Lorsqu'un mail annuel de formation à la sécurité arrive dans leur boîte de réception, de nombreux employés ont tendance à l'ignorer ou à chercher des raccourcis pour passer rapidement le test final.
Ils veulent simplement le rayer de leur liste de choses à faire. Et si vous pouviez leur montrer que ces formations sont cruciales et qu'elles ne sont pas qu'une tâche rébarbative de plus ? Il est temps de faire preuve de créativité et de transformer une formation banale en une expérience attrayante et agréable !
Choisissez minutieusement le moment
Tout d'abord, la formation à la sécurité ne doit pas être ressentie comme une punition ou un fardeau par vos employés. Pour ce faire, évitez de les programmer pendant les périodes de forte charge de travail et donnez aux collaborateurs suffisamment de temps pour suivre la formation. Adoptez une approche de soutien et motivez votre équipe en montrant que même les cadres supérieurs participent à ces formations et les apprécient. Soulignez que tout le monde, y compris la direction, s'engage à suivre un coaching continu et à s'améliorer.
Comment améliorer la conscience cyber de vos collaborateurs ?
- Organisez régulièrement des formations à la sécurité
- Motivez vos employés et privilégiez l’encouragement aux sanctions
- Sensibilisez vos collaborateurs à rester vigilants et à s’alerter sur les ressorts des cyber arnaques
- Mettez-les à l’épreuve de façon inattendue
Retrouvez nos conseils sur la sensibilisation cyber des entreprises
Veillez également à ce que chacun comprenne les principes de base dès son arrivée dans l'entreprise. « Les employés doivent également savoir à qui ils doivent signaler toute activité suspecte, comment utiliser les logiciels ou les services en cloud, ce qu'ils doivent faire s'ils voient des individus suspects dans les locaux de l'entreprise et comment utiliser les technologies de sécurité, comme un gestionnaire de mot de passe », explique Daniel Chromek, responsable de la sécurité de l'information chez ESET. Si vous disposez d'une adresse électronique d'entreprise pour le signalement des incidents, veillez à ce qu'elle soit placée dans des endroits visibles de votre espace de travail.
Une formation régulière est une excellente mesure préventive (et vous devez leur expliquer pourquoi)
Après avoir déterminé le meilleur moment, vous devez persuader vos employés de l'importance d'une formation régulière sur les menaces numériques. Expliquez-leur que ces dernières sont en constante évolution et qu'ils ne peuvent rester en sécurité qu'en s'informant continuellement sur ces menaces. Idéalement, vos employés devraient rester vigilants tout au long de leurs activités quotidiennes, qu'il s'agisse d'envoyer des e-mails, de manipuler des données ou d'utiliser des applications. En effet, même les applications et les sites web que vos employés utilisent quotidiennement peuvent présenter un risque pour la sécurité numérique.
Ingénierie sociale
L'ingénierie sociale, telle que le phishing, reste l'un des vecteurs d'attaque les plus répandus. Selon le rapport 2023 PurpleSec Cyber Security Trends Report, 98 % des cyberattaques impliquent une forme ou une autre d'ingénierie sociale. L'intérêt de cette méthode réside dans sa capacité à exploiter le maillon le plus faible de tout système de sécurité : l’humain. Plutôt que de s'appuyer sur des prouesses techniques pour pénétrer dans les systèmes, les attaquants recourent à la manipulation psychologique pour gagner la confiance des gens et accéder à des informations sensibles. C'est pourquoi des sessions de formation régulières sur les tactiques d'ingénierie sociale, des simulations d'attaques et des politiques de sécurité claires sont essentielles pour toute organisation.
Découvrez les ressorts de l’ingénierie sociale et comment vous en protéger.
Insistez sur le fait que la prévention est la meilleure protection pour vos systèmes et qu'une formation régulière à la sécurité numérique fait partie de ce que vous pouvez et devez faire. Des réglementations telles que NIS2 soulignent d’ailleurs son caractère indispensable. Sans oublier que les mesures préventives peuvent permettre à votre organisation d'économiser beaucoup d'argent. Selon IBM, le coût moyen d'une violation de données en 2023 était de 4,45 millions de dollars, soit 15 % de plus qu'il y a trois ans.
Toutefois, sensibiliser vos collègues une ou deux fois par an dans le cadre d'une formation d'une demi-journée peut s'avérer futile. Ces formations sont facilement oubliées car les connaissances ne sont jamais rafraîchies et mises en pratique. Envisagez de combiner la formation classique à la sécurité avec des activités plus modestes mais plus fréquentes. « Il est plus judicieux de diviser les informations que vous devez transmettre en petits morceaux que les employés peuvent absorber. Par exemple, utilisez des vidéos de 10 minutes qui se concentrent sur un seul élément clé, ou qui résument les quatre changements majeurs résultant des nouvelles politiques. Vous pouvez ensuite distribuer régulièrement ces exemples simplifiés pour rappeler aux employés qu'il est important de surveiller les questions de sécurité », explique M. Daniel.
Et si vous ajoutiez du ludique ?
Il existe de nombreuses façons créatives de rendre votre formation plus attrayante. Vous pouvez transformer des diapositives ennuyeuses en une histoire comique ou un jeu où le joueur est récompensé à la fin. Vous pouvez même transformer la session de formation en une activité d'équipe amusante, par exemple en organisant un quiz de connaissances et en faisant concourir vos employés entre eux pour gagner de petits prix. Vous pouvez également préparer des scénarios réels pour tester les connaissances des employés dans la pratique. Voici quelques idées pour vous aider à démarrer :
LE SCÉNARIO DU QR CODE
Placez des codes QR sur des thématiques telles que Noël (au moment des fêtes par exemple) dans des endroits potentiellement accessibles à un pirate extérieur à votre entreprise, comme les ascenseurs ou les portes d'entrée. Faites en sorte qu'ils aient l'air aussi authentiques que possible et incluez un texte accrocheur. Par exemple, dites que ceux qui scannent le code peuvent recevoir un cadeau. Ces codes QR doivent mener à une page que vous avez créée pour informer les employés que le fait de scanner des codes QR aléatoires peut les mener à des sites web potentiellement dangereux, en particulier si ceux-ci sont placés dans des espaces publics.
SCÉNARIO D'USURPATION D'IDENTITÉ
Pour ce scénario, vous devrez peut-être faire preuve d'un peu plus de créativité et de technicité. Trouvez un moyen d'usurper l'identité d'une personne haut placée dans votre entreprise (avec sa permission, bien sûr), soit par le biais d'un deepfake, soit en utilisant un clone vocal. Envoyez ensuite un message à ses collaborateurs et donnez-leur des instructions détaillées (par exemple, envoyer une somme d'argent sur un compte spécifique - que vous leur rendrez, bien sûr, une fois l'expérience terminée). Plus tard, faites-leur savoir que c'était vous et soulignez la facilité avec laquelle vous les avez trompés, ainsi que la sophistication croissante de méthodes telles que les « deepfakes » et le clonage de voix.
SCÉNARIO D'INTRUSION
Pour ce dernier scénario, vous aurez besoin d'une aide extérieure (peut-être votre partenaire, un ami ou un frère ou une sœur, quelqu'un que les gens de votre entreprise ne connaissent pas). Placez cette personne à l'extérieur des locaux de l'entreprise et demandez-lui de réclamer gentiment à un habitant/collaborateur de la laisser entrer dans le bâtiment, en prétendant qu'elle a oublié sa carte d'entrée ou son badge à la maison. L'intrus peut sortir de la même manière et tester plusieurs employés de cette façon avant que vous n'expliquiez la situation dans un e-mail. Bien entendu, vous ne devez pas dévoiler le nom des personnes qui ont échoué au test, mais vous pouvez fournir des chiffres montrant le temps qu'il a fallu à l'intrus pour entrer ou le nombre de personnes qui ont mis en doute ses intentions au lieu de le laisser passer. Informez vos employés que de tels intrus pourraient obtenir un accès physique aux ordinateurs portables et autres appareils de votre entreprise, et facilement voler des données ou insérer des virus ou des logiciels de traçage dans votre réseau.
Sensibilisation créative
En fin de compte, vos collègues devraient quitter les formations en se sentant préparés et plus confiants quant aux défis (nombreux) de la sécurité numérique plutôt qu'ennuyés ou frustrés. La créativité et l'innovation doivent aller de pair avec la formation des employés, agrémentées de mises à jour régulières qui leur permettront, ainsi qu'à leur entreprise, de conserver une longueur d'avance.
