Sensibilisation à la Cybersécurité, orgueil et préjugés…
La cybersécurité ressemble aujourd’hui à un parcours pour le moins romanesque avec une intrigue pleine de rebondissements et d’imprévus ! Faire le parallèle avec le roman anglais « Orgueil et Préjugés » nous a paru évident pour le titre de cet article. Toute ressemblance avec l’œuvre s’arrêtera là car il s’agit de traiter ici d’un sujet qui peut faire toute la différence lors d’un incident de sécurité informatique : la sensibilisation à la cybersécurité.
Entre orgueil et préjugés, qu’est ce qui vous freine pour aller plus loin ?
Le saviez-vous ?
1 travailleur français sur 2 admet avoir cliqué sur un lien de « hameçonnage » au cours de l’année 2020.
C’est le pire score parmi les pays interrogés lors de l’étude menée par notre partenaire Webroot dans son rapport sur le comportement des clics des salariés en France.
La prévention est selon nous la meilleure solution pour protéger votre entreprise contre l’une des attaques les plus courantes, à savoir le PHISHING.
Les MSP proposent pour la plupart leur accompagnement avec une offre de sensibilisation à la sécurité numérique dédiée aux PME et TPE. Et pourtant les entreprises refusent encore trop souvent l’aide de leurs prestataires IT. Qu’est-ce qui vous freine ?
Quelle est la raison de cette réticence envers la sensibilisation à la cybersécurité?
Voici les 3 préjugés que nous rencontrons le plus fréquemment :
1- La sensibilisation à la cybersécurité n’a pas de valeur ajoutée
Pour les entreprises (chanceuses) qui n’ont pas encore été touchées par une cyberattaque importante, la sensibilisation à la sécurité peut ne pas avoir de valeur évidente.
Cela en vaut-il la peine ? Mes budgets sont déjà mis à rude épreuve, et ces euros ne pourraient-ils pas être mieux dépensés ?
Pourtant les chiffres parlent d’eux-mêmes : la sensibilisation à la cybersécurité ça fonctionne !
- Les sociétés qui ont sensibilisé de manière régulière leurs salariés ont jusqu’à 90% moins de logiciels malveillants que celles qui utilisent uniquement un antivirus.
- 60% des MSP qui ont effectué un programme de sensibilisation auprès de leurs clients indiquent que plus de courriels suspects leur sont signalés.
- 37% des MSP soulignent recevoir moins d’incidents de sécurité en général après avoir formé leurs clients.
Une perte de données ou un arrêt informatique peut coûter très cher à l’entreprise, sans compter le préjudice causé à la réputation de l’entreprise.
Face à ce risque devenu systémique, la cyber-résilience est un atout compétitif, créateur de valeur pour l’entreprise.
Cyber-résilience, qu’est ce que c’est ?
2- La sensibilisation à la cybersécurité, une fois ça suffit…
Les entreprises investissent parfois dans une formation unique effectuée en 1 jour, voire quelques heures, auprès de tous leurs salariés. Ca ne prendra pas trop de temps…
Et voilà… les consignes reçues ce jour-là passent aux oubliettes dès la semaine suivante…
La sensibilisation à la cybersécurité la plus efficace est celle qui s’adapte à la spécificité de l’entreprise et qui est effectuée de façon continue.
Tournez-vous vers des prestataires qui offrent un programme pertinent par rapport à votre métier et qui l’adaptent à vos utilisateurs les plus risqués.
La simulation de phishing est un entrainement intéressant.
Les données de notre partenaire Webroot indiquent que le taux moyen de clics pour une campagne de simulation de phishing est de 11%.
Cela tombe à 8% dès la deuxième campagne. Après 11 tentatives, le taux de clics tombe à 5%. Engagez-vous pour 20 campagnes et vous pouvez réduire ce taux à 2% !
3-La sensibilisation à la cybersécurité, mes salariés sont-ils concernés ?
Plusieurs facteurs peuvent réduire la volonté d’une entreprise d’initier un programme de sensibilisation. Le plus courant est que l’on se croit à l’abri, que cela n’arrivera pas dans notre entreprise, qu’il n’y a rien à voler. Et comme les salariés n’ont jamais remonté d’incidents à ce sujet…
Les cybercriminels le savent et exploitent désormais les 7 péchés capitaux dans leurs attaques : la peur, le stress, la convoitise, la paresse, l’orgueil… Leur objectif est d’aller vite pour ne pas laisser le temps au sixième sens ou aux équipes informatiques de réagir.
Quelle que soit la raison de la réticence, pour que la sensibilisation à la cybersécurité soit efficace, elle doit être d’actualité et crédible.
Nous vous suggérons le visionnage de micro-modules, tels que ceux du Mooc de l’ANSSI
Ces mini-cours peuvent amener vos employés à s’engager à vos côtés pour lutter contre les cyber-menaces.
Pour vous aider à surmonter ces obstacles, nous vous recommandons de mettre en parallèle ce que vous coûterait un arrêt informatique. Vous pouvez utiliser ce calculateur de temps d’arrêt informatique et estimer les pertes financières.
Combien de temps votre entreprisse peut-elle survivre à un crash ?
Enfin si vous pensez que cela n’arrivera pas dans votre entreprise, l’actualité rappelle quasi quotidiennement les impacts des cyberattaques sur la survie même des entreprises. Une étude de novembre 2020 du Groupe Bessé indique que pour les entreprises qui ne se protègent pas le risque de défaillance est de 80% après une cyberattaque (étude Bessé).
Faites confiance aux professionnels de l’informatique lorsqu’ils vous alertent sur les vulnérabilités de votre informatique : mises à jour (Windows7, logiciels), sauvegardes, gestion des mots de passe. Leurs conseils sont précieux et investir aujourd’hui c’est vous protéger demain.
Le numérique d’aujourd’hui exige une meilleure cyberprotection. La sécurité managée de votre environnement informatique est possible, et avec une sensibilisation régulière et adaptée, vous serez en mesure de limiter les risques.
Aucun système n’est infaillible, et n’importe qui peut se faire voler des données ; le but du jeu est de rendre la tâche beaucoup plus difficile et donc moins rentable pour les criminels.