La plupart des DSI ont beau se démener pour mettre en place tout l’arsenal technologique possible pour protéger leur IT, les attaquants misent avant tout sur la faille humaine. Selon France Num, « 90 % des cyberattaques trouvent leur origine dans une erreur humaine ». C’est largement suffisant pour conclure qu’aujourd’hui, le premier rempart contre la cybermenace, c’est bel et bien l’utilisateur final. Mais comment faire pour éviter la cata suite à un clic malheureux de Stéphane de la compta ? Spoiler : un minimum de sensibilisation et de formation continue peut déjà faire des miracles.
Pourquoi l’utilisateur est la cible principale des cybercriminels ?
Les hackers ont peu de scrupules, mais ils ne sont pas stupides. Ils savent que percer un système bien protégé peut s’avérer compliqué… alors que tromper un employé est souvent plus simple.
Il dispose pour cela de plusieurs cordes à son arc, déjà bien connues, mais qui font toujours autant de ravages…
- Phishing : Le grand classique. Un e-mail qui imite la banque, un lien vérolé, et hop, on récupère les identifiants ou le code d’accès. C’est d’autant plus facile que les hackers soignent de plus en plus le design, avec logos officiels et langage quasi parfait. Merci l’IA au passage…
- Erreurs humaines : Ouvrir une PJ suspecte, laisser traîner un mot de passe sur un post-it, oublier de verrouiller sa session… la routine quoi.
- Shadow IT : L’utilisateur qui installe un « petit logiciel gratuit » » ou qui utilise un outil cloud perso pour bosser, sans demander l’avis de la DSI. Autant dire que ça peut exposer l’entreprise à des failles monumentales.
Bref, le collaborateur, c’est la porte d’entrée la plus simple pour qui veut s’introduire dans un SI.
D’où l’importance de le muscler un peu sur ces sujets.
Les risques liés à un manque de sensibilisation
Dans ce contexte, il faut former et sensibiliser, pas le choix (nous y reviendrons plus bas). Si vous négligez cette partie, vous exposez votre entreprise à des perte de données confidentielles (tout un business plan qui part en fumée, ou votre base client qui se retrouve sur le Dark Web).
En récupérant les identifiants d’un salarié, un hacker peut également se balader dans vos systèmes, se faisant passer (plus ou moins longtemps) pour un collègue. Bonjour la discrétion et la profondeur d’attaque.
Certains hackers bossent aussi pour des concurrents ou des États et pratiquent l’espionnage industriel. Récupérer des secrets de R&D ou autres informations stratégiques, c’est toujours une grosse prise.
En gros, retenez qu’une petite bourde peut avoir de très grosses conséquences.
Tout le monde l’a déjà entendu 100 fois, mais il faut le répéter : votre SI est aussi fort que votre maillon humain le plus faible !
Les bonnes pratiques que chaque employé doit connaître
Du coup, concrètement quelles sont les bonnes pratiques à maîtriser ? Alors déjà, on ne demandera jamais à tout vos salariés de devenir des experts en cybersécurité. L’idée est plutôt d’adopter quelques bons réflexes salutaires :
- Gestion des mots de passe : un mot de passe solide, différent pour chaque service critique, et idéalement géré via un gestionnaire (genre KeePass, 1Password…), plutôt que sur un post-it ou un tableur.
- Vigilance emails : Ne jamais cliquer sur un lien louche, toujours douter, vérifier l’expéditeur, se méfier des pièces jointes non sollicitées, signaler tout mail suspect au service IT. Oui, ça prend 30 secondes en plus, mais ça peut éviter la catastrophe.
- Sécurisation des postes de travail : Verrouiller sa session en s’absentant, ne pas brancher n’importe quelle clé USB, faire les mises à jour. Des basiques, mais encore trop rarement appliqués.
D’un point de vue IT, c’est déjà une bonne base, un bon début.
On pourrait y ajouter la vigilance sur les réseaux sociaux (éviter de publier trop d’infos qui pourraient servir au phishing ciblé), ou un peu de prudence sur les outils collaboratifs externes.
Comment mettre en place une politique de sensibilisation efficace ?
Nous le savons, vous le savez, ils le savent, les mails de consignes génériques finissent souvent dans la corbeille.
Pour ancrer les bonnes pratiques, il faut du concret, du ludique, et surtout…
…de la régularité !
La session unique de formation/sensibilisation, même si c’est mieux que rien, oubliez ! La cyber est un sujet qui évolue très vite et qui doit s’ancrer dans le quotidien, via une sensibilisation continue.
Cela peut se traduire par exemple par de courtes sessions mensuelles/trimestrielles de type :
- E-learning : une plateforme dédiée à l’UX bien pensée, des modules courts, interactifs, avec petits quiz à la fin. Histoire que les salariés retiennent l’essentiel.
- Exercices pratiques : tester la réaction en lançant une fausse campagne de phishing pour voir qui mord à l’hameçon (en toute bienveillance bien évidemment).
- Simulations d’attaques : Créer une mini-crise simulée (ex : « on suspecte un ransomware, comment on réagit ? »), histoire de mettre les équipes dans l’ambiance et d’améliorer la coordination.
L’idée est bien de créer une culture de la cyber, et d’instaurer une vigilance constructive, pas un climat de peur.
Tout le monde doit se sentir impliqué, pas seulement la DSI et/ou le RSSI.
L’importance d’un programme de formation continue
Comme précisé plus haut, une seule formation par an, c’est toujours mieux que rien, mais c’est clairement insuffisant. Les bonnes résolutions prises il y a six mois s’oublient si personne ne les rappelle régulièrement.
Il est donc important de mettre en place un programme de formation digne de ce nom, en gardant toujours à l’esprit que l’investissement sera rentable : un collaborateur vigilant, c’est votre surface d’attaque qui diminue, et potentiellement des milliers (voire millions) d’euros épargnés en cas de tentative de ransomware ou de fraude au dirigeant.
Aussi, pour améliorer l’efficacité de votre programme de formation, pensez bien à :
- Adapter les contenus : Le service RH n’a pas les mêmes enjeux que l’équipe DevOps ou la compta. On module le discours et les exemples selon les profils.
- Éviter la saturation : Trop de formations tue la formation. Mieux vaut des piqûres de rappel brèves et régulières (webinaires mensuels, mini quiz trimestriels…) qu’un gros bloc ennuyeux.
- Mettre en avant les retours d’expérience : Montrer des cas concrets d’autres boîtes qui se sont fait piéger, expliquer le « comment » et le « pourquoi ». Ça parle plus que dix slides théoriques.
Sans formation, tous les boucliers tech ne servent qu’à retarder l’inévitable
Les firewalls, l’EDR, l’analyse comportementale, les backups… tout ça, c’est très bien, mais si l’utilisateur (distrait, pressé, non sensibilisé) tombe dans le premier piège venu, alors tous les boucliers tech ne serviront qu’à retarder l’inévitable.
La cybersécurité commence par chaque utilisateur du SI : formez vos équipes avant qu’il ne soit trop tard !