Avec la dématérialisation des processus, l'adoption de bonnes pratiques en matière de cybersécurité est essentielle.
Selon le rapport 2021 Baromètre de la fraude et de la cybercriminalité 2 entreprises sur 3 ont subi au moins une tentative de fraude au cours de l'année écoulée, et 1 entreprise sur 5 a subi plus de 5 attaques. De plus, une entreprise sur deux a constaté une augmentation de ces attaques suite à la généralisation du télétravail. Dans un contexte de dématérialisation des processus et des documents, d'augmentation du volume des données et de bouleversement de l'organisation du travail, l'adoption de bonnes pratiques en matière de cybersécurité est essentielle.
La direction de l'entreprise n'est pas la seule à pouvoir agir : les employés ont également un rôle à jouer dans la prévention des risques de sécurité. Quelles sont donc les meilleures pratiques à mettre en place ? C'est ce que nous allons voir dans notre article.
Cybersécurité : pourquoi est-il important d'impliquer les employés ?
Anticiper les risques et mettre en place les bons outils est la première ligne de défense en matière de cybersécurité. Cependant, nous avons tendance à oublier le rôle essentiel que joue chaque employé dans la protection de l'entreprise contre les risques de cyberattaque. Il est vrai que 90 % des cyberattaques réussies impliquent une erreur humaine et que les postes de travail sont la première source de failles de sécurité. Cependant, une politique de cybersécurité impliquant les employés permet de lutter contre ces failles, de prévenir les risques et de renforcer l'arsenal de protection de l'entreprise contre les pirates informatiques. Ainsi, des employés suffisamment sensibilisés et informés sur les risques de sécurité informatique sont les principaux remparts contre les cyberattaques. Pour s'assurer que les employés comprennent l'importance de la cybersécurité, notamment au vu des risques qu'une attaque ferait courir à l'entreprise (risques financiers, risques de réputation, risques matériels, etc.), il est essentiel d'intégrer la sécurité et la protection des données dans la culture de l'entreprise. ), il est essentiel d'intégrer la sécurité et la protection des données dans la culture de l'entreprise. À ce titre, le cyberrisque doit faire partie intégrante de la culture du risque de l'entreprise et tous les employés doivent en comprendre les enjeux. L'implication totale des employés est en effet un moyen efficace de sensibilisation.
Mais il n'est pas question de s'appuyer uniquement sur la théorie, avec la mise en place d'une charte informatique non contraignante, par exemple. La politique de cybersécurité portée par les salariés doit être ancrée dans la réalité, et s'appuyer sur des exemples concrets pour mieux faire comprendre la réalité des dangers auxquels l'entreprise est exposée. Pour ce faire, toute une série de bonnes pratiques peuvent être mises en place.
Bonne pratique 1 : sécuriser l'environnement de travail
La sécurité des données doit être au cœur de la politique de cybersécurité de l'entreprise. Pour ce faire, la Direction de la Sécurité des Systèmes d'Information (DSSI ) doit privilégier l'utilisation d'outils et d'équipements provenant de l'entreprise et préalablement sécurisés. A cet égard, il est important de rappeler aux salariés que l'utilisation d'outils, de logiciels ou de solutions externes à l'entreprise (ou non validés par elle) est à proscrire, en raison des risques qu'elle comporte.
Un VPN(Virtual Private Network) peut être mis en place pour sécuriser l'ensemble des données de l'entreprise, y compris lorsque les salariés travaillent à distance. Pour s'adapter aux nouveaux usages du travail hybride, la centralisation des données sur un cloud privé pourrait être envisagée. Cet outil permettra à tous les salariés d'accéder à leurs données et documents à tout moment, quel que soit l'endroit où ils se trouvent.
Enfin, la DSSI peut également mettre en place un processus de gestion des risques pour signaler les problèmes de sécurité rencontrés par les employés. Cela peut se faire au moyen d'une adresse électronique spécialement dédiée, portée à la connaissance de tous les employés, ou d'un groupe de discussion interne.
Bonne pratique 2 : sensibiliser et former les employés
Les employés étant généralement les premiers visés par les cyberattaques, il est important de les sensibiliser aux risques et aux enjeux de la sécurité informatique. Pour ce faire, vous pouvez commencer par leur expliquer les multiples conséquences d'une cyberattaque : interruption des activités, atteinte à la réputation, perte de confiance des clients, pertes financières, etc. Toutes ces conséquences auraient un impact direct sur l'activité des employés !
Plusieurs pistes peuvent être suivies pour sensibiliser les salariés. Outre la rédaction d'une charte informatique, qui doit servir de référence et être portée à la connaissance de tous les employés (y compris les plus anciens), la mise en place de formations obligatoires peut être un moyen efficace de sensibiliser les employés.
👉 L'objectif : sensibiliser aux risques que court l'entreprise en matière de sécurité informatique et mettre en avant les bons réflexes à adopter au quotidien.
Enfin, des exercices pratiques peuvent être mis en place pour faire des questions de cybersécurité un sujet ancré dans la réalité. Par exemple, la DISS peut organiser une fausse campagne de phishing pour montrer aux employés comment identifier les fausses adresses électroniques et comment se protéger des risques que le phishing fait courir à l'entreprise : perte ou fuite de données, usurpation d'identité, pertes financières, etc.
Bonne pratique 3 : organiser des simulations de cyberattaques
La formation théorique à la cybersécurité constitue une base solide, mais elle n'est pas suffisante. Pour impliquer pleinement les employés et les sensibiliser aux risques informatiques, il peut être intéressant d'organiser des simulations de cyberattaques (ou tests de pénétration), au cours desquelles l'entreprise devra faire face aux conséquences d'une fausse attaque. Ce type d'immersion permet non seulement aux employés de comprendre, d'un point de vue pratique, l'importance de se protéger contre les cyberrisques, mais aussi d'apprendre à réagir en cas d'attaque réelle.
Bonne pratique 4 : mettre en œuvre une politique de lutte contre l'informatique parallèle (shadow IT)
Saviez-vous que 68 % des logiciels malveillants proviennent de l'informatique en nuage et de l'informatique fantôme?
L'informatique fantôme est un phénomène de grande ampleur qui désigne un ensemble d'usages informatiques non réglementés et non contrôlés par l'entreprise. Il peut s'agir par exemple d'un employé qui utilise sur son poste de travail un logiciel qui n'a pas été approuvé par la DSSI. Multipliée par l'ensemble des employés de l'entreprise, cette pratique peut rapidement s'avérer dangereuse.
D'où l'importance de prendre des mesures contre le Shadow IT, notamment en renforçant la formation et la sensibilisation des employés aux usages informatiques, mais aussi en établissant des règles de gouvernance et en rappelant régulièrement l'importance de n'utiliser que des solutions validées par la direction des systèmes d'information. L'essentiel n'est pas d'ignorer le problème, mais de le prendre en compte dans la politique de lutte contre les risques informatiques.
Ce qu'il faut retenir
📌 Il existe plusieurs moyens de lutter contre une cyberattaque.
📌 La formation des salariés est l'un des moyens de lutter contre une éventuelle cyberattaque.
📌 En mettant en place de bonnes pratiques, il est possible de réduire le risque d'être victime d'une attaque informatique.