Dernière mise à jour : 25/09/2024
Mauvaise manipulation ou clic malencontreux dans un email, en sécurité informatique, l’erreur humaine a toujours été l’un des risques majeurs pour la sécurité informatique des entreprises.
En effet, quels que soient les moyens mis en place par les entreprises pour protéger leur système d’information, qu’il s’agisse de moyens préventifs (anti-virus, pare-feux, VPN, gestion des droits d’accès, politique de sécurité informatique) ou de moyens curatifs (PCA, PRA, sauvegardes…) l’erreur humaine reste le maillon faible du système d’information, capable d’être à l’origine d’une fuite de données ou pire, d’une intrusion ou d’une compromission totale de l’informatique de l’entreprise.
Dans cet article, découvrez pourquoi il est important de sensibiliser ses collaborateurs à la sécurité informatique et comment s’y prendre concrètement en 4 étapes.
Nous aborderons les éléments suivants :
- Pourquoi sensibiliser ses collaborateurs à la sécurité informatique ?
- Enjeux de la sensibilisation dans l’entreprise
- Enjeux de la sensibilisation pour le travail à distance
- Comment sensibiliser à la sécurité informatique ?
- Rédiger une charte informatique
- Mettre en place des bulletins d’information
- Mettre en place des formations
- Réaliser des simulations d’intrusion
Pourquoi sensibiliser les collaborateurs à la sécurité informatique ?
Sensibiliser ses collaborateurs à la sécurité informatique procure de nombreux bénéfices :
Sur le plan technique :
- Diminution des risques de compromission du système d’information,
- Diminution du temps d’indisponibilité du SI
Sur le plan légal et juridique :
- Limitation des pertes de données et des conséquences juridiques, RGPD…
Sur le plan financier :
- Diminution des pertes financières associées à ces compromissions
Sur le plan RH :
- Apporte de nouvelles compétences aux employés
- Développe la cyberculture dans l’entreprise
Enjeux de la sensibilisation dans l’entreprise
Il ne fait aucun doute que le facteur humain est l’un des facteurs les plus cruciaux en matière de sécurité informatique pour les entreprises.
- Selon le rapport d’enquête sur les compromissions de données (DBIR) 2024, publié par Verizon, 76 % des compromissions de données sont imputables à des erreurs humaines.
- Selon l’étude Security Awareness Report 2024 par SANS, les employés d’une entreprise sont le principal vecteur d’attaque en matière de menace informatique. Le rapport souligne que la gestion du risque humain est cruciale pour améliorer la posture de sécurité globale d’une organisation.
Fruit d’une analyse de 30 458 incidents de sécurité, dont 10 626 compromissions de données confirmées et portant sur une période entre novembre 2022 et octobre 2023, un rapport publié par Verizon et intitulé « 2024 Data Breach Investigations Report » confirme les difficultés que pose la sécurité informatique pour les salariés.
En effet, selon ce rapport :
- 73% des compromissions ont concerné du phishing ou du pretexting (le pretexting étant une forme de manipulation psychologique permettant au pirate d’obtenir des données confidentielles de la part d’une victime).
- Le vol d’identifiants a été à l’origine de plus de 50% des compromissions
- La compromission d’adresses e-mail professionnelles constitue la deuxième forme la plus courante d’attaque de type ingénierie sociale, près de 25 % de toutes les attaques.
Fait intéressant, le rapport souligne qu’il n’y a pas de différences majeures sur les compromissions au regard de la taille des entreprises. Petites entreprises ou grandes entreprises, toutes sont concernées de la même façon, à la différence près que les grandes structures disposent généralement de moyens de détection plus rapides des compromissions.
Tout ceci montre les enjeux de la sensibilisation des utilisateurs pour les entreprises souhaitant réduire leurs risques informatiques.
Enjeux de la sensibilisation pour le travail à distance
Le rapport “Kapersky Human Factor 360° Report 2023”, intitulé “Redefining the Human Factor in Cybersecurity” met en évidence les risques liés au comportement des salariés et à la sécurité informatique dans le cadre du travail à distance.
En effet, ce rapport présente les informations suivantes :
- en situation de pandémie, le nombre de salariés travaillant à distance a considérablement augmenté,
- 38 % des incidents sont dus à des erreurs humaines accidentelles telles que le téléchargement de logiciels malveillants, l’utilisation de mots de passe faibles, la visite de sites web non sécurisés et le partage de données par l’intermédiaire de systèmes non autorisés.
- Les employés travaillant à distance utilisent souvent des appareils personnels et des applications non approuvées, ce qui peut introduire des vulnérabilités et compliquer la gestion de la sécurité.
Selon un rapport de Tessian intitulé “Understand the mistakes that compromise your company’s cybersecurity”:
- ¼ des personnes interrogées ont admis avoir déjà cliqué sur un email de phishing au travail.
- 43 % des employés sondés ont affirmé être « très » ou « plutôt » convaincus d’avoir fait une erreur au travail ayant des conséquences sur la sécurité, que ce soit pour eux-mêmes ou pour leur entreprise.
- 47 % des personnes interrogées travaillant à domicile ont cité la distraction comme la principale raison pour laquelle elles sont tombées dans le piège du phishing.
À l’évidence, ces chiffres sont également en faveur d’une forte sensibilisation des utilisateurs en vue de réduire les risques informatiques associés au travail à distance.
Comment sensibiliser à la sécurité informatique ?
Différentes étapes peuvent être envisagées pour sensibiliser ses employés à la sécurité informatique.
Rédiger une charte informatique
L’une des premières étapes de la sensibilisation des salariés consiste à mettre en place une charte informatique au sein de la structure.
Une charte informatique est un document précisant les règles et les bonnes pratiques liées à l’utilisation de l’informatique en général dans l’entreprise, qu’il s’agisse :
- des appareils (postes de travail, smartphones, imprimantes),
- des logiciels et applications (logiciels administratifs, logiciels de gestion, application métiers, services en ligne),
- d’internet
- de la téléphonie
- de tout autre usage du numérique (email, accès et partage de fichiers, vidéo-conférences etc.)
Idéalement, la charte informatique couvre également les usages liés au télétravail et à la mobilité (travail à distance, voyage professionnel).
Outre le rappel des bonnes pratiques, la charte informatique comporte généralement un volet juridique, et se doit d’être conforme au Code du Travail et au RGPD.
À noter que dans ce cadre, la charte informatique peut être :
- annexée au contrat de travail
- annexée au règlement intérieur de l’entreprise
- inclus dans les contrats avec les différents prestataires
Nécessitant des compétences techniques et réglementaires, l’élaboration de la charte informatique peut être réalisée à l’occasion d’un audit de système d’information par exemple, ou de la mise en place d’un plan de résilience informatique.
Mettre en place des bulletins d’information
Autre principe essentiel de la sensibilisation des salariés, réaliser une communication, ponctuelle ou récurrente, sur le sujet, par exemple :
- Préparer un guide à destination des nouveaux salariés, pour mettre en place les bons réflexes dès l’entrée dans l’entreprise,
- Fournir des guides ou des brochures officielles, comme le Kit de sensibilisation aux risques numériques édité par Cybermalveillance.fr,
- Proposer son propre bulletin d’information (sous forme d’emailing ou de newsletter par exemple)
Parmi les thématiques essentielles à aborder, on citera notamment :
- Les mots de passe
- Les mises à jour
- L’hameçonnage
- Les rançongiciels
- Les sauvegardes
- Les usages personnels et professionnels
- Les usages en mobilité et télétravail
- Les réseaux sociaux
Dans certains secteurs d’activités, des focus spécifiques peuvent être intéressants. Il est ainsi possible d’aborder la sécurité informatique sous l’angle du secteur public ou du secteur privé, traiter des spécificités de la protection des données critiques / données de santé, ou encore, présenter le poste de DPO lorsque ce poste est obligatoire pour la structure dans le cadre du RGPD etc…
Mettre en place des formations
Si nécessaire, la formation continue est une étape possible de la sensibilisation informatique des salariés. Éligibles au budget de la formation professionnelle, ces formations peuvent ainsi contribuer à l’amélioration continue de votre entreprise et à sa cyber-résilience.
En présentiel ou à distance, les formations peuvent aborder tous les aspects de la sécurité informatique en entreprise :
- postes de travail, risques internet, travail à distance…
- bonnes pratiques et usages (mises à jour, sauvegardes…)
- mais aussi, les comportements à adopter en cas de situations imprévues (usurpation d’identité, comment réagir en cas d’attaque informatique, rattraper une information divulguée…)
Réaliser des simulations d’intrusion
La dernière étape de la sensibilisation informatique, c’est de vérifier par la preuve que vos employés sont prêts ou qu’ils ont bien adopté les gestes que vous leur avez recommandés ! Il est possible de mettre en place des simulations d’intrusion ou de phishing, dans le but de mieux préparer votre personnel à ces éventualités.
Chez Déessi, nous vous proposons plus spécifiquement des tests d’intrusion à réaliser en black box (sans information de votre part, dans une situation proche de la réalité) ou en white box (en collaboration avec vos ingénieurs informatiques). Découvrez notre méthodologie de test d’intrusion ici
Vous souhaitez être accompagné dans le développement de la sensibilisation à la sécurité informatique de vos salariés ? N’hésitez pas à nous soumettre directement votre besoin.