La cyber-sûreté SI par la sensibilisation
News
09 mars 2023
La sensibilisation des utilisateurs est un pilier majeur de la stratégie de protection des SI : que ce soit pour la remontée des incidents, lorsqu’il s’agit de limiter l’impact des attaques par ingénierie sociale, ou bien pour promouvoir l’utilisation de services de communication sécurisés.
Imaginez que votre programme de développement nucléaire tombe à l’eau parce qu’un employé a branché une clef USB inconnue sur votre centrale ou que vos communications diplomatiques soient interceptées parce qu’un utilisateur a préféré utiliser son téléphone personnel. Toutes ces menaces auraient pu être évitées par un programme de sensibilisation plus ambitieux.
Mettre à la disposition de tous les éléments précis de protection
Pour atteindre ces objectifs, les activités de sensibilisation doivent intervenir à toutes les étapes du parcours d’un utilisateur et dès son arrivée dans l’entreprise.
L’écueil couramment identifié est de s’arrêter à une présentation superficielle de la sécurité aux nouveaux arrivants sans que les informations concrètes et nécessaires ne leur soient communiquées. Si l’utilisateur apprend le nom de l’outil de partage sécurisé mais ne sait pas comment y accéder, on passe à côté de l’objectif : ça va finir sur Wetransfer.
Connaître le point de contact en cas d’incident ou savoir comment utiliser les services de communication sécurisés correspond à ce qu’on attend d’un utilisateur fraîchement sensibilisé.
En pratique, on pourra imaginer distribuer un kit comprenant :
- La charte informatique
- Des fiches réflexes incident avec les contacts d’urgence
- Le support de présentation de la sensibilisation
- Des accessoires sécurité (cadenas, filtre de confidentialité, cache webcam, etc.)
Adapter la sensibilisation aux usages métiers
En plus de fournir un socle commun à tous, la sensibilisation doit prendre en compte les besoins de tous les métiers de l’entreprise.
Par exemple, les utilisateurs ayant accès aux comptes bancaires de l’entreprise devront davantage être sensibilisés aux attaques ciblant ces ressources, notamment les arnaques dites du « changement du RIB fournisseur » ou autre « anarque au président ».
Les profils « système d’information » pourront quant à eux être sensibilisés régulièrement sur les défauts de sécurisation à éviter.
Assurer une sensibilisation pérenne et marquante
Ensuite se pose la question de l’acculturation à la sécurité des utilisateurs au fil du temps.
Non seulement l’enjeu sera de rappeler les attendus et de renforcer les acquis des utilisateurs mais aussi de faire évoluer certaines consignes selon les évolutions du SI et des nouvelles menaces.
Les évènements comme le « Cybermonth », initiative européenne pour la sensibilisation à la sécurité, sont l’occasion d’organiser des activités ludiques tout en transmettant les connaissances sécurité. Des événements immersifs comme les « serious games » peuvent aussi permettre de transmettre aux salariés les bons réflexes en cas de cyber incident. Soyez inventifs en gardant à l’esprit les principes suivants :
- Choisissez des activités qui vont marquer les esprits
- Adaptez les messages à vos interlocuteurs, en fonction des problématiques qu’ils rencontrent au quotidien
- Renouvelez chaque année les activités et les messages à passer selon l’actualité et les priorités courantes
Auteur
Xavier PREISEMANN, Senior Manager Opération
Envie d’aller plus loin à nos côtés ?
Nous vous accompagnons sur l’ensemble de vos problématiques de sécurité, de la mise en place de vos stratégies de protection à leur évolution !
Nous avons hâte de relever vos défis.