Comment bien réussir une campagne de sensibilisation à la sécurité
Ne pas ouvrir un lien provenant d’une source inconnue – la plupart des collaborateurs en sont conscients. Pourtant les attaques de phishing, smishing et autres ingénieries sociales sont en augmentation. Afin que la sensibilisation à la sécurité informatique soit prise au sérieux, il faut aussi qu’elle soit amusante.
Si des pirates informatiques parviennent à leurs fins avec des e-mails de phishing, la nouvelle se répand rapidement dans l’entreprise. Le service informatique parvient souvent à retrouver les collaborateurs qui ont ouvert le courriel de phishing et, pendant un court laps de temps, l’incident est le sujet de toutes les conversations. La sensibilisation à la cybersécurité dans l’entreprise augmente, et redescend presque aussi vite. Il ne reste que quelques collaborateurs honteux, voire rappelés à l’ordre, et tous les autres continuent à faire leur travail comme d’habitude. Jusqu’au prochain incident. Afin d’éviter le prochain – voire le premier – incident, il est crucial d’éveiller les consciences sur la faille de sécurité de type humaine. C’est ici que des programmes de formation en sensibilisation à la sécurité informatique entrent en jeu. Leur but est de maintenir un haut niveau de sensibilisation à la sécurité dans l’entreprise.
« La sensibilisation fonctionne, mais il faut la faire correctement », explique Sascha Maier, expert en cybersécurité et responsable de l’informatique et de la cyberrésilience chez IWC Schaffhausen. « Ce qui est important est que les collaborateurs perçoivent la sécurité de manière positive et non pas comme un blocage. La sensibilisation à la sécurité doit être amusante. »
Qu’est-ce que la sensibilisation à la sécurité (Security Awareness) ?
La sensibilisation à la sécurité est la conscience des collaborateurs pour la sécurité informatique de l’entreprise. Les collaborateurs et le management sont conscients des problèmes liés à la cybersécurité.
Les formations de sensibilisation à la cybersécurité contiennent différentes mesures afin de créer, renforcer et maintenir cette prise de conscience du problème. Ainsi, cela permet de combler durablement la faille de sécurité liée à l’humain et de renforcer la protection contre la cybercriminalité.
Pourquoi la sensibilisation à la sécurité est-elle si importante ?
Les cyberattaques ont le potentiel de paralyser les entreprises pendant une période prolongée. Les données sensibles sont finalement perdues ou atterrissent dans de mauvaises mains. La bonne réputation est rapidement perdue, les partenaires et les clients partent et le dommage financier est élevé.
Lorsque le management perçoit la sécurité comme partie intrinsèque de sa mission de gestion et que les collaborateurs sont sensibilisés, le risque de voir une cyberattaque arriver à ses fins est drastiquement réduit. Les collaborateurs savent alors par exemple comment réagir aux e-mails de phishing et à qui ils peuvent s’adresser au sein de l’entreprise. Ainsi, ils ont eux-mêmes toutes les clés en main pour mettre fin aux agissements des pirates informatiques.
L’augmentation de la sécurité a également un impact sur l’ensemble de l’entreprise : les relations avec les partenaires, livreurs et clients restent empreintes de confiance, la bonne réputation est préservée. Cela contribue également à l’augmentation des affaires.
Les programmes de sensibilisation à la sécurité créent en outre une culture de sécurité durable. Les nouveaux projets informatiques sont plus faciles à déployer, mieux acceptés par les collaborateurs et mieux mis en œuvre.
Qu’est-ce qui fait une bonne formation de sensibilisation à la sécurité ?
Les formations de sensibilisation à la sécurité nécessitent un concept adapté à l’entreprise concernée, une identité propre et une campagne professionnelle. Cela signifie que les formations doivent aller au-delà des attaques de phishing mises en scène et de l’apprentissage en ligne. Il s’agit plutôt de modifier en profondeur et de manière durable la culture sécuritaire dans l’entreprise. « Si les entreprises veulent réellement faire la différence, elles doivent faire un pas de plus et développer une campagne réelle et complète », conseille Sascha Maier. Une campagne de sensibilisation à la sécurité comprend donc aussi, par exemple, un logo et un slogan.
Ce qui est également important, c’est d’impliquer également les collaborateurs des RH et des affaires et d’utiliser tous les canaux de communication disponibles. En effet, si seul le département informatique suit une formation de sensibilisation, il y a un risque que le message ne passe pas auprès de l’ensemble du personnel. Les formations doivent être adaptées à chaque équipe et secteur d’activité et leur parler.
De même, il est primordial que la sensibilisation arrive au bon moment : La semaine précédent la pause estivale, même les meilleurs discours s’effacent rapidement des mémoires. De plus, tous les contenus ne sont pas pertinents pour tous les secteurs : les commerciaux doivent être formés à l’utilisation des données client, ce qui n’est pas pertinent pour les professionnels de la production.
Généralement, il est important pour les collaborateurs que les formations de sensibilisation à la sécurité répondent à la question « pourquoi ». Elles doivent être compréhensibles et avoir une utilité : ce qui est valable pour la sécurité informatique de l’entreprise est également applicable sur les ordinateurs privés.
Comment se déroulent les bonnes campagnes de sensibilisation à la sécurité ?
Ateliers et lancement
Tout commence par un atelier. Les problèmes, les objectifs et les groupes cibles sont ici définis et des partenaires internes et externes sont impliqués. Ainsi, une campagne adaptée à l’entreprise est mise sur pied et le lancement est communiqué à toutes les collaboratrices et tous les collaborateurs. Pour Sascha Maier, « il faut que ça claque et que ça fasse un effet « wow » ».
Communication, information et test
Après le lancement, l’attention sur la cybersécurité est maintenue élevée par une communication supplémentaire, par exemple par des articles dans le magazine de l’entreprise. En parallèle, les experts en cybersécurité testent le respect des directives de l’entreprise et simulent des attaques de l’extérieur. Ces dernières peuvent-être des e-mails de phishing, mais aussi des tentatives d’accès aux locaux de l’entreprise. Cela permet de voir clairement où se situent les potentiels d’amélioration.
Formations
Ensuite seulement commencent les formations. Et ces dernières doivent avant tout être plaisantes. De longues présentations sur la cybersécurité n’ont qu’un effet sur le court terme, si elles ont des effets. Les bonnes formations de sensibilisation à la cybersécurité comportent de l’interaction et du teambuilding ; elles sont novatrices et intéressantes. Elles sont accompagnées d’actions de guérilla : par exemple, des autocollants voyants avec le logo de la campagne sont collés sur le sol dans les couloirs.
C’est très important : les gens apprennent grâce à la répétition. Une formation unique de sensibilisation à la sécurité et une action de guérilla ne sont pas suffisantes. Les contenus doivent être régulièrement répétés. Pour cela, le blended learning, c’est-à-dire le mélange de cours en présentiel et d’e-learning, est également une bonne solution.
Top Secure
Exemple d’une campagne de sensibilisation à la sécurité
Sascha Maier sait par expérience à quel point un bon programme de sensibilisation à la sécurité est important – et comment il fonctionne. Le fabricant de montres IWC Schaffhausen a enregistré entre 2012 et 2014 un très grand nombre d’attaque de phishing et sur son site web.
Le service de sécurité et une équipe interne ont finalement abordé le problème avec le partenaire externe Hewlett Packard Enterprise (HPE). Ils ont développé ensemble une campagne de sensibilisation à la sécurité. Les partenaires du projet ont impliqué tous les secteurs de l’entreprise et se sont entretenus avec les collaborateurs de la production, de la technique, de la construction, de l’accueil, du marketing, de la vente et de la formation. La marque de sécurité d’entreprise « Top Secure » et une équipe de sensibilisation d’entreprise ont ensuite vu le jour.
Lors d’événements, l’équipe a entre autres démontré à quel point il était facile de pirater un ordinateur. Ces actions mettent l’accent sur le plaisir et l’interaction sociale – combinés à un délicieux déjeuner commun (Lunch’n’Learn).
Le concept a porté ses fruits : « Nous recevons aujourd’hui régulièrement des conseils importants de la part de nos collaborateurs pour améliorer la sécurité informatique », explique Sascha Maier.
Depuis, la campagne a même été primée : en 2015, l’Association suisse pour la communication intégrée (ASCI) a décerné la plume d’or au fabricant de montres pour la réussite de cette campagne de sensibilisation à la sécurité. Au niveau européen, la campagne s’est classée deuxième et a été honorée par la Fédération européenne des communications internationales (FEIFA).
La sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires : Grâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise : Apprenez à défendre vos systèmes et protéger vos données : La sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires : Grâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise : Apprenez à défendre vos systèmes et protéger vos données :
Nos formations en cybersécurité