Le collaborateur est un élément essentiel du Système d’Information (SI), mais il est à l’origine de 80 % des attaques, selon un rapport de Verizon de 2022. Avec un accès privilégié aux applications et aux données critiques de l’entreprise, il constitue un point d’entrée potentiellement vulnérable entre le monde extérieur (internet) et le SI. Être humain avant tout, le collaborateur peut être stressé, isolé en télétravail et manipulable. Pour prévenir les mauvaises décisions, telles que cliquer sur un lien malveillant ou divulguer des informations sensibles, il est crucial de l’informer régulièrement sur les menaces et de lui enseigner les bons réflexes
Comment sensibiliser efficacement?
Une sensibilisation efficace repose sur plusieurs étapes clés :
La première étape consiste à identifier les différentes catégories de collaborateurs et les risques spécifiques auxquels ils sont exposés. Par exemple, les administrateurs système, disposant d’accès privilégiés, nécessitent une sensibilisation différente de celle des assistantes de direction, qui peuvent avoir la délégation de comptes à haut privilège. Cette segmentation permet de construire un plan de sensibilisation adapté aux risques propres à chaque population.
Avec l’évolution des attentes à l’ère du digital, les collaborateurs préfèrent des formats dynamiques et interactifs. Les options incluent :
- Conférences et tables rondes ;
- Jeux, quiz et mises en situation pratiques ;
- Articles et mini-séries ;
- Modules de formation courts et engageants.
Une sensibilisation monotone, comme de longues sessions devant des diapositives, risque de décourager l’apprentissage. Le principal objectif est que le collaborateur retienne une ou plusieurs bonnes pratiques qu’il puisse appliquer et partager avec ses collègues
La sensibilisation doit être un processus continu pour tenir compte des évolutions : arrivée de nouveaux collaborateurs, changement de postes ou nouvelles menaces. Un socle commun doit être établi pour les risques génériques, comme le phishing, complété par des actions spécifiques ciblées selon les populations et les thématiques.
La campagne de phishing : un outil incontournable
La campagne de phishing est une méthode efficace pour sensibiliser l’ensemble des collaborateurs et mesurer concrètement leur niveau de vigilance grâce au taux de clics observé.
Avant de déployer une campagne, il est essentiel de fournir aux collaborateurs les clés pour reconnaître un phishing et signaler les tentatives à l’équipe de sécurité. L’objectif est de dédramatiser les erreurs potentielles tout en renforçant la vigilance collective. Un exemple marquant est celui d’un collaborateur de Reddit qui, en février 2023, a signalé avoir cliqué sur un lien menant à un faux intranet. Grâce à sa réaction rapide, l’équipe de sécurité a pu bloquer le compte compromis et éviter une intrusion majeure.
Une campagne bien conçue commence par la définition des objectifs et des seuils de taux de clics. Ces seuils doivent tenir compte des résultats des campagnes précédentes et des actions de sensibilisation déjà menées. Pour créer des e-mails de phishing réalistes, il est judicieux de s’inspirer de tentatives réelles ou des campagnes précédentes, en y ajoutant de nouveaux éléments tels que :
- Des URL suspectes ;
- Un sentiment d’urgence ;
- Une offre alléchante ;
- Des références à l’actualité.
Après la campagne, il est important de communiquer avec les collaborateurs pour expliquer le but de l’exercice, détailler les indices contenus dans les e-mails et partager les résultats obtenus. Une transparence sur les actions correctives éventuelles aide à renforcer la confiance et l’engagement.
Collaborateurs sensibilisés, entreprise protégée
La sensibilisation des collaborateurs aux cybermenaces est un enjeu stratégique pour préserver l’intégrité du Système d’Information. Une approche adaptée, continue et engageante, complétée par des exercices pratiques comme les campagnes de phishing, permet de transformer ce maillon souvent vulnérable en une véritable ligne de défense.
Et vous, quels formats ou campagnes de sensibilisation vous ont le plus marqué ?
