Dans notre monde où le paysage virtuel ne cesse d’évoluer à un rythme sans précédent, les risques toujours grandissants contre la cybersécurité sont plus que jamais réels. Ces risques croissants constituent une grave menace pour votre entreprise, sa réputation et, éventuellement, sa survie.
Notre objectif pour ce mois de juillet 2023 est de nous focaliser sur la sensibilisation à la cybersécurité, qui agit comme une défense fondamentale dans la protection de votre organisation, de ses actifs et de vos clients.
Le chapitre 3 du Rapport mondial 2022 sur les risques est consacré aux dépendances numériques et aux cybervulnérabilités à travers le monde. Les principaux faits saillants correspondent aux résultats alarmants ci-après : une augmentation de 435 % des rançongiciels, et 95 % des problèmes de cybersécurité sont imputables à une erreur humaine.
95 % de tous les problèmes relatifs à la cybersécurité peuvent être attribués à une erreur humaine1
Qu’est-ce que la sensibilisation à la cybersécurité?
En tant qu’initiative à l’échelle d’une entreprise, la Formation de sensibilisation à la cybersécurité a pour objectif d’éduquer les employés sur les différents types de menaces reliées à la cybersécurité qui affectent les comptes des utilisateurs, les appareils, les systèmes et les réseaux de technologie de l’information, et sur la manière de les identifier et de les éviter.2
Une Formation de sensibilisation à la cybersécurité aide les employés à comprendre à quoi ressemblent les cybermenaces, comment elles fonctionnent et comment réagir lorsqu’ils sont confrontés à de telles cybermenaces.
Pourquoi la sensibilisation à la cybersécurité est-elle indispensable ?
Le monde numérique entraîne une multitude de risques, allant des failles ou violations de la sécurité informatique et des fuites de données aux cyberattaques à grande échelle. En tant qu’entreprise, la protection des données confidentielles que vous détenez n’est pas seulement une priorité absolue, mais également une responsabilité primordiale. La première ligne de défense de votre entreprise n’est pas des systèmes de cybersécurité complexes, mais plutôt une équipe professionnelle bien informée, prudente et vigilante.
Grâce à la mise en œuvre de la Formation de sensibilisation à la cybersécurité, vous pouvez produire un pare-feu humain qui protège votre entreprise contre une partie importante des cybermenaces.
Quels sont les sujets à aborder dans un cours de sensibilisation à la cybersécurité ?
Un large éventail de formation de sensibilisation est proposé pour aider les entreprises à renforcer leur culture de la cybersécurité. La norme canadienne sur les contrôles de base de la cybersécurité pour les petites et moyennes organisations exige une formation aux pratiques de sécurité de base, notamment en ce qui concerne les points suivants :
- Utilisation de politiques de mot de passe efficaces
- Repérage des courriels et liens malveillant
- Utilisation de logiciels approuvés
- Utilisation appropriée d’Internet
- Utilisation sécuritaire des médias sociaux.
- Comprendre le paysage des cybermenaces au sein du monde virtuel
Avant d’approfondir les spécificités de la formation, il est sine qua non de comprendre le paysage des cybermenaces et son impact direct sur votre entreprise. Les types de cybermenaces les plus courants comprennent :
- L’hameçonnage : cela se produit lorsque des cybercriminels tentent d’inciter les destinataires à fournir des données confidentielles par l’intermédiaire des courriels et des sites Web apparemment légitimes.
- Le rançongiciel : ce logiciel malveillant refuse l’accès à un système informatique ou à des données jusqu’à ce qu’une rançon soit payée.
- Le piratage psychologique : cela implique la manipulation des personnes pour qu’elles divulguent des informations personnelles et confidentielles.
- Les menaces internes : ces menaces intentionnelles ou accidentelles proviennent de personnes travaillant au sein d’une entreprise, telles que des employés, des anciens employés, des sous-traitants ou des partenaires en affaires. De telles menaces internes peuvent être classées comme étant de nature malveillante ou négligente.
Formation personnalisée de sensibilisation à la cybersécuritéLors de la conception de votre programme de sensibilisation à la cybersécurité, il est important de tenir compte des besoins spécifiques de votre entreprise. Adaptez le contenu de cette formation pour couvrir des domaines importants tels que la gestion des mots de passe, les pratiques de messagerie par courriel et de navigation sur Internet, l’utilisation des appareils mobiles, les risques reliés aux réseaux sociaux, ainsi que la reconnaissance et le signalement des cybermenaces potentielles. Utilisez des exemples réels et des études de cas pour illustrer les dangers et les répercussions d’un mauvais comportement en matière de cybersécurité. Dans ces programmes de formation, il est recommandé d’effectuer une simulation d’hameçonnage, laquelle sera abordée dans la section suivante.
58 % des entreprises signalent que leurs employés ignorent la politique et les directives de cybersécurité3
De nombreux organismes proposent un programme de sensibilisation à la cybersécurité qui va gérer les déploiements des cours et des exercices de simulation. Quelques-uns de ces organismes sont situés au Canada.
Parmi eux, il y a CIRA, un organisme sans but lucratif qui offre un tel service aux petites et moyennes entreprises (PME). Certains d’entre vous connaissent peut-être CIRA en tant qu’organisation qui s’occupe de gérer le nom de domaine .ca au nom de tous les Canadiens et qui travaille à construire un Internet plus fiable pour les Canadiens.
Simulations d’hameçonnage
Il est salutaire de concevoir une approche proactive face aux cybermenaces potentielles. L’une des méthodes les plus efficaces consiste à exécuter des tests périodiques de simulation d’hameçonnage. Ce processus de prévention est utile pour former votre personnel à reconnaître et à signaler rapidement les tentatives d’hameçonnage.
Plusieurs outils gratuits sont disponibles :
- Gophish : il s’agit d’une boîte à outils d’hameçonnage disponible grâce à l’informatique libre. Elle est conçue pour les entreprises et les testeurs d’intrusion. Cette boîte à outils offre la possibilité de configurer et d’exécuter rapidement et facilement des simulations d’hameçonnage et une formation de sensibilisation à la cybersécurité.
- Phishing Frenzy : il s’agit d’une application qui simplifie le processus d’hameçonnage tout en gérant les résultats.
Des ressources de sensibilisation à la cybersécurité?
Certaines ressources offrent d’excellentes plateformes pour éduquer les membres de votre personnel au sujet de la cybersécurité. Ces cours mettent souvent à la disposition des utilisateurs des contenus interactifs et attrayants, ce qui rend l’apprentissage plus efficace. Voici quelques ressources gratuites:
- Pensez cybersécurité est une campagne nationale de sensibilisation publique conçue pour sensibiliser les Canadiens à la sécurité en ligne et les informer des étapes à suivre pour se protéger en ligne (français, anglais).
- Amazon il s’agit d’un jeu-questionnaire interne d’Amazon disponible aux publics (français.et anglais).
- Jigsaw, une entreprise de Google offre un jeu-questionnaire multilingue à propos d’hameçonnage (français.et anglais).
- ISC2 propose un cours de sensibilisation à la cybersécurité dont l’inscription est gratuite (anglais).
- Rogers Cybersecure Catalyst (Toronto Metropolitan University) propose une formation gratuite de sensibilisation pour PME, formation destinée aux dirigeants d’entreprise et au personnel informatique (anglais).
- Le Center for Development of Security Excellence Cybersecurity Awareness offre une série de cours destinés à l’armée américaine et à l’infrastructure industrielle militaire américaine (anglais).
- Cybrary offre un éventail de cours sur la cybersécurité, y compris un cours de sensibilisation à la cybersécurité. Ces cours sont conçus pour aider les entreprises à comprendre et à combattre les risques potentiels reliés au paysage des cybermenaces (anglais).
- SANS Cyber Aces propose des cours en ligne gratuits sur les concepts fondamentaux de la cybersécurité. C’est une excellente plateforme pour accroître la sensibilisation et apprendre les fondements de la cybersécurité (anglais).
Formations et mises à jour régulières
Les cybermenaces ne sont pas stagnantes, elles sont en constante évolution. En tant que telle, votre Formation de sensibilisation à la cybersécurité doit refléter ces changements évolutifs. Assurez-vous que votre équipe soit régulièrement informée des cybermenaces émergentes et des pratiques de cybersécurité. De telles pratiques pourraient inclure des courriels périodiques, des ateliers de travail ou des cours de perfectionnement.
Promouvoir une culture de la cybersécurité
Au-delà des programmes de sensibilisation à la cybersécurité, la promotion d’une culture de la cybersécurité au sein de votre entreprise est primordiale. Il s’agit notamment d’encourager le personnel à s’approprier sa cybersécurité, tant au travail qu’à la maison. Cela implique également de favoriser la transparence et de signaler les cybermenaces potentielles, et de célébrer une culture de conscience de la cybersécurité. L’objectif est de favoriser un état d’esprit axé principalement sur la cybersécurité où chaque personne se considère comme faisant partie intégrante de la solution de cybersécurité mise en place par l’entreprise.
Évaluation et renforcement
Mesurez l’efficacité de votre sensibilisation à la cybersécurité et son impact est crucial pour le bien-être de votre entreprise. Utilisez les évaluations pour jauger la compréhension des membres de votre personnel et identifier les domaines à améliorer. Faites un suivi avec des activités de renforcement afin d’appliquer concrètement les pratiques de cybersécurité apprises durant les sessions de formation, et créer des changements durables qui influencent positivement le comportement de votre personnel.
N’oubliez pas que le coût de la Formation de sensibilisation à la cybersécurité n’est qu’une infime partie comparativement aux dommages potentiels qui pourraient être déclenchés par une faille de la cybersécurité. En fait, investir dans les connaissances de votre équipe en matière de cybersécurité et favoriser une culture de sensibilisation à la cybersécurité est le meilleur investissement que vous puissiez faire pour protéger votre entreprise contre les cybermenaces croissantes.
[1] Le Forum économique mondial a dévoilé que 95% des incidents relatifs à la cybersécurité sont attribuables à l’erreur humaine.
[2] https://www.cyberpilot.io/awareness-training
[3] Rapport Netwrix 2020 sur les cybermenaces