Outiller les employés pour prévenir les cyberattaques

Même les technologies les plus avancées et les investissements considérables en matière de cybersécurité ne peuvent protéger entièrement les entreprises contre un cyberrisque important : leurs propres employés.

Dans le rapport Voice of the CISO 2024 de la société de cybersécurité Proofpoint, 74 % des répondants ont déclaré que l’erreur humaine constituait leur risque le plus important en matière de cyberattaques. Cette constatation ressort également dans une étude réalisée par Verizon en 2023, qui indique que l’erreur humaine est véritablement un facteur dans 74 % de toutes les atteintes, malgré les efforts constants des entreprises en vue de renforcer leurs défenses et d’améliorer la formation en matière de cybersécurité^1,2.

La formation des employés peut se révéler insuffisante pour plusieurs raisons, notamment les distractions au bureau, le manque de sensibilisation au rôle essentiel que jouent les employés en tant que première ligne de défense et la difficulté de demeurer au fait de l’évolution du paysage des menaces³.

Les petites et moyennes entreprises (PME) font face à un défi encore plus important : elles n'ont pas toujours les ressources nécessaires pour former leurs employés et s'en remettent à des tiers pour soutenir leurs mesures de sécurité. Cela peut facilement devenir une erreur coûteuse.

On croit souvent que les cybercriminels ne s'attaquent qu'aux grandes entreprises. Or, certains types d'attaques, comme le piratage psychologique, ciblent plus fréquemment les petites entreprises, qui n’ont généralement pas la capacité financière nécessaire pour  contrer une attaque et qui risquent la faillite, le cas échéant. Selon le rapport IBM sur le coût d’une violation de données en 2023, une atteinte aux données entraînerait, en moyenne, des coûts de 3,31 M$ É.-U. pour une organisation de moins de 500 employés^4,5.

Des étapes simples pour la formation des employés des PME

S’il n’est guère envisageable pour les PME d’organiser régulièrement des séances de formation approfondies à l’intention de leurs employés, il n’est pas nécessaire de se doter de stratégies d’atténuation complexes. Il existe des mesures simples et économiques, faciles à comprendre et à adopter, qui permettent aux PME de renforcer leurs efforts en matière de cybersécurité.  

Sensibiliser les employés au rôle essentiel qu’ils jouent : d’abord et avant tout, les employés doivent comprendre le « pourquoi ». Selon une enquête réalisée en 2023 par le Bureau d’assurance du Canada, de nombreux employés sous-estiment le rôle qu'ils jouent dans la cybersécurité au travail et l'impact d'éventuelles cyberattaques sur leur employeur. Près de la moitié d'entre eux (47 %) croient que la technologie joue un rôle plus important qu'eux à l’égard de la protection de leur lieu de travail contre les cybermenaces; 30 % pensent que leur employeur est le seul responsable de la protection de l'organisation contre les cybermenaces et 31 % ne croient pas que les cybercriminels risquent de les prendre pour cible⁶.

Que ce soit sous la forme d'ateliers interactifs ou de canaux comme les courriels et les affiches, les employeurs doivent régulièrement sensibiliser leur personnel à la sécurité. Lorsqu'ils sont conscients de l'importance de la cybersécurité et de leur rôle dans la protection de leur entreprise, les employés sont davantage portés à prendre ce problème au sérieux et à signaler toute activité suspecte^7,8.

Sensibiliser les employés aux menaces courantes et évolutives : il est essentiel de sensibiliser le personnel aux différents types de cyberattaques, ainsi qu’à la façon de les repérer et d’y réagir pour se prémunir contre les violations. Pour reconnaître les tactiques d'hameçonnage, par exemple, il faut savoir identifier les courriels suspects, les demandes inhabituelles et les faux sites Web. Les employés doivent aussi savoir à qui s’adresser en cas de message suspect. Dans une attaque de piratage psychologique, les cybercriminels peuvent imiter le style d’écriture d’un PDG pour inciter un employé à envoyer de l’argent. Dans de tels cas, les entreprises doivent mettre en place un système de double contrôle, dans le cadre duquel une 2^e personne doit vérifier la demande^9,10.

Dans le cadre de la formation visant à sensibiliser leur personnel, les PME peuvent miser sur des ressources en ligne gratuites : webinaires, trousses d’outils, articles et cours en ligne offerts par des organismes de cybersécurité comme le Centre canadien pour la cybersécurité et l’Institut canadien pour la cybersécurité, de même que la plateforme Pensez Cybersécurité du gouvernement du Canada et des entreprises de cybersécurité.

Il existe aussi d'autres moyens de tenir les employés au courant : bulletins d'information renfermant des conseils, des renseignements sur les menaces récentes et les pratiques exemplaires, des dîners-causeries informels où les employés peuvent partager des informations et des idées et une base de données ou un guide où les employés peuvent se tenir au fait des dernières menaces et trouver des réponses à leurs questions sur la cybersécurité^11,12,13

Entretenir une culture de la cybersécurité : il est essentiel d'instaurer une solide culture de la cybersécurité, c'est-à-dire de l'ancrer dans les valeurs de l'entreprise. Les PME doivent donner l'exemple en montrant que l'entreprise s'engage en faveur de la cybersécurité à tous les niveaux. Les employés seront ainsi davantage portés à suivre le mouvement. L'engagement des employés étant un élément clé de l'instauration d'une culture de la cybersécurité, les chefs d'entreprise devraient également reconnaître et récompenser les employés qui adoptent de bonnes pratiques¹⁴.

Une autre façon d’instaurer une solide culture de la cybersécurité est de parler la langue des employés. Les experts conseillent de communiquer dans un langage simple, d'éviter le jargon technique et de se concentrer sur des conseils pratiques que les employés peuvent utiliser au quotidien. Par exemple, plutôt que d'utiliser le terme « authentification multifactorielle », il suffit d’expliquer qu'il existe une couche de sécurité supplémentaire lors de la connexion¹⁵.

De plus, il importe de favoriser une communication ouverte et une culture exempte de reproches. Les employés doivent se sentir à l'aise de poser des questions, de signaler des courriels suspects et d’exprimer leurs préoccupations sans crainte de représailles¹⁶.

Si les PME peuvent faire face à des contraintes de ressources, l’absence d’investissement dans la cybersécurité – même dans les moyens les plus simples qui soient – est beaucoup plus coûteuse. En faisant de la sensibilisation des employés une priorité et en créant une solide culture de la cybersécurité, les entreprises peuvent faire de leur maillon le plus faible leur ligne de défense la plus solide.

 

 

Sources  

¹ Proofpoint, Proofpoint’s 2024 Voice of the CISO Report Reveals that Three-Quarters of CISOs Identify Human Error as Leading Cybersecurity Risk, 21 mai 2024.

² Verizon, 2023 Data Breach Investigations Report: frequency and cost of social engineering attacks skyrocket, 6 juin 2023.

³ Skillsoft, Why Security Training Fails And How To Fix It, 3 juin 2022.

⁴ StrongDM, 35 Alarming Small Business Cybersecurity Statistics for 2024, 1^er février 2024.

⁵ Business.com, The Cost of Cybersecurity and How to Budget for It, 13 août 2024.

⁶  Bureau d’assurance du Canada, Êtes-vous doué en cybersécurité? Les recherches du BAC révèlent que les propriétaires d’entreprise et les employés pourraient mettre leur organisation en danger, 6 novembre 2023.

⁷ LinkedIn, Vous devez sensibiliser vos employés à la sécurité. Quels sont les moyens efficaces?

⁸ FasterCapital, Train your employees on cybersecurity, 4 juin 2024.

⁹ Pure IT, Five Ways Small Businesses Can Stop A Cyber Breach From Ever Happening.

¹⁰ Teal, 5 Ways to Promote Employee Cybersecurity Awareness Training, 25 juillet 2024.

¹¹ Mitnick Security, Remote Security: 5 Cyber Security Tips for Employees and Businesses, 22 février 2024.

¹² The AME Group, Engage Employees To Increase Cyber Safety.

¹³  Compyl, Getting Started With Cyber Security Awareness Training for Small Business, 5 septembre 2024.

¹⁴ Babylon Solutions, Cybersecurity Guide for Small Businesses: How to Protect Your Company, 7 octobre 2024.

¹⁵ SMB Solutions, 10 Easy Steps to Building a Culture of Cybersecurity Awareness, 23 août 2024.

¹⁶ Tripwire, Cultivating a Cybersecurity Culture, 23 janvier 2024.