Il est essentiel de former les employés à reconnaître et à éviter les cyberattaques pour sécuriser votre organisation. Mais comment commencer ? Voici quelques bonnes pratiques et outils pour vous aider à y parvenir.
Dans le domaine de la cybersécurité, le facteur humain est un élément non négligeable. 95 % des cyberincidents sont le résultat d’une erreur humaine, selon les chiffres du WEF en 2022. Les statisticiens se disputent le pourcentage exact, mais les employés sont généralement considérés comme le tendon d’Achille pour la sécurité de l’entreprise.
On peut investir dans des antivirus et des pare-feu aussi longtemps que l’on veut, si les employés ne cessent de cliquer sur des liens suspects, ces outils ne servent à rien. Les employés ne sont pas toujours conscients de leur responsabilité et des conséquences de leur comportement numérique dangereux. L’ingénierie sociale, un ensemble de techniques d’attaque qui tentent d’exploiter le comportement humain, y compris l’hameçonnage, augmente d’année en année.
Cependant, on apprend à tout âge, et la cybersécurité est aussi largement une question d’apprentissage de la manipulation de la technologie en toute sécurité. Aujourd’hui, il existe de nombreux cours (en ligne) pour vos employés, mais sans directives, ils ont rarement l’effet désiré. La formation à la cybersécurité est un processus qui demande du temps et des efforts.
Les sept niveaux d’hameçonnage
L’hameçonnage est depuis longtemps la méthode la plus utilisée par les pirates pour s’introduire dans les entreprises. Bien que le danger soit désormais bien connu, les gens tombent dans le piège tous les jours. Les e-mails d’hameçonnage deviennent de plus en plus sophistiqués et réalistes.
Un e-mail envoyé par un prince nigérian qui vous laisse tout son héritage à condition que vous viriez une petite somme est connu par presque tous. Mais il est plus risquant quand un e-mail semble provenir de votre chef ou d’un collègue à propos d’un projet sur lequel vous travaillez en ce moment même. L’utilisation de l’IA rendra les e-mails d’hameçonnage encore plus réalistes, donc il faudra davantage former vos employés à la détection de l’hameçonnage.
L’hameçonnage comprend plusieurs niveaux. Plus un pirate peut trouver d’informations personnelles, plus il peut personnaliser l’e-mail et plus la victime est susceptible d’y croire. Tout dépend aussi des efforts que le pirate veut consacrer à sa campagne. Hornetsecurity, société de sécurité, distingue sept niveaux d’hameçonnage, énumérés ci-dessous avec le temps de préparation que chaque type nécessite de la part du pirate.
| Niveau | Quoi ? | Temps de préparation |
| 1 | Hameçonnage de masse : e-mails frauduleux envoyés en masse à des adresses aléatoires. Un exemple typique est un faux e-mail imitant bpost disant qu’un colis est en cours de livraison. | +/- 15 minutes |
| 2 | Fraude de PDG : un e-mail censé provenir d’un cadre supérieur de l’organisation. | +/- 1 heure |
| 3 | E-mail d’hameçonnage ciblé (« spear phishing ») contenant des informations publiques sur l’entreprise. | +/- 2 heures |
| 4 | E-mail d’hameçonnage ciblé avec une référence directe au service ou au rôle de la victime, ou e-mail d’un collègue ou d’un supérieur immédiat. | +/- 4 heures |
| 5 | E-mail usurpé (« spoofed ») provenant d’un partenaire d’affaires qui n’a pas activé la protection contre l’usurpation d’identité ou dont le compte a été piraté. | +/- 6 heures |
| 6 | E-mail d’un contact personnel en réponse à une conversation antérieure. Souvent à partir d’un compte de messagerie piraté. | +/- 12 heures |
| 7 | E-mail d’hameçonnage ciblé qui fait référence à des sujets sur lesquels le destinataire travaille actuellement, par exemple une mise à jour sur un projet en cours. | Plus de 20 heures |
Source : Hornetsecurity
La clé, c’est la répétition
La principale compétence que les employés doivent acquérir est de savoir comment détecter les e-mails d’hameçonnage, les adresses électroniques et/ou les liens suspects. Ce guide explique en détail les nombreux indicateurs à observer. Mais il ne suffit pas de donner un cours obligatoire par an à vos employés pour qu’ils acquièrent ces compétences, surtout pour ceux qui sont moins compétents en informatique.
Organisez des formations et des recyclages continus afin de maintenir les connaissances et de tenir les employés au courant de l’évolution des menaces. Mais veillez à ne pas en faire trop non plus : bombarder les employés avec des avertissements ou les réprimander fonctionne simplement de manière contre-productive. Le secret réside dans le fait de considérer les employés non pas comme un risque, mais comme la première ligne de défense. Un pare-feu, mais en chair et en os.
Pour aller au bout de la formation à la cybersécurité, il est souvent nécessaire d’adopter une approche fondée sur les données. Définissez des indicateurs de performance clairs qui vous permettront de suivre les progrès des employés. À cette fin, Hornetsecurity a développé l’indice de sécurité des employés (« Employee Security Index »), un score qui indique le niveau de performance d’un employé par rapport à celui d’un « employé exemplaire ».
Un score de 90 ou plus équivaut à un comportement exemplaire sur cette échelle. Si votre score est de 80, vous avez commis des erreurs deux fois plus souvent (par exemple en cliquant sur un lien d’hameçonnage), et 70 signifie que vous avez manqué de vigilance trois fois plus souvent. Un rapport parfait n’est pas réaliste, les gens font des erreurs, mais si le score tombe en dessous de 70, un recyclage supplémentaire est nécessaire sans délai.
L’échelle de Hornetsecurity souligne également l’importance de la répétition de la formation. Une analyse de 1,7 million de simulations d’hameçonnage montre qu’avec suffisamment de répétition, l’employé moyen peut augmenter son score de 30 points au bout de 12 mois. Mais après un mois de pause, le score chute à nouveau de cinq points. Après quatre mois sans formation, la chute dépasse les trente points et il faut recommencer.
La cybersécurité est une question de répétition, mais trop d’avertissements vont à contre-courant. Considérez votre personnel non pas comme un risque, mais comme la première ligne de défense.
Formations sur mesure
Le rythme des formations est tout aussi important que leur contenu. Pour mobiliser les employés, il faut que le contenu de la formation soit pertinent pour eux. Veillez à ce que les exercices de simulation soient adaptés aux rôles et aux responsabilités de chacun, ainsi qu’aux risques potentiels auxquels ils peuvent être confrontés.
La création et la mise en œuvre d’un programme de formation personnelle pour chaque employé demandent beaucoup de temps et de ressources. Souvent, cette tâche déborde des équipes informatiques déjà surchargées de travail. Les plates-formes de formation numérique telles que le Hornetsecurity Awareness Service s’avèrent alors très utiles.
Le Security Awareness Service automatise tout le processus de formation. Le moteur de sensibilisation (« Awareness Engine ») crée automatiquement un calendrier pour l’utilisateur : la durée de la formation dont chacun a besoin et le contenu le plus pertinent. Ensuite, l’employé recevra régulièrement des e-mails simulant une tentative d’hameçonnage, même si, bien entendu, il ne sait pas quand ces e-mails arriveront. Tout ce processus est aussi automatisé.
Ensuite, on peut consulter le tableau de bord de la sensibilisation (« Awareness Dashboard ») pour suivre les progrès accomplis par chacun. Les résultats ne sont pas seulement liés à la fréquence des clics sur l’e-mail, mais aussi à la fréquence des signalements d’e-mails d’hameçonnage. En fonction du comportement de l’employé et du niveau de difficulté des exercices, le score ESI, voir plus haut, est déterminé pour chaque employé. Pendant la formation, ce score peut être réévalué pour adapter le programme de formation aux besoins de l’employé.
Le Security Awareness Service ne se limite pas à l’hameçonnage. Les employés ont également accès à des tutoriels et à des vidéos via leur tableau de bord personnel, pour apprendre à sécuriser leurs comptes, à envoyer des e-mails sans risque, etc. Le tableau de bord leur permet également de suivre leurs progrès personnels.
Cette méthode augmente l’engagement des employés. Ils sont libres de suivre les tutoriels quand et où ils le souhaitent et ne reçoivent que des exercices adaptés à leur situation. La formation à la cybersécurité peut également être vraiment plaisante.
Pour mobiliser les employés, il faut que le contenu de la formation soit pertinent pour eux.
Cet édito a été réalisé en collaboration avec Hornetsecurity. Pour plus d’informations sur Security Awareness Service et les autres solutions de sécurité de la société, cliquez ici.