Créer une culture de la cybersécurité : apprenez à vos collaborateurs à « hameçonner le phishing »

En 2020, 74 % des organisations américaines déclaraient avoir fait face à une tentative de phishing. Alors que les ransomwares font de plus en plus les gros titres des médias et que le travail à distance s’installe, il est fondamental pour les entreprises d’implémenter des plans d’action pour sensibiliser leurs employés aux questions de cybersécurité. Les attaques de phishing peuvent mettre les entreprises et les personnes dans des situations périlleuses.

Le mot « phishing » (ou hameçonnage) est un terme générique communément utilisé pour désigner une typologie d’attaques. Néanmoins, la catégorie générale dans laquelle s’inscrit le phishing est appelée ingénierie sociale. Ces cybercriminels exploitent la nature humaine afin de manipuler une personne pour qu’elle entreprenne une action spécifique. Le phishing fait référence au type d’ingénierie sociale le plus courant : des e-mails frauduleux envoyés à une large audience.

L’idée est de lancer un large « filet » avec un appât simple : une fausse communication qui copie souvent le style d’un individu ou d’une marque. Le phishing fonctionne parce qu’il s’appuie sur des réactions humaines basiques (curiosité, imprudence, peur de rater une information) et les fraudeurs savent comment les exploiter à leur avantage. Ils vous appâtent avec un e-mail, un SMS, un appel téléphonique ou un message sur les réseaux sociaux. Puis, ils vous attirent avec un lien piégé ou une pièce jointe infectée et effectuent alors leur prise : ils volent des identifiants de connexion ou compromettent un système informatique.

Beaucoup d’entreprises tentent d’instaurer une culture de la cybersécurité et de sensibiliser leurs employés au phishing en jouant sur la peur. Cependant, cette stratégie risque d’agacer vos collaborateurs ou pire, de créer du ressentiment contre le service informatique. Cela peut même causer une anxiété telle qu’ils ne voudront plus cliquer sur un lien ou une pièce jointe – même dans les cas importants. Sur le long terme, s’appuyer sur la peur n’est pas une bonne stratégie pour construire une culture de la cybersécurité efficace. Les services des ressources humaines devraient s’assigner la mission de construire une culture de la sécurité responsable et sans reproche, grâce à laquelle chaque collaborateur a le sentiment de contribuer à un objectif partagé.

Créer une culture de la cybersécurité

Dans un scénario de culture de la cybersécurité efficace, les collaborateurs comprennent le rôle qu’ils ont à jouer dans la protection des données et des ressources informatiques de leur entreprise. Ils prennent activement part aux conversations autour de la sécurité. Ils ont également accès à tous les outils dont ils ont besoin pour adopter de bonnes habitudes de sécurité sans impacter leur travail. Une culture exempte de tout reproche ne signifie pas sans aucune responsabilité. Plutôt que d’utiliser un modèle punitif, cependant, il faut trouver d’autres façons de motiver vos salariés à suivre les politiques de sécurité et à se créer des habitudes solides. Par exemple :

• Ne  créez pas de crainte chez vos employés en les menaçant de licenciement pour être tombés à plusieurs reprises dans le piège de phishings simulés ;
• Implémentez  un système de parrainage qui désigne un pair pour devenir l’expert en cybersécurité au sein d’une équipe ou d’un service ;
• Demandez  à vos collaborateurs de ne pas réutiliser leurs mots de passe et de ne pas les écrire sur de simples feuilles de papier ;
• Fournissez à vos collaborateurs tous les outils et ressources nécessaires, comme un gestionnaire de mots de passe, pour qu’ils puissent utiliser et gérer des mots de passe forts.

Une étude récente menée par Dashlane et Harris Poll a montré que 79 % des salariés considèrent avoir une responsabilité personnelle dans la sécurité globale de leur entreprise. Les collaborateurs veulent prendre part à la résolution des problèmes, et les sociétés doivent leur montrer le rôle qu’ils ont à jouer.

Implémenter un programme de sensibilisation à la cybersécurité

L’augmentation des attaques de phishing est préoccupante. Cependant, en éduquant et formant vos salariés, vous leur donnerez les connaissances suffisantes pour éviter de mordre à l’appât. Des formations efficaces et un programme de sensibilisation doivent mettre en avant les raisons pour lesquelles la sécurité est importante et l’affaire de tous au sein de votre entreprise. Par ailleurs, l’entreprise doit également expliquer comment les cybercriminels procèdent et quelles actions peuvent être mises en place au quotidien par les employés pour renforcer la sécurité de l’organisation.

Conduire des campagnes de simulation d’attaque

Pour aider vos salariés à reconnaître les tentatives de phishing et les actions à risque par le biais d’expériences directes, prêchez par l’exemple avec des tests de phishing fictifs. Les fraudeurs n’ont peut-être pas une orthographe parfaite, mais ils excellent dans la compréhension de la psychologie et des comportements humains. Et ce sont des chercheurs méticuleux. En mettant régulièrement en place des campagnes de simulation, vous contribuez à renforcer les connaissances de vos collaborateurs en la matière et à élever le niveau de sécurité de votre entreprise.

Par ailleurs, non seulement ces tests servent de mise en pratique pour les salariés, mais ils permettent également de mesurer le taux d’ouverture des e-mails, le nombre de clics sur les liens et les pièces jointes, ainsi que le nombre d’actions finalisées (par exemple, saisir ses identifiants de connexion). Vous pouvez utiliser ces données pour estimer l’efficacité de votre programme au fil du temps et identifier les zones qui nécessitent davantage de pédagogie et de sensibilisation.

Booster ses défenses avec des outils et processus supplémentaires

L’éducation et la sensibilisation responsabilisent, mais vous devrez toujours fournir des outils et implémenter des stratégies qui soutiennent et promeuvent les bonnes pratiques en matière de sécurité. Formez vos salariés à l’identification et au signalement des incidents de sécurité et des menaces potentielles, parmi lesquels le phishing. Créez une adresse e-mail spécifique et/ou un canal dédié où vos collaborateurs pourront s’adresser aux responsables.

Plus particulièrement, les entreprises doivent aussi former leurs employés à reconnaître les tentatives de phishing et d’ingénierie sociale. Utiliser un gestionnaire de mots de passe et mettre en place des systèmes d’authentification multi-facteurs améliorera également le niveau de sécurité général. La cybersécurité concerne autant les individus que la technologie. Les entreprises ont besoin d’éduquer l’ensemble de leurs employés et de leur fournir des outils qu’ils pourront utiliser, dans le but de leur simplifier la vie au bureau comme à la maison. Voici quelques astuces pour repérer une tentative d’hameçonnage :

• Inspecter l’objet de l’e-mail pour repérer une urgence, une tactique d’intimidation ou une proposition alléchante ;
• S’assurer que l’adresse e-mail correspond bien au nom de l’expéditeur et/ou de la société ;
• Repérer une mauvaise orthographe ou une syntaxe inhabituelle/étrange ;
• Ne pas se laisser berner par la personnalisation du message : les fraudeurs peuvent aussi connaître des détails personnels ;
• Adopter des technologies de sécurisation du poste de travail, de vos e-mails et un gestionnaire de mots de passe.

Beaucoup d’entreprises améliorent leurs technologies et processus de sécurité pour rendre la tâche plus compliquée aux cybercriminels. Mais les attaquants continueront toujours à trouver de nouvelles façons d’attirer les individus dans leurs filets via de l’ingénierie sociale. Votre meilleure défense est donc de vous préparer à l’inattendu et de responsabiliser vos collaborateurs grâce à des connaissances actualisées, des outils appropriés et une sensibilisation continue. Les entreprises ne pourront réussir à instaurer une culture de la cybersécurité que si tout le monde se sent concerné. La cybersécurité n’est pas seulement l’affaire du service IT et des employés ayant des connaissances avancées en informatique. Les services des ressources humaines doivent sensibiliser les employées aux questions de cybersécurité en s’appuyant sur des formations et outils efficaces, et non sur la peur.