Les salariés demeurent le premier rempart contre les cyber attaques : l’ANSSI met à leur disposition un kit de sensibilisation à la cyber sécurité.
Le sujet n’est pas nouveau mais reste malheureusement d’actualité : les salariés sont des cibles privilégiées pour les pirates informatiques, leur permettant d’atteindre et de corrompre les ressources des organisations.
L’erreur humaine au cœur des incidents de sécurité
Deloitte estime que 63% des incidents de sécurité en 2018 proviennent d’un collaborateur faisant partie des effectifs des organisations touchées. Si dans quelques cas, l’origine est malveillante avec pour motif la vengeance ou le vol de données, la cause accidentelle se révèle la plus fréquente.
Comme pour les autres risques internes, qui incluent les ex-collaborateurs et les fournisseurs, le procédé reste toujours le même. Les pirates informatiques cherchent tout d’abord à acquérir des privilèges, c’est pourquoi ils ciblent en premier lieu des salariés avec des droits limités grâce à l’ingénierie sociale, des campagnes de phishing ou des arnaques au faux support technique. Les pirates vont alors récupérer des informations d’authentification ou procéder à du hachage de mots de passe pour se déplacer sur le réseau et accéder aux différents systèmes.
Nécessité de former ses salariés à la cyber sécurité
Depuis les attaques de grande ampleur de type Wannacry ou Petya, NotPetya et l’entrée en vigueur du RGPD, les entreprises ont pris conscience de la nécessité de sensibiliser en continu leurs salariés. Selon Deloitte, 75% d’entre elles affirment avoir pris des mesures de sécurité supplémentaires suite à une cyber attaque. La première d’entre elles est la formation et la sensibilisation des employés à 56%.
“Une bonne politique de gestion de la cybersécurité pour une entreprise reposera sur l’implication du management pour définir les rôles et responsabilités adéquats mais aussi pour initier les programmes de sensibilisation et formation des collaborateurs” indique Deloitte.
Une version enrichie du kit de sensibilisation sur Cybermalveillance.gouv.fr
L’ANSSI a ainsi mis a disposition dès 2018 un kit de sensibilisation élaboré par le groupement d’intérêt public ACYA. A sa sortie, ce dernier a été demandé par plus de 4700 entreprises, dont 60% de PME.
La version complète, sortie en 14 juin 2019, aborde au total neuf thèmes et s’appuie sur la complémentarité des contenus, l’interactivité et la mise en situation.
6 thèmes autour des bonnes pratiques :
– Les mots de passe
– La sécurité sur les réseaux sociaux
– La sécurité des appareils mobiles
– Les sauvegardes
– Les mises à jour
– La sécurité des usages pro-perso
3 thèmes autour des attaques :
– L’hameçonnage (ou phishing)
– Les rançongiciels (ou ransomware)
– L’arnaque au faux support technique
Ces derniers sont déclinés en différents supports sur une plateforme au design soigné : fiches pratiques, vidéos, mémos, bande dessinée, poster, quiz, autocollants… le tout sous licence ouverte (Etalab 2.0).
« Le choix fort de la licence ouverte permet par ailleurs à chacun d’adapter le contenu à son environnement spécifique » déclare Jérôme Notin, Directeur général du dispositif Cybermalveillance.gouv.fr.
L’acquisition des connaissances et les réflexes des salariés devront être évalués par des tests réguliers et des mises en situation immersives.
En parallèle de ces formations et évaluations, l’application du principe du moindre privilège, la mise en place de solutions de prévention et de détection robustes restent essentielles pour faire face aux erreurs humaines.
Vous pouvez télécharger le kit de sensibilisation gratuitement sur le site cybermalveillance.gouv.fr.
Catégories