Sécurité IT : impliquez vos collaborateurs à trois niveaux
Publié le 04/08/2023 dans Tech, trucs & astuces
Considérés comme des maillons faibles par les cybercriminels, les collaborateurs d’une organisation restent leur cible privilégiée. “Pourtant, les stratégies de sécurité IT modernes cherchent à en faire les maillons forts.”
L’intelligence artificielle change tout
La sécurité informatique fait plus que jamais partie des grandes priorités des entreprises. Encore plus depuis qu’une nouvelle réglementation leur impose davantage d’efforts en la matière. À juste titre : les cybercriminels redoublent d’ingéniosité pour duper leurs victimes, les prendre en otage ou dérober leurs données. “L’intelligence artificielle change tout, y compris dans ce contexte”, insiste Bart Callens, product manager security chez Proximus. “Imaginez un message vocal de phishing, dans lequel l’intelligence artificielle imite la voix d’une de vos connaissances.”
Distinguer le vrai du faux devient un vrai parcours du combattant. “Heureusement, on peut aussi utiliser l’intelligence artificielle pour se protéger de ces attaques.” Une organisation ne doit pas considérer la cybersécurité comme un ensemble d’outils ou un exercice ponctuel, mais comme une partie intégrante de sa gestion. Bart Callens : “Pour y parvenir, la politique en la matière doit reposer sur trois piliers : la sensibilisation, le comportement et la culture.”
Il ne faut pas seulement pouvoir identifier un e-mail de phishing, il faut aussi adapter son comportement.
Bart Callens, product manager security chez Proximus
Sensibilisation
L’époque des formations classiques à la cybersécurité est révolue. “Toutes ces procédures à sens unique ne fonctionnaient pas très bien”, explique Bart Callens. “Pour vraiment sensibiliser les gens, il faut miser sur l’interaction. Mieux vaut opter pour des modules de formation courts et les répéter régulièrement que pour une formation unique d’une journée.”
Il convient en outre de mettre en pratique les connaissances acquises. “La gamification peut faire la différence à ce niveau. Le contenu n’est pas tout, il y a aussi la manière de le transmettre. Autrement dit, il faut communiquer d’une manière qui reflète la culture d’entreprise et qui permette de retenir les informations le mieux possible.”
Comportement
Si la sensibilisation est un pilier important, ce n’est pas pour autant le seul. “Ce n’est pas parce que l’on est conscient du danger que l’on sera forcément prudent”, nuance Bart Callens. Les chiffres le confirment. “Les campagnes basées sur le phishing par e-mail ont souvent un taux de réussite élevé : jusqu’à 32 % des destinataires ne se rendent pas compte qu’il s’agit de phishing.”
Après une formation destinée à les sensibiliser, ce chiffre passe à 5 ou 6 %. Ce qui signifie que bien qu’elle ait conscience des risques sur le moment même, une personne sur vingt ne change pas de comportement. “C’est compréhensible, car les auteurs de ces attaques jouent sur les émotions des gens”, estime Bart Callens. Quand on reçoit un e-mail urgent de son grand patron ou un message qui indique que l’on doit immédiatement confirmer ses données, la réaction logique est de ne pas se méfier. “Il faut donc impérativement être capable de reconnaître ces situations et d’adapter son comportement.”
Les collaborateurs des PME sont aussi dans le viseur des cybercriminels.
Bart Callens, product manager security Proximus
Culture
Les cybercriminels jouent sur le profil psychologique de leurs victimes. Il est donc important d’en être conscient, de savoir qu’il y a un danger. Même chose pour le comportement : il faut réagir correctement une fois ce danger identifié. “Pourtant, des problèmes se posent encore souvent”, regrette Bart Callens. “Le troisième pilier – la culture – est donc tout aussi indispensable.” La sécurité informatique est en effet une composante essentielle de la culture d’entreprise globale.
Un exemple en illustre tout l’intérêt. “Imaginez qu’un collaborateur ouvre une pièce jointe malveillante ou un lien suspect, et ne se rende compte qu’après coup qu’il a fait une erreur. Dans une entreprise qui a une vraie culture de la cybersécurité, ce collaborateur signalera l’incident le plus rapidement possible. Si nécessaire, l’équipe IT pourra intervenir immédiatement.” En l’absence d’une telle culture, le collaborateur en question risque de faire comme si de rien n’était. Peut-être parce qu’il n’est pas suffisamment sensibilisé, mais peut-être aussi par honte ou par crainte d’un jugement négatif.
CISO (as a service ou non)
“Cet exemple montre parfaitement la manière dont ces trois piliers se complètent”, poursuit Bart Callens. “Il faut avoir conscience des dangers et y réagir correctement, ce qui, en fin de compte, contribuera à renforcer la culture de la cybersécurité.” Dans une grande entreprise, c’est au CISO (Chief Information Security Officer) de mettre en place et de faire appliquer les procédures en la matière. “Les PME n’ont souvent pas les moyens d’avoir un CISO, alors qu’elles sont visées.”
Le CISO as a service peut résoudre ce problème. “Sur le marché du travail, la cybersécurité est un secteur où les profils sont rares”, conclut Bart Callens. “C’est certainement le cas des CISO. Pourtant, ils peuvent aussi faire la différence pour les plus petites entreprises, même si elles n’en ont souvent pas besoin à temps plein. Engagé as a service, ce spécialiste peut jouer un rôle déterminant dans la réalisation de l’objectif ultime de la politique de sécurité : faire de chaque collaborateur un maillon fort.”
350 professionnels de la cybersécurité se tiennent à votre disposition pour vous conseiller. Ils vous aideront à définir votre politique en la matière et à mettre en œuvre les solutions que vous aurez choisies
Bart Callens est product manager security chez Proximus.
Experts
Nos experts vous tiennent au courant des dernières nouvelles et tendances pour les professionnels de l'ICT.