On entend souvent que les e-mails de phishing sont remplis de fautes et qu’ils sont facile à repérer. Mais ce n’est plus vrai, les phishings sont aujourd’hui de très bonne qualité et deviennent toujours plus difficile à détecter. Pour limiter les risques de faille au sein de l’entreprise, les efforts de sensibilisation sont particulièrement importants.
Mener des actions de sensibilisation régulières
Souvent les entreprises considèrent la sensibilisation à la cybersécurité comme une action ponctuelle : on effectue une campagne de sensibilisation via l’envoi de supports informatifs par mail aux collaborateurs et on considère alors que les employés sont sensibilisés. Mais c’est faux.
Il est nécessaire d’accompagner de manière régulière les collaborateurs pour assurer une formation efficace face aux risques cybers. En effet, une action ponctuelle sera efficace durant le temps où elle est menée, mais si aucune sensibilisation n’est effectuée pendant le restant de l’année, son effet se verra réduit. Il faut donc mettre en place des campagnes de sensibilisation régulières pour un résultat optimal.
Multiplier les canaux de sensibilisation
Pour captiver l’attention des collaborateurs et garantir une prise de conscience complète, il est essentiel de diversifier les canaux de sensibilisation. Des campagnes d’e-mailing, des tests de phishing à l’aide de plateformes spécialisées, des séminaires d’entreprise, etc., sont autant de formats à envisager.
L’utilisation de plusieurs de ces méthodes permet d’obtenir les résultats les plus probants, car certains collaborateurs réagiront mieux à un test de phishing simulé, tandis que d’autres préféreront un apprentissage interactif lors d’un séminaire. La multiplication des canaux de sensibilisation rentre dans la même logique que le fait de mener des actions régulières, mais il est important de noter que deux actions différentes permettront de sensibiliser davantage de collaborateurs là où se contenter d’effectuer uniquement des campagnes d’emailing, même régulières, aura une efficacité moindre.
Vers une « culture de sécurité »
L’objectif de toute entreprise doit être de développer une culture de sécurité. Pour ce faire, il faut impliquer l’ensemble des collaborateurs dans le processus de cybersécurité. On considère que la culture de cybersécurité est atteinte lorsque l’ensemble des collaborateurs adoptent un comportement approprié face aux menaces cybers.
Comme nous l’avons évoqué, une formation ou une campagne de sensibilisation ponctuelle n’est pas suffisant. Il faut un effort continu pour réussir à instaurer une culture de sécurité et augmenter la résilience de l’entreprise face aux risques cybers. Il s’agit d’une démarche constante qui demande du temps, mais compte tenu du fait que l’humain est la principale cible des pirates avec les phishings et plus généralement l’ingénieurie sociale, la démarche doit être considérée comme une composante importante de la stratégie de l’entreprise en matière de cybersécurité.