Vous ne savez pas par où commencer pour vous assurer du respect total des mesures de cybersécurité en vigueur dans votre entreprise ? Vous pensiez distribuer des fascicules d’information à vos collaborateurs dans l’espoir de susciter une prise de conscience sur le rôle crucial de la cybersécurité ?
Misez plutôt sur des stratégies réalistes pour insister sur l’importance de la cybersécurité, mais aussi pour permettre à vos collaborateurs d’intervenir activement sur les pratiques de sécurité informatique de l’entreprise.
1. Sensibilisez vos collaborateurs à l’importance de la cybersécurité
En entreprise, beaucoup de collaborateurs ignorent ce qu’implique la mise en œuvre de stratégies de cybersécurité. Pourquoi auraient-ils intérêt à passer le pas ? Imaginez qu’ils cliquent sur un lien infecté. Il y a fort à parier que les conséquences de ce clic pour le réseau de leur entreprise leur échappent. Aussi, pour aborder la cybersécurité avec vos collaborateurs, l’idéal est de commencer par rendre le sujet « parlant ».
Expliquez-leur clairement l’incidence directe de leurs actions sur la cybersécurité globale de l’entreprise. Lorsque chacun respecte les règles de sécurité, c’est toute l’entreprise qui en bénéficie ; une fois ce point compris, les collaborateurs sont moins enclins à adopter des comportements numériques à risques.
D’après une récente étude réalisée auprès de 500 personnes, deux travailleurs sur cinq auraient cliqué sur des liens ou des pièces jointes inconnus, vraisemblablement sans penser aux conséquences.
Selon un autre sondage Shred-It, plus de 25 % des personnes interrogées omettaient de verrouiller leur ordinateur lorsqu’elles quittaient leur poste de travail et le laissaient sans surveillance. Ce qu’illustrent ces exemples ? La négligence des salariés est un vrai sujet de préoccupation et un problème coûteux pour les entreprises. Il existe cependant des moyens d’en venir à bout intelligemment.
En évoquant en amont le respect des règles de cybersécurité avec les salariés, on cherche à déclencher une prise de conscience sur l’ampleur des répercussions pour l’entreprise de certains choix apparemment sans grande importance.
Les jeux de rôle permettent, à cet égard, d’illustrer l’importance de l’impact, positif ou négatif, de ces décisions anodines. Dans ce genre de débat, les représentants de l’entreprise éviteront que les salariés ne se sentent mis en cause pour les failles de cybersécurité.
Au lieu d’évoquer uniquement les erreurs, il serait préférable que les responsables des actions de sensibilisation à la cybersécurité s’emploient à démonter certaines idées reçues en soulignant la simplicité avec laquelle certaines mesures modestes permettent de renforcer collectivement la cybersécurité.
2. Incluez des formations à la cybersécurité à votre processus d’intégration
La sensibilisation de vos collaborateurs à la cybersécurité passe par un processus complet — et cela étant, le plus tôt sera le mieux. Vous avez donc tout intérêt à inscrire la cybersécurité au programme d’intégration de vos nouvelles recrues.
La stratégie présente de multiples avantages. D’une part, vos collaborateurs constatent d’emblée que la cybersécurité fait partie intégrante de votre culture d’entreprise, et qu’il ne s’agit pas d’un simple ajout pour la forme. D’autre part, ils ont ainsi les moyens de contribuer aux actions de cybersécurité de leur entreprise dès leur prise de fonction.
Généralement, les collaborateurs ont besoin de se sentir valorisés et d’avoir l’impression de participer concrètement à la réalisation des objectifs de leur entreprise. En abordant la cybersécurité dans le cadre de leur programme d’intégration, les nouveaux venus découvrent immédiatement comment contribuer au maintien de la sécurité de tous sur le lieu de travail.
3. Veillez à ce que le management donne l’exemple
Besoin de mettre en place une nouvelle mesure de cybersécurité ou d’améliorer une règle existante ? Vos collaborateurs freineront probablement des quatre fers s’ils sentent que la direction de l’entreprise n’adhère pas autant que les collègues moins haut placés dans la hiérarchie. Pour que la cybersécurité s’ancre fermement dans la culture de l’entreprise, c’est à la direction de la perpétuer.
Pour consolider cette culture de la cybersécurité, les dirigeants doivent être au courant de ce qu’il se passe. Le mieux est d’organiser régulièrement des réunions avec les hauts dirigeants et les membres de l’équipe Cybersécurité. Ensemble, les participants pourront aborder les sujets de préoccupation, célébrer les progrès accomplis et envisager d’autres moyens pour inciter les collaborateurs à adopter les bonnes pratiques de cybersécurité.
4. Assurez-vous que les mesures sont bien comprises et mises en œuvre
Dans l’entreprise, aucun professionnel de la cybersécurité ne peut aveuglément croire que les notions apprises en formation sont appliquées à la lettre, ou presque... L’audit de cybersécurité offre cependant aux entreprises un excellent moyen de faire le point sur leur niveau de protection. Les entreprises sont alors en mesure de déterminer si leurs collaborateurs appliquent ce qu’ils ont appris ou si les marges d’amélioration restent importantes
De nombreuses entreprises, comme celles associées au gouvernement fédéral ou bénéficiaires de fonds publics, doivent se soumettre à certaines vérifications. Elles doivent en effet prouver qu’elles disposent de politiques, de documents, de procédures et de processus correctement définis qui attestent leur respect des normes et le sérieux de leur démarche de cybersécurité. Pour de multiples organisations, ces audits n’ont cependant qu’une visée informative, dans la mesure où ils ne font qu’établir des niveaux de référence.
En dehors de ces contrôles, les entreprises peuvent planifier des exercices de cybersécurité qui offrent à leurs collaborateurs l’occasion de mettre en pratique les compétences acquises lors des simulations. La création de sauvegardes du système et l’utilisation de l’authentification à deux facteurs sont deux moyens qui permettent d’améliorer immédiatement la cybersécurité.
Les exercices confirment la bonne application de ces mesures et donnent aux participants l’occasion de poser des questions pour éclaircir d’éventuelles zones d’ombre. Globalement, en clarifiant les pratiques de cybersécurité, on augmente les chances qu’elles soient intégrées de manière spontanée. Par la suite, l’ensemble de ces pratiques individuelles forme un plan d’action efficace.
D’après les résultats publiés en 2017 sur l’état de préparation des entreprises à la cybersécurité au sein des organismes publics, 68 % des membres du conseil d’administration n’avaient reçu aucune formation à la cybersécurité et aux réflexes à avoir en cas d’incident, et 10 % n’avaient aucun plan pour faire face à une atteinte à la sécurité des données. Ces statistiques sont importantes et illustrent le fait que, sans plan, une entreprise ne peut espérer faire face aux imprévus avec la célérité requise.
5. Apprenez à vos collaborateurs à réagir aux événements suspects
En dotant vos collaborateurs des moyens de respecter les bonnes pratiques de cybersécurité, vous leur permettez de faire, en confiance, les bons choix et de signaler, ou pas, un incident qui leur paraît suspect. Bien souvent, les témoins d’événements étranges se contentent de penser que « quelqu’un d’autre le fera sûrement »… Or, ce n’est pas forcément le cas.
Les organisations doivent donc disposer de processus de signalement intuitifs pour que les événements inhabituels qui touchent à la cybersécurité puissent être remontés rapidement et avec précision. Les équipes affectées à la cybersécurité doivent par ailleurs insister sur le fait qu’elles préfèrent les fausses alarmes au silence de ceux qui craignent d’éventuelles représailles ou d’être mis dans une situation embarrassante.
L’instauration d’un système simple et universel réduit les erreurs et les risques de collectes d’informations incomplètes — ce qui pourrait survenir en cas de multiplication des sources et des méthodes de signalements aux équipes de cybersécurité. Attention aussi à ce que le système de signalement ne génère pas de confusion pour des utilisateurs susceptibles de se sentir dépassés s’ils estiment ne pas posséder les connaissances suffisantes.
6. Ne communiquez pas trop d’informations à la fois
Qui n’a jamais ressenti cet état d’hébétude devant une avalanche de diapositives PowerPoint au moment où notre cerveau semble incapable d’emmagasiner une information de plus sans exploser ?
Aussi, quelles que soient les méthodes employées pour former leurs collègues, les experts en cybersécurité dans l’entreprise doivent faire tout leur possible pour fournir l’information dans des formats digestes.
Courtes vidéos permettant de faire passer un message, séances d’information autour d’un buffet ou plateau-repas convivial au sein de l’entreprise… l’essentiel est que l’information soit distillée au compte-gouttes et en continu.
La préparation à la cybersécurité doit être un processus continu
Aucun professionnel de la cybersécurité ne peut, à un moment donné, décréter que les collaborateurs de l’entreprise sont maintenant prêts et armés à faire face à n’importe quelle cybermenace.
Les conseils évoqués ici n’ont d’utilité que s’ils sont appliqués de façon aussi systématique que d’autres processus classiques en entreprise — comme les demandes de congés ou le pointage des heures de travail.
La respect des règles de cybersécurité doit être abordée de la même manière: tout le monde doit suivre les bonnes pratiques en matière de cybersécurité, car chaque employé a un rôle à jouer lorsqu’il s’agit de protéger la cybersécurité de son entreprise.