Mauvaise manipulation ou clic malencontreux dans un email, en sécurité informatique, l’erreur humaine a toujours été un des risques majeurs.

En effet, quels que soient les moyens mis en place par les entreprises pour protéger leur système d’information, qu’il s’agisse de moyens préventifs (anti-virus, pare-feux, VPN, gestion des droits d’accès, politique de sécurité informatique) ou de moyens curatifs (PCA, PRA, sauvegardes…) l’erreur humaine reste le maillon faible du système d’information, capable d’être à l’origine d’une fuite de données ou pire, d’une intrusion ou d’une compromission totale de l’informatique de l’entreprise.

Dans cet article, découvrez pourquoi sensibiliser ses collaborateurs à la sécurité informatique et comment s’y prendre concrètement en 4 étapes.

Nous aborderons les éléments suivants :

  • Pourquoi sensibiliser ses collaborateurs à la sécurité informatique ?
    • Enjeux de la sensibilisation dans l’entreprise
    • Enjeux de la sensibilisation pour le travail à distance
  • Comment sensibiliser à la sécurité informatique ?
    • Rédiger une charte informatique
    • Mettre en place des bulletins d’information
    • Mettre en place des formations
    • Réaliser des simulations d’intrusion

Pourquoi sensibiliser les collaborateurs à la sécurité informatique ?

Sensibiliser ses collaborateurs à la sécurité informatique procure de nombreux bénéfices :

Sur le plan technique :

  • Diminution des risques de compromission du système d’information,
  • Diminution du temps d’indisponibilité du SI

Sur le plan légal et juridique :

  • Limitation des pertes de données et des conséquences juridiques, RGPD…

Sur le plan financier :

  • Diminution des pertes financières associées à ces compromissions

Sur le plan RH :

  • Permet de répondre à une demande formulée par les collaborateurs eux-mêmes (selon une étude réalisée par istorage, 9 employés sur 10 seraient demandeurs.
  • Apport de nouvelles compétences aux employés
  • Développement d’une cyberculture dans l’entreprise

Enjeux de la sensibilisation dans l’entreprise

Selon le rapport d’enquête sur les compromissions de données (DBIR) 2021, publié par Verizon, 85 % des compromissions de données sont imputables à des erreurs humaines.

Fruit d’une analyse de 29 207 incidents de sécurité, dont 5 258 compromissions de données confirmées et portant sur une période entre novembre 2019 et octobre 2020, le rapport Verizon confirme les difficultés que pose la sécurité informatique pour les salariés.

En effet, selon ce rapport :

  • 36% des compromissions ont concerné du phishing (contre 25% l’an passé)
  • Le vol d’identifiants a été à l’origine de 61 % des compromissions
  • La compromission d’adresses e-mail professionnelles constitue la deuxième forme la plus courante d’attaque de type ingénierie sociale, les impostures et usurpations d’identité connaissant une hausse 15 fois plus importante que l’an passé.

Fait intéressant, le rapport souligne qu’il n’y a pas de différences majeures sur les compromissions au regard de la taille des entreprises. Petites entreprises ou grandes entreprises, toutes sont concernées de la même façon, à la différence près que les grandes structures disposent généralement de moyens de détection plus rapides des compromissions.

Tout ceci montre les enjeux de la sensibilisation des utilisateurs pour les entreprises souhaitant réduire leurs risques informatiques.

Enjeux de la sensibilisation pour le travail à distance

Un rapport Kapersky intitulé “”How COVID-19 changed the way people work” et paru en 2020 met en évidence les risques liés au comportement des salariés et à la sécurité informatique dans le cadre du travail à distance.

En effet, ce rapport présente les informations suivantes :

  • En situation de pandémie, le nombre de salariés travaillant à distance a considérablement augmenté,
  • Près de 57% des salariés à distance n’ont pas bénéficié du matériel de leur entreprise,
  • 73% des employés de TPE/PME n’ont reçu aucune instruction sur les mesures de sécurité informatique à prendre pour travailler depuis leurs appareils personnels.

Autres faits présentés dans le rapport :

  • 27% des répondants ont affirmés avoir reçu des emails malicieux relatifs au Covid-19 pendant le travail à distance,
  • 42% ont admis utiliser leur email personnel à des fins professionnelles,
  • 53% des utilisateurs ont utilisé des services non autorisés par l’entreprise a pour le partage de fichiers professionnels,

À l’évidence, ces chiffres sont également en faveur d’une forte sensibilisation des utilisateurs en vue de réduire les risques informatiques associés au travail à distance.

Comment sensibiliser à la sécurité informatique ?

Différentes étapes peuvent être envisagées pour sensibiliser ses employés à la sécurité informatique.

Rédiger une charte informatique

L’une des premières étapes de la sensibilisation des salariés consiste à mettre en place une charte informatique au sein de la structure.

Une charte informatique est un document précisant les règles et les bonnes pratiques liées à l’utilisation de l’informatique en général dans l’entreprise, qu’il s’agisse :

  • des appareils (postes de travail, smartphones, imprimantes),
  • des logiciels et applications (logiciels administratifs, logiciels de gestion, application métiers, services en ligne),
  • d’internet
  • de la téléphonie
  • de tout autre usage du numérique (email, accès et partage de fichiers, vidéo-conférences etc.)

Idéalement, la charte informatique couvre également les usages liés au télétravail et à la mobilité (travail à distance, voyage professionnel).

Outre le rappel des bonnes pratiques, la charte informatique comporte généralement un volet juridique, et se doit d’être conforme au Code du Travail et au RGPD.
À noter que dans ce cadre, la charte informatique peut être :

  • annexée au contrat de travail
  • annexée au règlement intérieur de l’entreprise
  • inclus dans les contrats avec les différents prestataires

Nécessitant des compétences techniques et réglementaires, l’élaboration de la charte informatique peut être réalisée à l’occasion d’un audit de système d’information par exemple, ou de la mise en place d’un plan de résilience informatique.

Mettre en place des bulletins d’information

Autre principe essentiel de la sensibilisation des salariés, réaliser une communication, ponctuelle ou récurrente, sur le sujet, par exemple :

  • Préparer un guide à destination des nouveaux salariés, pour mettre en place les bons réflexes dès l’entrée dans l’entreprise,
  • Fournir des guides ou des brochures officiels, comme le Kit de sensibilisation aux risques numériques édité par Cybermalveillance.fr,
  • Proposer son propre bulletin d’information (sous forme d’emailing ou de newsletter par exemple)

Parmi les thématiques essentielles à aborder, on citera notamment :

  • Les mots de passe
  • Les mises à jour
  • L’hameçonnage
  • Les rançongiciels
  • Les sauvegardes
  • Les usages personnels et professionnels
  • Les usages en mobilité et télétravail
  • Les réseaux sociaux

Dans certains secteurs d’activités, des focus spécifiques peuvent être intéressants. Il est ainsi possible d’aborder la sécurité informatique sous l’angle du secteur public ou du secteur privé, traiter des spécificités de la protection des données critiques / données de santé, ou encore, présenter le poste de DPO lorsque ce poste est obligatoire pour la structure dans le cadre du RGPD etc…

Mettre en place des formations

Si nécessaire, la formation continue est une étape possible de la sensibilisation informatique des salariés. Éligibles au budget de la formation professionnelle, ces formations peuvent ainsi contribuer à l’amélioration continue de votre entreprise et à sa cyber-résilience.

En présentiel ou à distance, les formations peuvent aborder tous les aspects de la sécurité informatique en entreprise :

  • postes de travail, risques internet, travail à distance…
  • bonnes pratiques et usages (mises à jour, sauvegardes…)
  • mais aussi, les comportements à adopter en cas de situations imprévues (usurpation d’identité, comment réagir en cas d’attaque informatique, rattraper une information divulguée…)

Réaliser des simulations d’intrusion

La dernière étape de la sensibilisation informatique, c’est de vérifier par la preuve que vos employés sont prêts ou qu’ils ont bien adopté les gestes que vous leur avez recommandés ! Il est possible de mettre en place des simulations d’intrusion ou de phishing, dans le but de mieux préparer votre personnel à ces éventualités.

Chez Ivision, nous vous proposons plus spécifiquement des tests d’intrusion à réaliser en black box (sans information de votre part, dans une situation proche de la réalité) ou en white box (en collaboration avec vos ingénieurs informatiques). Découvrez notre méthodologie de test d’intrusion ici

Vous souhaitez être accompagné dans le développement de la sensibilisation à la sécurité informatique de vos salariés ? N’hésitez pas à nous soumettre directement votre besoin.