L’éducation à la cybersécurité peut s’apparenter à une forme d’examen. Vous devez d’abord apprendre quelque chose, et si vous n’utilisez pas ces connaissances pendant un certain temps, vous les oubliez. Cela ressemble à l’effet des formations de collaborateurs à la cybersécurité, qui a lieu une ou deux fois par an et se poursuit par des présentations occasionnelles, qu’au final, personne ne comprend.
Quel que soit le niveau de cybersécurité de votre entreprise, les cyberattaques sont de plus en plus sophistiquées. Mais si vous parvenez à renforcer la vigilance de vos collaborateurs, ils peuvent devenir l’un des atouts de sécurité les plus efficaces.
Vous vous demandez comment imaginer de nouvelles manières de former vos collaborateurs ? Lisez notre entretien avec Daniel Chromek, Chief Information Security Officer chez ESET.
Il semble évident que la sensibilisation des collaborateurs aux cybermenaces soit nécessaire, car nombre d’entre eux ne savent pas détecter des cyberattaques. Qu’est-ce qui empêche les entreprises de résoudre cette situation ?
Les entreprises sous-estiment bien souvent la formation à la cybersécurité ou son actualisation tandis que les cyberattaques, elles, n'ont de cesse de s’améliorer, d’évoluer et changer au fil du temps. Nous ne pouvons plus nous fier aux principales caractéristiques des emails frauduleux, telles qu’une mauvaise grammaire ou des erreurs logiques, pour identifier ces attaques. La forme visuelle et le contenu de ces dangers sont de plus en plus sophistiqués. Je pense que nous sommes assez proches du moment où de nombreuses personnes ne seront plus capables de distinguer les tentatives d’hameçonnage des emails “classiques et standards”. Il existe également un risque plus fréquent de vishing, même si la simulation d’un appel téléphonique à partir d’un certain numéro est difficile à réaliser en temps réel. Il n’est cependant pas difficile de récupérer la voix d’un PDG sur YouTube et de préparer un message vocal à l’avance pour convaincre des employés de transférer de l’argent.
Qu’en est-il des deepfakes ou des systèmes de reconnaissance faciale ? Auront-ils également une incidence sur la forme des futures attaques ?
Absolument. Il existe déjà des deepfakes qui sont difficiles à distinguer de la réalité, notamment dans la vidéo. Les deepfakes sont toutefois beaucoup plus difficiles à mettre en œuvre lorsqu’ils sont utilisés dans une interaction en temps réel, comme la simulation d’un appel vidéo. En général, il est plus facile d’attaquer quelqu’un avec un email d’hameçonnage qui contient du texte et des images statiques qu’avec une attaque qui nécessite une interaction directe avec la victime. Néanmoins, l’impact en termes de relations publiques de la diffusion d’un deepfake sur un réseau social peut aujourd’hui être conséquent.
Ce type d’attaque ne se produit donc pas encore.
Jusqu’à présent, je n’ai entendu parler que d’un cas en France. Celui d’un groupe de fraudeurs qui a mis en scène un appel vidéo dans lequel ils ont utilisé un masque en silicone pour se faire passer pour le ministre de la défense français de l’époque, et ont demandé à des personnes et des groupes fortunés de soutenir financièrement une fausse opération gouvernementale. Bien qu’il ne s’agisse pas encore d’un deepfake généré par ordinateur, disons plutôt d’une mise en scène de théâtre, on peut s’attendre à ce que le problème ne fasse que s’aggraver.
Qu’est-ce qui empêche la formation des collaborateurs à reconnaître ces attaques ?
Lorsque je travaillais comme consultant en informatique il y a quelques années, j’ai remarqué que les entreprises considéraient souvent la cybersécurité comme étant un problème relevant automatiquement de la responsabilité du département informatique. Mais les professionnels de l’informatique ne sont pas toujours capables de proposer des formations que les gens comprennent et qui les intéressent. Ce n’est tout simplement pas aussi facile qu’il n’y paraît. Elles nécessitent un savoir-faire en matière de sécurité, notamment sur des sujets tels que l’hameçonnage, le choix des mots de passe, le chiffrement, ainsi qu’un savoir-faire efficace en matière d’éducation des adultes.
Pensez-vous que les professionnels de l’informatique devraient par exemple travailler avec des psychologues ?
Certainement. Ou avec quelqu’un ayant un diplôme en pédagogie des adultes, ou qui sait simplement comment faire en sorte que n’importe quelle personne se souvienne vraiment de certains faits et modifie son comportement en conséquence. Aujourd’hui, il est possible d’acheter des formations personnalisées. Les grandes entreprises résolvent souvent ce problème en travaillant avec l’informatique et les RH. L’essentiel est de trouver quelqu’un qui puisse transmettre des connaissances de manière claire et intéressante. C’est pourquoi l’approche ludique est plus fréquente de nos jours.
Pensez-vous que la majorité des petites et moyennes entreprises disposent déjà d’une certaine manière de former les collaborateurs ?
Oui. La plupart d’entre elles ont recours à au moins une formation de base en matière de cybersécurité, par exemple, une formation disponible sur des plateformes en ligne. Mais à mon avis, vous devez faire plus si vous voulez instaurer une culture de la cybersécurité dans l’entreprise. Lorsque vous formez vos collaborateurs une fois par an, le résultat est le même que pour d’autres types de formation : après « l’examen », les connaissances apprises sont rapidement oubliées, et on se retrouve au point de départ.
Quelle devrait être la fréquence des formations ?
Aussi souvent que possible. À mon avis, il est plus judicieux de fractionner les informations que vous devez transmettre en petits morceaux que les collaborateurs peuvent facilement absorber. Utilisez par exemple des vidéos de 10 minutes qui se concentrent sur un seul élément clé, ou qui résument les quatre principaux changements résultant des nouvelles politiques de sécurité. Vous pouvez ensuite diffuser régulièrement de tels exemples simplifiés pour rappeler aux collaborateurs qu’il est important de faire attention aux questions de sécurité. Et en cas de tentative d’attaque de l’entreprise, vous pouvez vous en servir pour expliquer aux collaborateurs comment une telle attaque fonctionne.
Disons que je souhaite créer une entreprise qui résiste aux cyberattaques, en partant de zéro. Que doit savoir chaque collaborateur ?
Tout d’abord, chacun doit savoir ce que l’entreprise attend de ses collaborateurs. Comment ils doivent utiliser la technologie fournie, et quelles sont les sanctions prévues en cas de perte ou de dommages. Il convient de répondre à ces questions avant que quelque chose ne se produise, idéalement dès l’intégration des collaborateurs. Quelques sujets standardisés couvrent les mesures de sécurité de base : comment définir un mot de passe renforcé, comment utiliser l’authentification à deux facteurs, et bien sûr, comment reconnaître les sites web frauduleux et d’hameçonnage en fonction de leurs caractéristiques et de leur contenu. Les collaborateurs doivent également savoir à qui signaler toute activité suspecte, comment utiliser les logiciels ou les services dans le Cloud, ce qu’ils doivent faire s’ils voient des personnes suspectes dans les locaux, et comment utiliser les technologies de sécurité, par exemple un gestionnaire de mots de passe.
L’entreprise devrait également expliquer aux collaborateurs que si elle leur fournit un téléphone mobile ou une tablette, ils doivent faire attention à ce qu’ils téléchargent et installent dessus. Il existe de nombreuses applications mobiles frauduleuses, et il est donc important de montrer aux collaborateurs comment vérifier une application avant de l’installer. Il en va de même pour l’installation de différents programmes sur un ordinateur lorsque l’on travaille à distance. Les collaborateurs doivent également savoir qui contacter en cas de problème. À titre d’exemple la fin de l’année dernière, nous avons remarqué de faux appels semblant provenir de Microsoft. C’était l’occasion d’informer nos collaborateurs sur ce à quoi ils devaient faire attention et sur la raison pour laquelle cela se produisait.
Pourquoi la direction d’une entreprise devrait-elle éviter d’effrayer ses collaborateurs en les menaçant de conséquences personnelles possibles en cas de cyberattaque ?
En effet, cinq minutes après une telle annonce, les collaborateurs cessent d’écouter et la seule chose qu’ils retiennent c’est que tout ce qu’ils vont faire va mal se terminer, et qu’ils seront licenciés ou iront en prison. Le danger de créer un tel état d’esprit défaitiste est qu’il peut conduire les collaborateurs à abandonner dès le départ, et penser qu’il ne sert à rien d’être prudent, puisqu’ils se tromperont de toute façon. Par conséquent, il est préférable de communiquer de manière positive, d’identifier les menaces courantes et de montrer comment les éviter, non seulement au travail mais également à la maison. Nous avons tous des personnes qui nous sont chères, et lorsque nous pouvons montrer aux collaborateurs comment protéger non seulement les intérêts de leur employeur, mais également ceux de leurs parents, de leur conjoint ou de leurs enfants de certaines manières, cela peut susciter leur intérêt.
Vous envoyez souvent des quiz à vos collègues. Jouer sur l’aspect ludique est-il le bon moyen d’expliquer tout cela aux collaborateurs ?
Oui, si cela est utilisé à bon escient. Si vous décidez par exemple d’essayer des simulations d’hameçonnage dans une entreprise, vous devez y réfléchir un peu. L’objectif n’est pas d’attraper le plus grand nombre de personnes possible, mais de leur donner une chance de reconnaître des tentatives d’hameçonnage et de « gagner » en contrecarrant l’attaquant. Lorsque les gens savent qu’ils ont pris les bonnes mesures et qu’ils ont pu signaler une attaque, cela les stimule.
Un autre exemple de ludification dans la formation à la cybersécurité serait une bande dessinée interactive avec des vidéos dans laquelle le personnage principal effectue différentes missions et gagne des points à mesure qu’il atteint les objectifs. Les joueurs qui réussissent obtiendraient une petite récompense à la fin.
Est-ce ainsi que l’on crée une culture de la cybersécurité ?
Nous avons parlé de toutes ces petites choses qui contribuent à l’instaurer. Tout le monde dans l’entreprise doit être au courant des principaux problèmes de sécurité, des collaborateurs jusqu’aux cadres supérieurs. L’objectif est de pouvoir soutenir la sécurité et l’entreprise elle-même. Et lorsque chacun comprendra cela et remarquera ce qui se passe autour de lui, cela renforcera la résilience de toute l’entreprise.