La plupart des entreprises, même les plus petites, disposent aujourd'hui des défenses basiques en matière de sécurité informatique : pare-feu, antivirus, antispam, et j'en passe.
Elles admettent également que ces défenses sont bien loin de suffire et qu'elles font régulièrement face à des menaces qui sont parvenues à passer entre les mailles du filet, car aucune technologie à elle seule ne peut apporter de solution définitive aux problèmes de sécurité actuels.
Sommes-nous le maillon faible ?
Les hackers l'ont compris depuis longtemps : la faille la plus facile à exploiter dans un système d'information est l'humain, vous, moi, tout le monde. Il est en effet facile d'abuser de notre manque de vigilance ou de connaissances.
La plupart des menaces diffusées aujourd'hui passe donc par des techniques de "phishing", en français hameçonnage, qui consistent à nous faire croire que nous avons affaire à un tiers de confiance afin de nous soutirer des renseignements personnels comme un mot de passe, un numéro de carte de crédit, etc...
Le phishing coûte très cher chaque année aux entreprises, en raison des demandes de rançon et autres arrêts de production induits par les infections, et pourtant un aspect très important de la prévention de ce risque a été oublié, un aspect présentant en outre un retour sur investissement rapide : la formation.
Human firewall
Si les collaborateurs peuvent parfois être dupés, ils peuvent aussi être la meilleure ligne de défense de l'entreprise si on les aide à développer leur conscience des risques liés aux usages du numérique, et qu'on les y entraîne.
Développer cette conscience, cette vigilance, c'est bien plus que simplement dispenser des formations, il s'agit de proactivement empêcher les menaces de sécurité de surgir, à travers de l'éducation mais aussi de l'entraînement régulier à réagir à des simulations d'attaques. Savoir comment vérifier l'information, qui contacter, que faire en cas de doute.
L'objectif, c'est de permettre aux collaborateurs de penser comme des professionnels de la sécurité : prendre son temps, regarder avec attention, réfléchir avant d'agir (Stop, Look, Think). Ces principes de base ne viennent pas de l'informatique, ils sont présents dans toute démarche de sécurité. Nous devons simplement apprendre à user dans nos activités numériques des mêmes précautions et bonnes pratiques que dans le monde réel.
Enfin comme dans toute population, certains nécessiteront plus d'efforts que d'autres afin d'arriver au niveau souhaité. Il faudra donc identifier les plus vulnérables afin de leur proposer un contenu plus ciblé ou plus accessible.
Tout ça prend du temps
C'est vrai ! Mais des solutions existent tout de même pour ne pas avoir à tout faire soi-même. Notamment, il existe des plateformes de formation et d'entraînement en ligne permettant de gérer ses campagnes de sensibilisation et proposant un contenu riche en de nombreuses langues.
N'hésitez pas à me contacter pour plus d'informations sur ces solutions et d'ici là n'oubliez pas :
Stop, Look, Think !
catégories :