ven. 18 Août.
Paroles d'experts
Comment sensibiliser voire acculturer vos collaborateurs à la cybersécurité ?
Introduction
A l’ère de la révolution numérique, la cybersécurité est devenue un enjeu central pour les organisations de toutes tailles, publiques et privées – il s’agit même du risque premier pour les entreprises en 2023 selon le Baromètre des risques Allianz.
Les risques et menaces liées aux cyberattaques, de plus en plus sophistiquées, peuvent être la cause de dommages importants qu’ils s’agissent de dommages financiers, juridiques ou réputationnels. Et bien que l’aspect technologique soit parfois impliqué dans la réussite de cyberattaques, dans 90% la faille de sécurité provient avant tout d’une erreur humaine, on parle alors de brain hacking.
C’est pour cette raison que la sensibilisation à la cybersécurité pour une maîtrise réelle des bonnes pratiques en cybersécurité s’adressant aux collaborateurs est devenue essentielle pour protéger les organisations des menaces en ligne.
Pourquoi la sensibilisation à la cybersécurité est un minimum incontournable ?
Beaucoup d’entreprises sous-estiment l’importance des connaissances de base en matière de Cyber-Sécurité. les conséquences importantes et les impacts financiers en découlant rendent indispensable une sensibilisation des collaborateurs en cyber-sécurité. Erium vous propose d’ailleurs son Serious Game efficace, ludique et utilisable en ligne permettant d’éviter les erreurs de base pouvant coûter très cher à votre entreprise. Nous l’expliquons ci-dessous.
Les conséquences des failles de sécurité informatique
Une cyberattaque réussie peut avoir des retombées désastreuses pour une organisation. Parmi ces conséquences on retrouve la fuite de données confidentielles concernant les clients ou partenaires. Ces pertes peuvent entraîner des litiges d’ordre judiciaire, des pertes financières et une détérioration de l’image de l’entreprise (perte de confiance, baisse de réputation).
En outre, les attaques par ransomware qui utilisent des logiciels malveillants cryptent l’accès aux systèmes informatiques moyennant le paiement d’une rançon. Ces attaques perturbent les opérations quotidiennes et entraînent un arrêt des activités, des pertes de revenus et une baisse de la productivité.
Mais les cyberattaques ne se limitent pas aux violation des données et ransomwares ; elles sont multiples et les cyber attaquants ne cessent de redoubler d’effort pour nuire aux organisations et faire du profit. Parmi les attaques les plus communes, on retrouve également l’usurpation d’identité pour accéder à des données confidentielles et abuser de la confiance des collaborateurs pour commettre des fraudes. Ces attaques causent, elles aussi, des dommages financiers et réputationnels aux entreprises.
Les impacts financiers des attaques cyber
Les cyberattaques ont un coût financier important pour les entreprises, qu’il s’agisse de coûts directs (perte voire arrêt de productivité) ou indirects (remédiation, récupération, réputation, nouvelles mesures de sécurité). En France en 2022, le coût total des cyberattaques est estimé à 2 milliards d’euros et les tentatives de cyberattaques concernent plus de 50% des entreprises.
Mais, faire une formation pour sensibiliser les collaborateurs, est-ce suffisant?
Au vu de l’ensemble de ces données, la sensibilisation à la cybersécurité pour protéger les organisations semble essentielle pour se protéger des risques cyber.
Mais avec la révolution numérique et les nouveaux codes et usages, les actions de sensibilisation traditionnelles semblent désuètes. De plus, capter l’attention et maintenir les bons gestes cyber dans la durée chez les collaborateurs est un exercice difficile. Les formations classiques, trop théoriques, sont perçues comme ennuyeuses et leur impact sur le comportement des salariés est limité comme le montre le livre blanc « Sensibilisation cyber : rêve ou réalité ? » effectué par Erium en collaboration avec le Forum des Compétences.
Une sensibilisation interactive, accrocheuse et efficace
Changer l’approche théorique des formations de sensibilisation traditionnelles pour une approche interactive et immersive peut faire la différence. Une plateforme comme Cyber Investigation, permet aux collaborateurs de changer de point de vue en se mettant dans la peau d’un hacker et donc d’intégrer autrement les bonnes pratiques. Une approche ludique et interactive implique davantage les participants et leur permet d’apprendre en s’amusant.
Un programme de formation clair pour se protéger des attaques habituelles
Face aux limites d’une sensibilisation, même efficace, un programme pour aller plus loin est essentiel.
La plateforme Cyber Investigation propose des scénarios réalistes simulant des situations de vie réelles (phishing, fraude au président, ingénierie sociale). Les collaborateurs ont des challenges avec des enquêtes à résoudre où ils sont mis dans la peau d’un hacker.
Les challenges sont complétés par des vidéos et des fiches réflexes et des quizz qui permettent aux managers des systèmes de sécurité informatique de mesurer leur degré de maturité aux bons gestes cyber et de piloter par la suite les mesures de sécurité à mettre en place.
En ciblant des scénarios par risques, les collaborateurs apprennent à repérer les signes d’une tentative de cyberattaque et à prendre les mesures pour se protéger. Les bonnes pratiques comme l’utilisation d’un gestionnaire de mot de passe sécurisé, le signalement de contenu suspect à un correspondant cyber, le respect des procédures de sécurité, l’utilisation d’une authentification à double facteurs sont alors intégrées.
C’est simple : sensibiliser à la cybersécurité est une évidence, passer à l’action et engager les réflexes est l’objectif réel à atteindre !
Comment impliquer les collaborateurs pour des réflexes cyber durables ?
Pour tirer des bénéfices concrets de la sensibilisation à la cybersécurité et passer de la sensibilisation à l’acculturation cyber, il faut réussir à capter et maintenir l’attention des employés de l’organisation.
Pour maximiser la mémorisation des collaborateurs, la learning pyramid nous apprend que la lecture d’un cours théorique permet de retenir jusqu’à 5% des informations quand un entraînement pratique permet d’en retenir près de 75%.
Ce constat pousse à créer un jeu immersif plutôt qu’une simple formation théorique dispensée par un consultant cyber.
Pour impliquer les collaborateurs dans leur sensibilisation en cybersécurité, Erium dans son travail avec le Forum des compétences, a également mis en lumière les points clés permettant un contenu à l’engagement optimal. Ce dernier doit être :
- Humoristique, ludique
- Court
- Concret
- Utile, autant dans la vie professionnelle que personnelle
- Réaliste, avec des mises en situation pratique
- Multimédia
- Récurrent
Les étapes pour commencer à former ses collaborateurs
Pour une acculturation cyber réussie, il est important de suivre quelques étapes clés.
Tout d’abord, l’organisation doit évaluer ses besoins en matière de cybersécurité et identifier ses risques. La plateforme Cyber Investigation permet aux responsables de cibler les parcours utilisateurs selon les risques auxquels ces derniers sont le plus susceptibles d’être exposés.
L’organisation doit ensuite définir des personas (internes et externes) et les différencier selon leurs expositions, leurs comportements et leurs enjeux cyber communs.
En troisième lieu, l’entreprise doit fixer des objectifs avec des actions adaptées au niveau de maturité de l’utilisateur (exemple : faire connaître les risques cyber en les ciblant spécifiquement et renforcés les réflexes associés).
Pour finir, l’organisation doit planifier la mise en œuvre de la formation, une formation obligatoire obtient de meilleurs résultats qu’une formation facultative, puis piloter la formation selon les résultats obtenus.
Surveiller la progression, mesurer le niveau de maturité cyber de ses collaborateurs, écouter les retours d’expérience et piloter de nouvelles actions se sensibilisation cyber sont des actions à mettre œuvre pour une véritable acculturation cyber au sein des organisations.
Cyber Investigation – Le Serious Game pour sensibiliser à la cybersécurité puis entrer dans un véritable parcours de formation
Première plateforme d’acculturation cyber, Cyber Investigation est une plateforme interactive et immersive conçue pour sensibiliser les collaborateurs aux bonnes pratiques en matière de cybersécurité.
Son approche gamifiée permet quatre fois plus de mémorisation cyber qu’une formation classique car les collaborateurs passent à l’action et exercent leurs réflexes cyber sur Internet en se mettant dans la peau d’un hacker (par exemple, ils doivent retrouver les identifiants et le mot de passe grâce à des informations disponibles en ligne).
Disponible en 8 langues, Cyber Investigation est adapté à tous les niveaux de maturité cyber et son programme s’adapte aux différents objectifs et risques cyber et est également personnalisable pour les entreprises.
8 risques majeurs sont mesurés (phishing, compromission des accès, fraude au président, fuite des données, ransomware, etc.) et les KPIs permettent d’améliorer la maturité cyber sur le long terme.
Les bénéfices de la plateforme combinée de sensibilisation et d’acculturation cyber sont multiples :
- Une plateforme qui stimule l’énergie collective, avec une compétition positive et un classement par équipe
- Une plateforme qui permet une meilleure mémorisation des réflexes cyber grâce à l’immersion et l’apprentissage par la pratique
- Une sensibilisation à la sécurité adaptée aux différents profils et à leurs rôles au sein de l’organisation
- Une mesure précise du niveau de maturité et de la persistance des réflexes cyber dans le temps (après 1 mois, 6 mois, 2 ans) grâce à des KPIs définis
- Une expérience personnalisable grâce aux kits de communication 100% personnalisable
Réserver une démo
Nous contacterExemple de bonnes pratiques qui seront respectées après la sensibilisation
Éducation et formation des employés sur les bonnes pratiques de sécurité
A la suite d’une sensibilisation à la cybersécurité prolongée par un vrai parcours de formation, les employés doivent avoir compris et mesuré l’importance de connaître et maintenir les bons réflexes cyber dans la durée.
Ils doivent être sensibilisés aux techniques d’ingénierie sociale comme le phishing ou la fraude au président pour détecter les tentatives de cyberattaques. De plus, ils doivent avoir intégré les procédures de sécurité à respecter en cas de tentative d’attaque cyber (réagir, informer son correspondant cyber, ne pas cliquer).
Enfin, ils doivent être formés aux bons gestes cyber quotidiens qui permettent de renforcer la sécurité en ligne : utilisation d’un gestionnaire de mot de passe, authentification à double facteurs, connexion à des réseaux internet sécurisés, séparation des espaces de stockage professionnels et personnels notamment.
La création d’une culture de la cybersécurité au sein des organisations
Passer de la sensibilisation à la cybersécurité à l’acculturation cyber c’est créer une culture cyber solide, capable de prévenir les incidents et de réagir de manière proactive face aux menaces émergentes.
Florent Skrabacz – Président du groupe Erium
Mais créer une culture cyber ne se limite pas à la mise en place des formations de sensibilisation cybersécurité, c’est également encourager la culture du signalement avec la déclaration des incidents de sécurité et comportements suspects sans crainte de sanctions afin de permettre une réponse rapide. Il s’agit aussi de mettre en place une communication interne régulière sur les politiques de sécurité mises en place et leurs évolutions, d’impliquer la direction dans la promotion de la cybersécurité en temps que priorité stratégique ou encore de créer des évènements à fort impact par exemple lors du mois de la cyber.
Questions – réponses utiles
Quel est le prix d’un parcours combiné de sensibilisation et de formation à la cyber sécurité ?
Pour une formation d’acculturation cyber avec la plateforme Cyber Investigation, plusieurs formules d’abonnement sont disponibles, comptez entre 60 et 20 euros par utilisateur et par an.
Combien de temps dure une formation de sensibilisation à la cybersécurité ?
Les abonnements sont conçus pour durer un an mais il n’y a pas de durée limitée dans la sensibilisation à la cybersécurité, l’important c’est qu’à chaque nouvelle personne engagée c’est une formation continue qui se met en place pour contrer les nouvelles menaces émergentes et les nouveaux modes d’attaque en évolution constante.
Quels avantages d’une sensibilisation à la cybersécurité pour les équipes ?
Les bénéfices d’une formation en cybersécurité sont multiples pour les équipes d’une organisation.
Tout d’abord, avec une meilleure compréhension des menaces et risques liés à la sécurité informatique, les équipes renforcent leur capacité à protéger leur informations et données sensibles, autant dans le cadre professionnel que personnel.
Ensuite, chaque membre se sent impliqué dans la culture cyber de l’entreprise et prend part à la sécurisation de cette dernière, augmentant de facto son engagement dans l’entreprise de façon plus générale.
Cyber Investigation qui met en avant une compétition positive inter-équipes renforce les liens et permet d’accroître le goût du challenge au sein de l’entreprise.
Enfin, l’acculturation cyber permet d’accroître la confiance des clients et partenaires envers les équipes, démontrant leur engagement à protéger l’entreprise et ses données.
Qui organise et monitore la formation ?
La formation est dirigée par les RSSI directement depuis la plateforme à laquelle ils ont accès aux progressions par équipes par risques et depuis laquelle ils peuvent piloter les équipes selon les résultats et mettre en place de nouvelles mesures en matière de cyber.
