Avec la dématérialisation des processus, l’adoption de bonnes pratiques de cybersécurité est essentielle.
Selon le Baromètre de la fraude et de la cybercriminalité 2021, 2 entreprises sur 3 ont subi au moins une tentative de fraude au cours de la dernière année, et 1 entreprise sur 5 a subi plus de 5 attaques. De plus, une entreprise sur deux a constaté une augmentation de ces attaques suite à la généralisation du télétravail. Dans un contexte de dématérialisation des processus et des documents, de croissance du volume de données et de bouleversement de l’organisation du travail, l’adoption de bonnes pratiques de sécurité est essentielle.
Ce n’est pas seulement la direction de l’entreprise qui peut agir : les employés ont également un rôle à jouer dans la prévention des risques de sécurité. Alors, quelles sont les meilleures pratiques à mettre en place ? C’est ce que nous allons examiner dans notre article.
Cybersécurité : pourquoi est-il important d’impliquer les employés ?
Anticiper les risques et mettre en place les bons outils est la première ligne de défense en matière de cybersécurité. Cependant, nous avons tendance à oublier le rôle essentiel que chaque employé joue dans la protection de l’entreprise contre les risques de cyberattaque. Il est vrai que 90% des cyberattaques réussies impliquent une erreur humaine et que les postes de travail sont la principale source de failles de sécurité. Cependant, une politique de cybersécurité impliquant les employés permet de lutter contre ces failles, de prévenir les risques et de renforcer l’arsenal de protection de l’entreprise contre les pirates informatiques. Ainsi, les employés qui sont suffisamment conscients et informés des risques de sécurité informatique sont les principaux remparts contre les cyberattaques. Pour s’assurer que les employés comprennent l’importance de la cybersécurité, en particulier compte tenu des risques qu’une attaque poserait à l’entreprise (risques financiers, risques pour la réputation, risques importants, etc.), il est essentiel d’intégrer la sécurité et la protection des données dans la culture de l’entreprise. À ce titre, les cyberrisques doivent faire partie intégrante de la culture de risque de l’entreprise et tous les employés doivent comprendre les enjeux. La pleine implication des employés est en effet un moyen efficace de sensibiliser.
Mais il n’est pas question de s’appuyer uniquement sur la théorie, avec l’introduction d’une charte informatique non contraignante, par exemple. La politique de cybersécurité soutenue par les employés doit être ancrée dans la réalité et être basée sur des exemples concrets afin que la réalité des dangers auxquels l’entreprise est exposée soit mieux comprise. Pour y parvenir, toute une série de bonnes pratiques peuvent être mises en place.
Bonne pratique 1 : Sécuriser l’environnement de travail
La sécurité des données doit être au cœur de la politique de cybersécurité de l’entreprise. À cette fin, le Département de la sécurité des systèmes d’information (ISSD) doit donner la priorité à l’utilisation d’outils et d’équipements provenant de l’entreprise et ayant été sécurisés au préalable. À cet égard, il est important de rappeler aux employés que l’utilisation d’outils, de logiciels ou de solutions externes à l’entreprise (ou non validés par celle-ci) doit être évitée, en raison des risques qu’elle comporte.
Un VPN (Virtual Private Network) peut être configuré pour sécuriser toutes les données de l’entreprise, y compris lorsque les employés travaillent à distance. Pour s’adapter aux nouvelles utilisations du travail hybride, la centralisation des données sur un cloud privé pourrait être envisagée. Cet outil permettra à tous les employés d’accéder à leurs données et documents à tout moment, peu importe où ils se trouvent.
Enfin, la DSSI peut également mettre en place un processus de gestion des risques pour signaler les problèmes de sécurité rencontrés par les employés. Cela peut être fait au moyen d’une adresse e-mail spécialement dédiée, qui est connue de tous les employés, ou d’un groupe de discussion interne.
Bonne pratique 2 : Sensibiliser et former les employés
Comme les employés sont généralement les premiers à être la cible de cyberattaques, il est important de les sensibiliser aux risques et aux défis de la sécurité des TI. Pour ce faire, vous pouvez commencer par leur expliquer les multiples conséquences d’une cyberattaque : interruption des activités, atteinte à la réputation, perte de confiance des clients, pertes financières, etc. Toutes ces conséquences auraient un impact direct sur l’activité des employés !
Plusieurs avenues peuvent être suivies pour sensibiliser. En plus de rédiger une charte informatique, qui devrait servir de référence et être portée à l’attention de tous les employés (y compris les plus anciens), l’introduction de cours de formation obligatoires peut être un moyen efficace de sensibiliser les employés.
👉 L’objectif : sensibiliser aux risques que l’entreprise court en matière de sécurité informatique et mettre en valeur les bons réflexes à adopter au quotidien.
Enfin, des exercices pratiques peuvent être mis en place pour faire des questions de cybersécurité un sujet enraciné dans la réalité. Par exemple, l’ISSD peut organiser une fausse campagne d’hameçonnage pour montrer aux employés comment identifier les fausses adresses e-mail et comment se protéger des risques que le phishing pose à l’entreprise : perte ou fuite de données, vol d’identité, pertes financières, etc.
Bonne pratique 3 : Organiser des simulations de cyberattaques
La formation théorique en cybersécurité fournit une base solide, mais elle n’est pas suffisante. Pour impliquer pleinement les employés et les sensibiliser aux risques informatiques, il peut être intéressant d’organiser des simulations de cyberattaques (ou de tests de pénétration), au cours desquelles l’entreprise devra faire face aux conséquences d’une fausse attaque. Ce type d’immersion permet non seulement aux employés de comprendre, d’un point de vue pratique, l’importance de se protéger contre les cyberrisques, mais aussi d’apprendre à réagir lorsqu’une attaque réelle se produit.
Bonne pratique 4 : Mettre en œuvre une politique pour lutter contre l’informatique fantôme
Saviez-vous que 68% des logiciels malveillants proviennent du Cloud et de Shadow IT ?
Shadow IT est un phénomène à grande échelle qui fait référence à un ensemble d’utilisations informatiques qui ne sont pas réglementées et non contrôlées par l’entreprise. Par exemple, il peut s’agir d’un employé qui utilise un logiciel sur son poste de travail qui n’a pas été approuvé par la DSSI. Multipliée par tous les employés de l’entreprise, cette pratique peut rapidement s’avérer dangereuse.
D’où l’importance de prendre des mesures contre Shadow IT, notamment en renforçant la formation et la sensibilisation des employés à l’utilisation informatique, mais aussi en établissant des règles de gouvernance et en leur rappelant régulièrement l’importance de n’utiliser que des solutions validées par la direction des systèmes d’information. L’essentiel n’est pas d’ignorer le problème, mais d’en tenir compte dans la politique de lutte contre les risques informatiques.
Choses à retenir
📌 Il existe plusieurs façons de lutter contre une cyberattaque.
📌 La formation des employés est l’un des moyens de lutter contre une cyberattaque potentielle.
📌 En mettant en œuvre de bonnes pratiques, il est possible de réduire le risque d’être victime d’une attaque informatique.
