui rendra les attaquants plus difficiles à pénétrer dans votre système. De plus, l’activation d’un 2FA ajoutera une autre couche de sécurité à la ligne de base et limitera l’accès aux comptes. Une chose importante à noter sur 2FA est que SMS 2FA n’est pas du tout sécurisé et il existe de nombreuses autres options pour activer 2FA dans votre organisation.
À ce sujet, il est également recommandé de limiter l’accès aux données, aux systèmes et les logiciels à ceux qui sont censés les utiliser dans leur rôle. De plus, une fois qu’un employé ne travaille plus avec vous, assurez-vous de mettre fin à son accès afin qu’aucune donnée sensible ne risque d’être exploitée.
Certaines limitations doivent être mises sur le logiciel qui est disponible en téléchargement sur les appareils employés par les employés au cours de leur journée de travail. Avoir une base de données avec des téléchargements sécurisés ira loin pour empêcher l’installation de certains types de logiciels malveillants sur les ordinateurs de travail.
2. Développer une formation engageante et continue sur la cybersécurité
Beaucoup de gens n’aiment pas apprendre. Pour beaucoup d’entre nous, cela nous rappelle les salles de classe où nous avons dû apprendre un tas de choses qui ne nous intéressaient pas, présentées de manière non engageante. Rappelez-vous ce sentiment? Eh bien, il n’y a vraiment aucune excuse pour que la formation en sécurité ressemble le moins à cette expérience.
Imaginez une session de formation obligatoire de 6 mois sur la sécurité était présentée comme une présentation PowerPoint avec un test à la fin. Et devine quoi? Tout comme à l’école, une personne a fait le test, a écrit les réponses et les a transmises au reste d’entre nous. Pensez-vous que nous avons appris quelque chose? Non, je ne pense pas que la plupart d’entre nous aient même lu ce qui était sur ces diapositives. Nous ne faisions que cliquer sur «Suivant».
C’est le plus gros problème avec le type de formation sur la cybersécurité que les employés reçoivent généralement. Si vous avez déjà investi dans la création d’une culture de cybersécurité, rendez la formation engageante et interactive pour vos employés. Utilisez des exemples réels, montrez-leur les effets néfastes d’une mauvaise hygiène de sécurité, mais ne vous arrêtez pas là. Faites-leur savoir à quel point leur rôle est important et comment ils peuvent aider l’ensemble de l’organisation à bien fonctionner.
Rendez-le amusant pour eux. Organisez un concours pour savoir qui repérera d’abord un e-mail de phishing ou un domaine de phishing , partagez avec eux des histoires sur les effets d’une bonne culture de cybersécurité et continuez . Ne leur imposez pas une semaine de formation sur la sécurité une fois par an, faites-en un programme hebdomadaire pour leur rappeler d’être toujours vigilant et de les récompenser pour avoir signalé des bugs ou des menaces.
La pertinence est également essentielle. Personnalisez la formation pour différents départements, car ils ne sont pas tous en contact avec les mêmes menaces, et créez un espace de dialogue entre les départements afin qu’ils puissent partager leurs expériences. Cela conduira à une compréhension plus approfondie de la cyber-hygiène et de ses nombreux composants différents.
3. Utilisez des mesures pour surveiller les comportements après la formation
Faire des jeux et des compétitions amusants une partie de la formation de sécurité engageante vous aidera également à garder une trace de son efficacité . Grâce à des évaluations et des tests rapides et réguliers , assurez-vous que la formation que vous offrez est utile et qu’elle fournit réellement des connaissances concrètes à vos employés. Ces mesures vous montreront jusqu’où vous avez fait pour créer et développer une culture de cybersécurité.
Soyez créatif ! Vous pouvez aller jusqu’à attribuer des points négatifs à ceux qui ne réussissent pas bien; vous pouvez même mentionner les noms de ceux qui ne fonctionnent pas bien. Bien sûr, cette approche ne fonctionne pas dans tous les environnements d’entreprise, vous devrez donc déterminer ce qui convient le mieux à votre équipe et l’adapter à leurs besoins.
4. Aidez-les à signaler facilement les menaces
Il est facile pour les employés de considérer les services informatiques et de sécurité comme des équipes avec lesquelles ils ne sont pas en contact, sauf s’ils ont fait une erreur. La communication doit être ouverte avec tous les départements, et les employés doivent avoir une attitude positive quant à la possibilité de contacter le service de sécurité pour signaler quelque chose ou réagir de manière constructive lorsqu’ils ont fait une erreur.
Cela signifie que les employés doivent reconnaître l’équipe de sécurité comme des personnes avec lesquelles ils peuvent obtenir de l’aide, avec lesquels ils peuvent acquérir une connaissance plus approfondie de leur rôle dans la culture de la cybersécurité, un endroit où ils ne seront pas punis pour leurs erreurs humaines.
Créez des canaux où les employés peuvent facilement contacter des experts en sécurité pour signaler tout ce qu’ils trouvent suspect, poser des questions ou demander une formation supplémentaire en matière de sécurité.
Avantages d’avoir une forte culture de cybersécurité
Personne ne peut prétendre que la cybersécurité n’est pas importante et ne devrait pas être une priorité. C’est encore plus vrai en ce qui concerne les entreprises et la culture qu’elles entretiennent avec leurs employés.
Une culture de cybersécurité forte et résiliente protégera l’organisation contre les cybermenaces et les éventuelles violations de données. Nous sommes conscients que la création d’une bonne formation en sécurité n’est pas un petit investissement, mais ses avantages l’emportent largement sur les conséquences de ne pas en avoir du tout. Gardez à l’esprit le coût moyen d’une violation de données, ainsi que la perte de projets commerciaux et la plus grande vulnérabilité aux attaques futures de votre entreprise.
Une bonne culture de sécurité renforcera également la confiance et la fidélité des clients envers votre marque, car les clients ne veulent pas faire affaire avec une entreprise dont ils savent qu’elle a été violée, où leurs données pourraient ne pas être en sécurité. Une attention appropriée dans ce domaine ne peut que renforcer la réputation de votre marque et les coûts de la formation à la sécurité seront couverts en peu de temps.
Une meilleure réputation de marque vous apportera également de nouvelles entreprises avec des clients qui se sentent en sécurité en travaillant avec une entreprise qui a investi dans la sécurité de leur personnel, de leurs produits, de leurs solutions et de leurs fournisseurs.
Lorsque vous créez une culture de cybersécurité durable sur le lieu de travail, les employés apprennent à comprendre leur rôle dans la sécurité de l’organisation. Ils accepteront la responsabilité et vous aideront à travailler rapidement et efficacement pour éliminer toute menace. Le facteur humain est peut-être le maillon le plus faible des pratiques de sécurité, mais vous pouvez augmenter vos chances contre les cybermenaces en investissant sur vos employés et en faisant de ce maillon le plus fort votre atout.
Référence :
- Africa Cyber Security Culture Conference 2020
- Phishing Attacks: Everything You Need to Avoid Being Phished
Malick ALASSANE,
Analyste en CyberSécurité
