Nous avons longtemps pensé que les moyens techniques ne sont pas suffisants pour protéger une entreprise des cyber-menaces. Il est tout à fait possible pour une seule personne de passer outre l'effet de toute une équipe de sécurité de l'information. Dans de nombreux cas, c'est généralement involontaire et le résultat d'un manque de connaissances en matière de cybersécurité, d'une attention distraite ou parce que les menaces ne sont tout simplement pas remarquées. C'est pourquoi de nombreuses entreprises investissent, déjà dans la formation de sensibilisation à la cybersécurité de leurs employés (environ 65 % selon nos données).
Toutefois, des difficultés pourraient surgir à ce stade. La personne qui décide que la sensibilisation des employés à la sécurité est insuffisante ne doit pas, nécessairement, être la même que celle qui est chargée d'organiser la formation. Et bien que la première personne puisse avoir identifié un problème clair, l'autre personne peut même pas savoir ce qu'est une formation de sensibilisation à la cybersécurité, comment les employés sont formés ou pourquoi la formation est nécessaire.
Comprendre le problème
Imaginez que vous ayez été chargé de sensibiliser vos employés à la cybersécurité. Tout d'abord, que signifie réellement la sensibilisation à la cybersécurité ? Pour répondre à cette question, nous avons travaillé avec la société d'études de marché B2B international et rassemblé des informations provenant de 5 000 entreprises du monde entier sur la façon dont les employés comprennent le problème et les conséquences de certains incidents de cybersécurité. Voici ce que nous avons découvert :
Quarante-six incidents dans le passé ont impliqué des employés qui, intentionnellement ou non, ont compromis la cybersécurité de leur entreprise ;
Parmi les entreprises touchées par les logiciels malveillants, 53 ont déclaré que l'infection n'aurait pas eu lieu sans l'aide d'employés négligents, et 36 % blâment l'ingénierie sociale ; c'est-à-dire que quelqu'un a délibérément trompé les employés ;
Les attaques ciblées (y compris le phishing et l'ingénierie sociale) ont été couronnées de succès dans 28 cas ;
Dans 40 cas, les employés ont tenté de couvrir l'incident, ce qui n'a fait qu'augmenter les dommages et la menace pour la sécurité de l'entreprise ;
Près de la moitié des répondants s'inquiètent du fait que leurs employés divulguent par inadvertance des informations sur l'entreprise par le biais des appareils mobiles qu'ils apportent au travail.
Pour lire le rapport de recherche complet (en anglais), veuillez consulter le site. Le rapport fournit des réponses détaillées à la question de savoir pourquoi les gens devraient se préoccuper du renforcement de la cybersécurité.
Cybersécurité - Sensibilisation
La façon dont tout cela fonctionne est, également très importante. De nombreux cours, conférences et ateliers sont disponibles. Mais la formation implique, aussi, un investissement en argent et en temps ; le client doit être sûr que l'effort portera ses fruits.
Considérez, par exemple, le problème que de nombreux incidents sont simplement dissimulé. Vous pouvez réunir vos employés et les sensibiliser à l'importance de signaler les incidents de cybersécurité. Ils répondront probablement qu'ils ont tout compris ; et continueront, ensuite, à dissimuler de tels incidents dans l'espoir d'éviter toute responsabilité.
Une meilleure approche consiste, tout d'abord, à comprendre les motivations de vos employés. Dans de nombreux cas, les employés ont été informés des règles strictes par leur supérieur ou les agents de sécurité, mais personne ne leur a réellement expliqué ces règles. Parfois, les responsables de la gestion et de la sécurité doivent apprendre à expliquer les règles à leurs employés, et pas seulement en théorie.
Savoir ce qu'il faut enseigner
Pour résister aux cyber-menaces sophistiquées, une entreprise doit fonctionner comme un organisme sain composé d'équipes qui assument différentes responsabilités et tâches. Bien sûr, cela signifie que chaque équipe doit connaître des choses différentes. La direction de l'entreprise doit être consciente des risques et avoir une compréhension détaillée du potentiel financier de l'entreprise et des coûts liés à sa réputation. Les responsables d'unités commerciales et les agents de sécurité doivent savoir quand des menaces apparaissent et avoir la capacité de prendre des mesures pour accroître la cyber-résistance. Ils doivent, également, être capables de communiquer de manière appropriée avec le reste de la main-d'œuvre. Pour les spécialistes, la connaissance des menaces est moins importante que la capacité à les éviter.
C'est pourquoi notre approche de la formation comprend la répartition des employés en fonction du domaine de service et de l'activité.
Pour en savoir plus ou réserver une formation pour vos employés, veuillez remplir le formulaire. Nos experts prendront alors contact avec vous.