La cybersécurité est le problème de tous. C’est le problème du Responsable de la Sécurité des Systèmes d’Information (RSSI), du PDG et du directeur. Et de chaque employé à tous les niveaux de l’organisation, de la personne qui sert le thé à celle qui dirige l’équipe. La cybercriminalité est perpétrée par des cybercriminels qui sont déterminés à infiltrer l’entreprise, à voler les données, à prendre le contrôle et à gagner le plus d’argent possible, et ils sont prêts à faire tout ce qu’il faut pour atteindre chacun de ces indicateurs clés de performance (ICP).
D’après Anna Collard, Vice-Présidente de la Stratégie de Contenu et Évangéliste chez KnowBe4 AFRICA , la protection de l’entreprise, de ses ressources et de son personnel dépend de la compréhension, par tous, des principes de base et de la façon de les appliquer.
« Il sera toujours nécessaire de s’assurer que l’organisation dispose des niveaux de technologie, de politique et de processus de sécurité adéquats », dit-elle, « mais il faut également que les niveaux de formation et de compréhension de la sécurité au sein du personnel soient adéquats pour soutenir l’investissement dans la technologie de sécurité. Les entreprises n’accordent toujours pas assez d’attention à la seule vulnérabilité en matière de sécurité qui est toujours ouverte aux attaques, prompte à commettre des erreurs et qui peut accidentellement laisser la porte numérique grande ouverte : les personnes. »
Revenir aux bases signifie mettre la formation en sécurité à la portée des employés de manière constante et cohérente. Il s’agit de renforcer sans cesse le message, d’enseigner aux personnes les risques, nouveaux et anciens, puis de tester leurs connaissances pour s’assurer qu’ils ont vraiment compris les menaces et comment les éviter. Cette approche stratégique de répéter, apprendre et tester est un moyen avéré de garantir que les employés reçoivent les bases fondamentales dont ils ont besoin pour rester conscients de la sécurité et être préparés.
Une autre méthode qui s’est avérée inestimable lorsqu’il s’agit de modifier des modèles et d’imposer des comportements est le modèle comportemental de Fogg, développé par le fondateur du Stanford Behavior Design Lab, BJ Fogg. Son modèle suggère que trois éléments doivent être présents pour qu’un comportement spécifique se produise : la motivation, la capacité et les incitations. Cela signifie que la formation en sécurité doit être mise en œuvre parallèlement à des motivations intelligentes de changement du comportement, afin de garantir que les leçons apprises en matière de sécurité influencent directement le comportement.
« Le problème est que les personnes sont occupées et stressées au travail, donc elles ignorent souvent la formation ou la considèrent comme une interruption de leur journée », explique Mme Collard. « Elles sont également plus susceptibles de commettre une erreur en cliquant sur un lien ou en se laissant prendre au piège d’un courriel d’hameçonnage si elles sont fatiguées et distraites. Cela signifie que la formation en sensibilisation à la sécurité doit être développée correctement. Elle doit être claire, simple à comprendre et accessible aux utilisateurs. »
En plus de veiller à ce que la formation soit plus attrayante pour que les personnes l’adoptent et s’y engagent, les entreprises doivent renforcer les éléments fondamentaux du risque de sécurité. Cela signifie qu’il faut leur rappeler qu’elles sont autant exposées au risque que l’entreprise (l’hameçonnage et le piratage ne sont pas l’apanage de l’organisation et ils peuvent avoir des répercussions personnelles et professionnelles à long terme pour les individus) et leur donner une fiche d’information qui met en évidence les risques les plus courants en un coup d’œil. Assurez-vous que les personnes savent à quel point l’hameçonnage est devenu populaire auprès des cybercriminels a découvert que 91 % de toutes les cyberattaques commencent par un courriel d’hameçonnage) et comment une attaque réussie peut paralyser l’entreprise. Alors, renforcez ce message, répétez-le et maintenez la formation.
« Les bases ne se résument pas à : ne cliquez pas, ne répondez pas d’une manière émotive, vérifiez l’URL, ne téléchargez pas », conclut Mme Collard. « Elles sont également centrées sur l’importance du pare-feu humain dans la protection de l’entreprise, l’impact d’une attaque sur la réputation et la conformité de l’entreprise, le risque de perte personnelle et de fraude, et la responsabilité partagée pour que la sécurité soit le problème et la priorité de chacun. »