Bien que les cyberattaques se multiplient, un étrange sentiment persiste encore au sein de beaucoup d’entreprises : ces accidents n’arrivent qu’aux autres. Faut-il y voir un dangereux déni, une méconnaissance des enjeux cyber ou au contraire une outrecuidance technologique ? Face à cette menace croissante, les collaborateurs doivent être sensibilisés avec des actions de communication interne régulières.
Dans 93 % des cas, un attaquant hostile peut pénétrer le réseau d’une organisation et accéder aux informations relatives à l’administration du réseau et ses fonctions sensibles. C’est ce qui ressort d’une étude de Positives Technologies, réalisée en décembre 2021, auprès d’entreprises de divers secteurs d’activités au cours de tests d’intrusion.
Toujours selon cette étude, la compromission des informations d’identification, notamment à cause de mots de passe faibles faciles à déchiffrer ou laissés en évidence (71 % des entreprises), reste l’une des failles les plus récurrentes.
Le facteur humain, essentiel mais imprévisible
Aujourd’hui, aucun collaborateur (ou presque) travaille hors connexion. Même les plus itinérants (forces de vente commerciales, livreurs, hommes d’affaires etc.) ont besoin d’accéder aux ressources informatiques de leur entreprise d’appartenance. C’est précisément là que le bât blesse en matière de cybersécurité. Une enquête réalisée en 2017 par Kaspersky Lab et B2B International vient en effet corroborer cet état de fait. On y lit que l’utilisation inappropriée des ressources informatiques par les salariés est à l’origine des attaques subies par 39 % des organisations mondiales sur une période de 12 mois.
C’est effectivement le facteur humain qui constitue le risque majeur pour les systèmes et les réseaux informatiques des organisations. L’édition 2022 de l’Index IBM « X-Force Threat Intelligence » confirme ce constat. L’erreur humaine est la cause des incidents de sécurité dans plus de 90 % des cas, et les postes de travail constituent la première source de failles de sécurité.
Outre le vol ou le décodage d’identifiants qui reste une voie d’accès toujours prisée par les pirates informatiques, le phishing a aussi rapidement émergé ces dernières années. L’index d’IBM établit que ce mode d’intrusion a représenté 4 attaques sur 10 en 2021 et qu’il continue de progresser. Le rapport d’IBM relève aussi que le mois de juin 2021 aura marqué un record dans le palmarès des attaques informatiques : 222 127 attaques ont été liées à l’hameçonnage.
Plus de connectivité, plus de sensibilité
Cette recrudescence est en partie liée aux modes de travail qui se sont imposés depuis la pandémie de covid-19. La généralisation du télétravail dans les entreprises et sa fréquence accrue implique de nouveaux modes de connexion des collaborateurs aux infrastructures informatiques de leur organisation. Cela représente autant de nouveaux points faibles qu’un cyberattaquant peut être tenté de forcer pour contourner la sécurité informatique d’une société.
L’observation vaut également pour le cloud computing auquel recourent massivement les organisations pour des raisons techniques, financières et sécuritaires. Or là aussi, cela génère des échanges informatiques supplémentaires où le facteur humain peut provoquer une faille.
Raison pour laquelle il est devenu impérieux pour les organisations – petites, moyennes, grandes et mondiales – de mobiliser leurs collaborateurs sur le sujet de la cybersécurité. Le cabinet britannique IPA a publié une étude, en 2016, dans laquelle il a passé au crible 874 violations de données. Il en ressortait que 22 % d’entre elles provenaient d’activités malveillantes d’employés mais que 65 % étaient liées à la négligence des salariés (ou de partenaires).
Intégrer les résistances potentielles des collaborateurs
Communiquer sur ce thème en interne est donc une gageure. Il convient d’abord de prendre en compte quelques freins potentiels pour que la sensibilisation aux risques cyber soit prise au sérieux. La génération « Y » (les actuels 18-34 ans) présente, à ce sujet, un paradoxe à traiter. Plusieurs études montrent en effet que cette tranche d’âge, née avec l’usage de la technologie numérique, est nettement moins sensible aux consignes de sécurité informatique.
En 2015, une enquête en ligne de Software Advice, auprès de 529 employés d’entreprises, pointait déjà cette propension à une certaine forme de laxisme. 40 % de ces mêmes salariés utilisent des appareils personnels pour accéder à des fichiers professionnels.
L’étude de la National Cyber Security Alliance et Raytheon remarquait, elle, que 52 % des 1 000 personnes sondées (âgées de 18 à 26 ans) avaient branché un dispositif USB, qui leur avait été donné par un tiers, sur leur matériel professionnel.
Faire simple, concret et ludique
Sensibiliser à la cybersécurité passe d’abord par la capacité de chacun à comprendre de quoi il retourne exactement sans pour autant devoir se transformer en spécialiste. Cela suppose de décrire simplement les différentes catégories d’attaques numériques auxquelles une organisation est exposée : virus, malware, attaques DDoS, ransomware, phishing etc.
Aujourd’hui, il existe à disposition des communicants et des informaticiens des outils pour proposer des contenus lisibles, voire ludiques, permettant à chaque collaborateur de prendre concrètement conscience du caractère crucial de la cybersécurité pour son entreprise et d’adhérer ainsi à la politique de sécurité.
Une fois cette étape de sensibilisation accomplie, il s’agit alors de déployer des campagnes de formation sous forme d’e-learning, de cours en présentiel avec des exercices pratiques, de serious games ou des simulations en temps réel. Tout en évoquant, en parallèle, les conséquences d’une cyberattaque sur la vie de l’entreprise : activité perturbée ou arrêtée, perte de confiance des clients, coûts financiers, image de marque amoindrie, risques sur l’emploi, etc.
La cybersécurité doit être dans l’ADN de l’organisation
La cybersécurité doit être consubstantielle à la culture de l’organisation. C’est la condition pour réduire les risques d’intrusions malveillantes. Pour s’en convaincre, il suffit de se remémorer comme exemple la campagne de communication interne sur la cybersécurité réalisée en octobre 2019 par Elior Group, acteur mondial de la restauration sous contrat. En s’appuyant sur un film de fiction et un site web pédagogique dédié, l’entreprise a d’abord ciblé ses opérations en France. L’effort a vite porté ses fruits : les signalements de la part des collaborateurs ont été multipliés par 5. Le projet a alors été développé à l’international auprès des 132 000 salariés du groupe.
la newsletter
la newsletter