Publié le
9.3.2022
Temps de lecture :
8 minutes
Par
Caroline

Cybersécurité : les 4 bonnes pratiques à apprendre à vos collaborateurs

Selon le baromètre Fraude et cybercriminalité 2021, 2 entreprises sur 3 ont subi au moins une tentative de fraude l’année dernière, et 1 entreprise sur 5 a subi plus de 5 attaques. Plus encore, une entreprise sur deux remarquess une recrudescence de ces attaques suite à la généralisation du télétravail. Dans un contexte de dématérialisation des processus et des documents, de croissance du volume des données et de bouleversement des modes d’organisation du travail, l’adoption de bonnes pratiques en matière de cybersécurité s’impose comme essentielle.

Les directions des entreprises ne sont pas les seules à pouvoir agir : les collaborateurs ont également un rôle à jouer dans la prévention des risques en matière de sécurité. Dès lors, quelles sont les bonnes pratiques à mettre en place ? C’est ce que nous allons voir dans cet article. 

Cybersécurité : pourquoi est-il important d’impliquer les collaborateurs ?

L’anticipation des risques et la mise en place d’outils adéquats constituent une première défense en matière de cybersécurité. Pourtant, on tend à oublier le rôle essentiel que joue chaque employé pour protéger l’entreprise des risques de cyberattaque. Il est vrai que 90% des cyberattaques réussies impliquent une erreur humaine et que les postes de travail constituent la première source de failles de sécurité. Or, une politique de cybersécurité qui implique les collaborateurs permet de lutter contre ces failles, de prévenir les risques et de renforcer l’arsenal de protection de l’entreprise contre les Hackers. Ainsi, les collaborateurs qui ont été suffisamment sensibilisés et informés sur les risques en matière de sécurité informatique constituent les principaux remparts contre les cyberattaques. Pour s’assurer que les employés comprennent l’importance de la cybersécurité, notamment au regard des risques qu’une attaque ferait peser sur l’entreprise (risques financiers, risques réputationnels, risques matériels, etc.), il est essentiel d’intégrer la sécurité et la protection des données dans la culture de l’entreprise. À ce titre, le risque cyber doit faire partie intégrante de la culture du risque de l’entreprise et l’ensemble des collaborateurs doivent en comprendre les enjeux. L’implication pleine et entière des salariés est en effet un moyen efficace de sensibiliser ces derniers.

Mais pas question de s’appuyer uniquement sur la théorie, avec la mise en place d’une charte informatique non contraignante, par exemple. La politique de cybersécurité portée par les collaborateurs doit être ancrée dans le réel, et s’appuyer sur des exemples concrets pour que la réalité des dangers auxquels l’entreprise est exposée soit mieux saisie. Pour cela, il est possible de mettre en place tout un ensemble de bonnes pratiques. 

Bonne pratique n°1 : Sécuriser l’environnement de travail

La sécurité des données doit être au cœur de la politique de cybersécurité de l’entreprise. Pour cela, la Direction de la sécurité des systèmes d’information (DSSI) doit privilégier l’utilisation d’outils et d’équipements émanant de l’entreprise et ayant été sécurisés au préalable. À ce titre, il est important de rappeler aux collaborateurs que l’utilisation d’outils, logiciels ou solutions externes à l’entreprise (ou non validées par elle) est à proscrire, en raison des risques qu’elle induit. 

Un VPN (Virtual Private Network, ou réseau privé virtuel en français) pourra être mis en place pour sécuriser l’intégralité des données de l’entreprise, y compris lorsque les salariés travaillent à distance. Pour s’adapter aux nouveaux usages du travail hybride, la centralisation des données sur un Cloud privé pourra être envisagée. Cet outil permettra ainsi à l’ensemble des collaborateurs d’accéder à leurs données et leurs documents à n’importe quel moment, quel que soit l’endroit où ils se trouvent. 

Enfin, la DSSI pourra également mettre en place un processus de gestion des risques pour faire remonter les problèmes de sécurité rencontrés par les collaborateurs. Celui-ci peut s’effectuer au moyen d’une adresse mail spécialement dédiée, et portée à la connaissance de tous les collaborateurs, ou d’un groupe de conversation interne. 

Bonne pratique n°2 : Sensibiliser et former les collaborateurs

Les employés étant généralement les premiers visés par les cyberattaques, il est important de les sensibiliser aux risques et aux enjeux de sécurité informatique. Pour cela, on peut commencer par leur expliquer les conséquences plurielles d’une cyberattaque : arrêt de l’activité, atteinte à la réputation, perte de confiance des clients, pertes financières, etc. Autant de conséquences qui auraient un impact direct sur l’activité des employés ! 

Pour mener des actions de sensibilisation, plusieurs pistes peuvent être suivies. Outre la rédaction d’une charte informatique, qui doit servir de référentiel et être portée à la connaissance de tous les collaborateurs (y compris les plus anciens), la mise en place de formations obligatoires peut être un moyen efficace de sensibiliser les employés.

👉 L’objectif : faire prendre conscience des risques que court l’entreprise en matière de sécurité informatique et mettre en exergue les bons réflexes à adopter au quotidien. 

Enfin, des exercices pratiques peuvent être mis en place pour faire des enjeux de cybersécurité un sujet ancré dans le réel. Par exemple, la DSSI peut organiser une fausse campagne de Phishing, pour montrer aux employés comment identifier les fausses adresses email, et comment se prémunir des risques que le Phishing fait courir à l’entreprise : perte ou fuite de données, usurpation d’identité, pertes financières, etc. 

Bonne pratique n°3 : Organiser des simulations de cyberattaque

En matière de cybersécurité, les formations théoriques fournissent une base solide mais elles ne suffisent pas. Pour impliquer pleinement les collaborateurs et leur faire prendre conscience des risques informatiques, il peut être intéressant d’organiser des simulations de cyberattaques (ou test d’intrusion), lors desquelles l’entreprise devra faire face aux conséquences d’une fausse attaque. Ce type d’immersion permet non seulement aux collaborateurs de comprendre, d’un point de vue pratique, l’importance de se protéger contre les risques cyber, mais aussi d’apprendre à réagir lorsque survient une véritable attaque. 

Bonne pratique n°4 : Mettre en place une politique de lutte contre le shadow IT

Saviez-vous que 68% des Malwares proviennent du Cloud et du Shadow IT ?

Le Shadow IT, ou informatique parallèle, est un phénomène de grande ampleur qui désigne un ensemble d’usages informatiques non régulés et non contrôlés par l’entreprise. Par exemple, ce peut être un collaborateur qui utilise sur son poste de travail un logiciel non approuvé par la DSSI. Multipliée par l’ensemble des collaborateurs de l’entreprise, cette pratique peut vite s’avérer dangereuse. 

D’où l’importance de prendre des mesures contre le Shadow IT, notamment en renforçant la formation et la sensibilisation des employés aux usages informatiques, mais aussi en établissant des règles de gouvernance et en rappelant de manière régulière l’importance de recourir uniquement aux solutions validées par la direction des systèmes d’information. L’essentiel reste de ne pas ignorer le problème, mais bien de le prendre en compte dans sa politique de lutte contre les risques informatiques. 

Ce qu’il faut retenir

📌 Il existe plusieurs moyens de lutter contre une cyberattaque.

📌 La formation des collaborateurs est l'un des moyens de lutter contre une attaque informatique potentielle.

📌 En mettant en place des bonnes pratiques, il est possible de réduire les risques de devenir la victime d’une attaque informatique.


Vous aimerez aussi