La formation annuelle sur la cybersécurité que vous avez organisée pour vos employés est sur le point de se terminer. Les participants ont notamment appris à repérer les e-mails de phishing. Vous vous sentez satisfait et confiant. Cependant, vous êtes loin de vous douter qu’environ 5 ou 6 mois plus tard, vous risquez d’essuyer une déconvenue.  A votre grande surprise, votre entreprise est victime d’une coûteuse infection par ransomware à cause d’un mail de phishing.

Vous vous demandez alors pourquoi il n’est pas suffisant de se former chaque année et de réviser les mêmes information,s encore et encore. Pourquoi, malgré ces efforts continus, souffrez-vous toujours d’incidents de sécurité ? Le problème est que vous ne formez pas vos employés assez souvent !

Eh oui, les comportements ne vont pas changer si la formation n’est pas renforcée. On oublie facilement des choses qu’on a apprises après plusieurs mois. 

Mais alors, à quelle fréquence faut-il se former pour améliorer suffisamment la sensibilisation de votre équipe à la cybersécurité ? Il s’avère que l’intervalle idéal est de 4 mois. C’est avec cette fréquence de formations que vous obtiendrez de bons résultats en matière de sécurité informatique.

Pourquoi une formation de sensibilisation à la cybersécurité tous les quatre mois ?

Pourquoi parle-t-on de 4 mois au juste ? Cette recommandation fait suite à une étude présentée à la conférence de sécurité USENIX SOUPS (2020). Elle portait sur la capacité des utilisateurs à détecter les e-mails d’hameçonnage en fonction de la fréquence des formations à la sensibilisation au phishing et à la sécurité informatique.

Les employés ont passé des tests d’identification du phishing à différents intervalles de temps :

  • 4 mois
  • 6 mois
  • 8 mois
  • 10 mois
  • 12 mois

L’étude a révélé que quatre mois après leur formation, les résultats étaient bons : les employés étaient toujours capables d’identifier avec précision les e-mails de phishing et d’éviter de cliquer dessus. Mais après 6 mois, leurs scores ont commencé à se détériorer. Plus les mois passaient après la formation initiale, plus les scores baissaient.

Les entreprises auraient donc tout à gagner à mettre en place des formations et des “recyclages” sur la sensibilisation à la sécurité pour bien préparer leurs équipes. Grâce à cet accompagnement, celles-ci deviendront des éléments actifs dans le renforcement de leur stratégie de cybersécurité.

Que faire et comment former vos employés pour développer une culture de cybersécurité

La clé de voûte de toute formation sur la sensibilisation à la sécurité est le développement préalable d’une culture de la cybersécurité. Dans une telle culture, chacun est conscient de la nécessité de protéger les données sensibles, d’éviter les tentatives d’hameçonnage et de préserver les mots de passe.

Ce n’est pourtant pas le cas dans la plupart des organisations, selon le Sophos Threat Report 2021. L’une des plus grandes menaces pour la sécurité des réseaux d’entreprises reste le manque de bonnes pratiques de sécurité.

Selon le rapport, “un manque d’attention à un ou plusieurs aspects de l’hygiène de sécurité de base s’est avéré à l’origine d’un grand nombre des attaques les plus dommageables que nous avons étudiées.”

Par conséquent, des employés bien formés réduisent considérablement le risque pour leur société. En effet, ils ont moins de chances d’être victimes de toutes les attaques du web possibles et imaginables. Pour être bien formé, il n’est d’ailleurs pas nécessaire de passer toute une journée à se former à la cybersécurité. Un mix de différentes méthodes sera tout aussi efficace.

Voici quelques exemples de méthodes intéressantes pour former les employés à la cybersécurité. Vous pouvez les inclure dans votre plan de formation :

  • Des vidéos tutoriels envoyées par e-mail une fois par mois
  • Petits ateliers en équipe
  • Inclure une “astuce de la semaine” concernant la sécurité dans la newsletter ou la messagerie de l’entreprise
  • Session de formation dispensée par un professionnel de l’informatique
  • Simulations de test d’hameçonnage
  • Campagne d’affichage sur la cybersécurité

Lors de la formation, le phishing est un sujet important, mais ce n’est pas le seul qui mérite d’être couvert. Voici quelques sujets importants que vous devriez inclure dans votre formation de sensibilisation.

Phishing par e-mail, SMS et réseaux sociaux

Le phishing par e-mail reste la forme la plus répandue. Mais le SMS (“le smishing”) et les réseaux sociaux sont de plus en plus utilisés. Il est donc utile de montrer à vos employés à quoi cela peut ressembler afin de leur éviter de se laisser prendre au piège.

Sécurité des informations d’identification (login et mot de passe)

De nombreuses entreprises ont transféré la plupart de leurs données et de leurs processus dans le “cloud”, c’est-à-dire sur des plateformes de stockage externe. Cette tendance a entraîné une forte augmentation des vols d’informations d’identification car c’est le moyen le plus facile de pénétrer dans les outils SaaS hébergés dans le cloud.

L’usurpation d’identité est désormais la première cause de violation de données dans le monde. C’est donc un sujet qu’il est essentiel d’aborder avec votre équipe. Prenez le temps d’expliquer la nécessité de garder en lieu sûr et de complexifier les mots de passe. Aidez aussi vos employés à se familiariser avec des outils tels qu’un gestionnaire de mots de passe professionnel.

Sécurité des appareils mobiles

La plupart des sociétés utilisent désormais les appareils mobiles en tant qu’outils principaux. En effet, parce que ceux-ci sont très pratiques pour lire et répondre à un e-mail quel que soit l’endroit où l’on se trouve, la plupart des entreprises n’envisagent même plus d’installer un logiciel s’il n’existe pas en version mobile de bonne qualité.

Ainsi, vous devez bien vérifier les besoins de sécurité des appareils de vos employés s’ils les utilisent pour accéder aux applications contenant des données de l’entreprise. Par exemple, vous pouvez sécuriser les smartphones avec un code d’accès en le maintenant à jour.

Sécurité des données

Vous n’êtes pas sans savoir que les réglementations en matière de confidentialité des données se sont renforcées ces dernières années, notamment en ce qui concerne le Règlement général pour la protection des données (le RGPD). 

Vous aurez donc tout intérêt à former vos employés à la manipulation correcte des données et aux procédures de sécurité. Vous réduirez ainsi le risque d’être victime d’une fuite ou de vol de données qui pourraient sérieusement vous pénaliser.

Vous avez besoin d’aide pour former votre équipe à la cybersécurité ?

Confiez cette tâche à Computile. Nous formerons vos employés aux meilleures pratiques en matière de cybersécurité au moyen d’un plan d’action déployé à l’échelle d’une année.

 

Partager cet article

Catégories : CybersecuritéMots-clés :

Articles similaires

Free Side View of a Woman Using a Laptop Stock Photo

Ces objets du quotidien peuvent conduire à un vol d’identité

mai 25th, 2023
Free illustrations of Cybersecurity

Que faire pour réduire les risques lorsque votre appareil mobile disparaît ?

mars 15th, 2023
gold Apple iPhone smartphone held at the door

7 conseils pour renforcer votre système de sécurité domestique connecté

janvier 28th, 2023
Free vector graphics of Hack

Comment détecter les tentatives de phishing avec la méthode SLAM

septembre 6th, 2022