C’est le mois de la sensibilisation à la cyber-sécurité par un moment où la sensibilisation à la cybersécurité devrait être à l’esprit de tous. Le risque d’attaque a grimpé en flèche, selon Atlas VPN. En effet, 45 % des organisations dans le monde ont été touchées par des cyber-attaques récurrentes, des logiciels malveillants en hausse de 358 % et des ransomwares de 435 %. Anna Collard, évangéliste et Vice Présidente Sénior de la supervision chez KnowBe4 Africa, avertit que l’ingénierie sociale demeure la cause principale utilisée par les ransomwares et autres attaques de logiciels malveillants pour obtenir un accès initial.
Il est devenu absolument essentiel de gérer les risques humains efficacement étant le vecteur d’attaque le plus utilisé par les cybercriminels.
« Il y a des façons d’atténuer le facteur de risque humain et de communiquer plus en profondeur avec vos employés », ajoute-t-elle. « Abordez la formation avec sensibilité, assurez-vous que vos employés sont engagés et que leurs préoccupations sont reconnues. »
Bien que les campagnes d’hameçonnage simulées soient très efficaces pour éduquer le personnel à ce sujet, une erreur courante commise par les entreprises lorsqu’elles se lancent dans ces campagnes est d’utiliser des sujets qui sont sensibles ou qui peuvent causer des bouleversements. Même si les escrocs utilisent des sujets tels qu’un faux bonus ou des mises à pied avec beaucoup de succès dans leurs campagnes, il n’est pas conseillé de les utiliser dans le cadre de la formation.
« Les gens ne réagissent pas bien à ce genre de campagne et cela peut souvent se retourner contre l’entreprise », déclare Anna Collard. « La meilleure façon d’aborder les sujets sensibles de l’hameçonnage est de fournir aux gens les outils dont ils ont besoin pour reconnaître les attaques potentielles et, ce qui est peut-être le plus important, de s’assurer que vos employés soient heureux. Les personnes heureuses et responsables sont la meilleure protection, alors travaillez à créer ce genre de culture pour réussir à long terme en matière de sécurité. »
Une autre approche clé consiste à demander de la rétroaction aux gens après les séances de formation et à l’utiliser. Préférez le bâton et la méthode de la carotte, plutôt qu’une méthode terrifiante et tourmentante. Si vous combinez des incitations négatives et positives, alors les gens seront plus enclins à travailler vers une culture de la sécurité. Le leadership en est un autre exemple. Il est important d’obtenir une participation de la direction qui va au-delà du parrainage. Faites en sorte que vos dirigeants deviennent les visages de vos campagnes de cyber-sécurité et qu’ils emboîtent le pas.
« Les gens sont attentifs à ce que font leurs leaders, alors pourquoi ne pas réaliser un clip vidéo de vos chefs d’équipe principaux afin d’expliquer aux employés, pourquoi ils sont, plus que quiconque, engagés à cet égard. », affirme Anna Collard. « Ajoutez à cet engagement personnel en vous assurant d’intégrer toutes les équipes et tous les silos. Travaillez avec le marketing, les équipes des communications internes, les RH et tous les autres services opérationnels pour créer une culture de sécurité complète et holistique. »
Un autre point critique est de s’assurer que vous commencez votre campagne avec une base de référence claire. Vous ne pouvez pas gérer ce que vous ne pouvez pas mesurer, alors créez une vue de base de votre statu quo actuel en matière de sécurité en effectuant une évaluation des compétences ou de la culture de sécurité et faites en le suivi chaque année. Cela vous aidera à présenter les améliorations et à gérer la formation plus efficacement. Enfin, rendez tout amusant, particulièrement en cette période de crise sanitaire.
« Les gens sont fatigués, épuisés et vivent en ligne, alors ne rendez pas votre campagne de sensibilisation à la cyber-sécurité ennuyeuse, fastidieuse et chronophage », conclut Anna Collard. « Rendez-le magnifique. Veillez à ce que les communications soient transparentes, à ce que le contenu soit significatif et à ce que chaque partie de la campagne mérite un engagement. Et soyez humain. Les émotions sont une technique d’engagement puissante, alors utilisez-les dans votre contenu. Racontez des histoires, faites preuve d’humour et n’oubliez pas que, par-dessus tout, vos employés sont d’abord des personnes. »