KYOS

Sensibilisation à la cybersécurité

Image de Charles Badjaksezian

Charles Badjaksezian

Security Consultant

Sensibilisation cybersécurité - Hacker en train de pirater

Pourquoi la sensibilisation à la cybersécurité (ou sécurité informatique) est fondamentale à votre sécurité en général ? Comment inscrire une sensibilisation dans un programme complet de formation à la sécurité informatique ? Est-ce qu’une plateforme d’e-learning est suffisante pour conduire ces formations à la cybersécurité ? 

Vous a-t-on mis au volant d’une voiture sans vous expliquer le code de la route ou avoir soumis à un examen validant vos connaissances de conduite ? 

Avez-vous appris à faire du vélo en regardant des vidéos ou en lisant un manuel ? 

Finalement, avec la technologie, c’est à peu de choses près ce que le monde a fait avec vous. Vous vous retrouvez immergé de la tête au pied dans un monde technologique, sans nécessairement avoir été informé des tenants et aboutissants. 

Pour donner quelques analogies avec le monde physique, on comprend pourquoi il nous faut des clés plus robustes pour ouvrir sa maison que pour ouvrir sa boîte aux lettres. On comprend pourquoi si nous n’avions qu’une seule clé pour tout ouvrir (voiture, maison, bureau, etc.) et que l’on perd cette clé, cela serait problématique. 

Or, transposés dans le monde numérique, certains comportements sont très proches de cette analogie. 

Utilisez-vous des mots de passe différents pour chaque service ? Savez-vous si l’un des sites que vous fréquentez s’est fait pirater (dis plus clairement : vos données se sont fait voler ! Et peut-être, même votre mot de passe est désormais publiquement accessible !). 

Table des matières
    Add a header to begin generating the table of contents
    Scroll to Top

    Un programme de formation / sensibilisation à la sécurité informatique est là pour cela !

    Avant de développer comment construire un programme de sensibilisation à la sécurité informatique (ou sensibilisation à la cybersécurité), voyons les objectifs d’un tel programme. Pourquoi est-ce nécessaire de former les collaborateurs de votre entreprise aux menaces numériques ? 

    1ère raison de former vos collaborateurs : Ils sont au front

    Cle-USB-Infecte-Malware-Sensibilisation-Securite-Informatique-Peripherique

    Il est plus simple d’entrer dans un bâtiment en se faisant inviter (un entretien d’embauche par exemple) que de forcer la porte et outrepasser tous les systèmes de surveillance. 

    C’est exactement de cette manière que les pirates commencent par s’introduire dans votre système d’information. En œuvrant à convaincre vos collaborateurs que leur sollicitation est légitime et qu’il faut les laisser entrer. 

    Le mail et le téléphone étant les vecteurs les plus fréquents et les moins coûteux, le nombre de messages reçus est et restera très élevé. 

    Aussi, la sensibilisation à la cybersécurité se doit d’expliquer les techniques employées par les pirates, et surtout, de donner les moyens de les déjouer lorsqu’elles sont utilisées

    2e raison de sensibiliser vos collaborateurs à la sécurité informatique : Ils sont votre meilleure défense

    Leur position de 1ère ligne les expose comme nous l’avons développé précédemment, certes. En plus, ils sont vos sentinelles. Ils seront les premiers à voir qu’un virus est en train de se propager.

    Ce sera le cas si un virus arrive à passer toutes les barrières en place (antispam, firewall, antivirus, etc.). Vos collaborateurs doivent apprendre à réagir, et vite. La vitesse de réaction sera même fondamentale pour limiter la propagation et limiter au maximum les dégâts.

    La sensibilisation à la cybersécurité sera le moment de briser la croyance que le service informatique sait tout sur tout, et ce, instantanément. Il est vrai que de nombreuses traces existent, que de nombreux moyens pourront assister à l’investigation a posteriori. Telles les caméras de vidéosurveillance, ces traces seront utiles après le méfait, plus difficilement avant (c’est évidemment possible, toutefois, les moyens ne sont que trop rarement déployés pour cela).

    Vos collaborateurs doivent comprendre les mesures en place pour également les respecter ! Une étude réalisée par HP montre que 31% des 18-24 ans ont déjà tenté de contourner les mesures de sécurité en place.

    Employé Contournement Mesures Sécurité - Sensibilisation Cybersécurité

    3e raison d'avoir un programme de sensibilisation aux menaces informatiques : Ils sont les acteurs de votre performance

    Le bain technologique dans lequel nous vivons s’étend aussi dans votre vie privée. Votre smartphone, votre tablette, votre ordinateur à domicile, votre télévision, votre radiateur, votre réfrigérateur, etc., tout est connecté. 

    Améliorer sa posture de sécurité numérique en général, tant d’un point de vue privé que professionnelle, sera bénéfique aux deux mondes (professionnel et personnel). 

    Avec l’essor du télétravail, les équipements à partir desquels vos collaborateurs se connectent à votre système d’information sont tellement vastes qu’aucune technologie ne pourra tout protéger. 

    Aussi, investir dans la formation de vos collaborateurs est de votre devoir… cet exemple largement utilisé sur Internet a pour vocation de le rappeler : 

    CFO: What happens if we train them and they leave?  

    CEO: What happens if we don’t and they stay? 

    L’objectif est que chacun comprenne les risques encourus aussi simplement qu’il comprend les conséquences d’un dépassement de vitesse. La prochaine fois que vous brancherez votre téléphone, vous devrez comprendre les conséquences de cliquer sur « Autoriser l’accès », et peut-être direz vous « Refuser ». 

    Une sensibilisation à la cybersécurité VS un accompagnement à l'utilisation des outils informatiques

    L’expérience d’avoir formé plusieurs milliers de personnes dans des dizaines de secteurs d’activités différents amène au constat suivant : 

    De très nombreux collaborateurs sont des utilisateurs de technologies qu’ils n’ont pas eu le temps de s’approprier et de comprendre. Adopter des pratiques sécurisées est une tâche supplémentaire à leur quotidien alors qu’ils ont d’abord besoin d’être accompagnés pour mieux comprendre les technologies. 

    Par exemple, expliquer que les macros contenues dans les fichiers Office peuvent être malveillantes lève déjà la question de savoir ce qu’est une macro ! 

    La formation continue de vos collaborateurs aux technologies est donc essentielle tant pour gagner en efficacité dans leur utilisation que pour ensuite pouvoir construire votre défense humaine face aux sollicitations des pirates informatiques. 

    In fine, les deux plans de formation se doivent d’être complémentaires. Chaque nouvelle technologie déployée dans votre environnement de travail correspondra à un ensemble de bonnes et de mauvaises pratiques.

    Comment former des collaborateurs à identifier les menaces informatiques ? Comment les former à leur propre cyber sécurité ?

    Le sujet est tellement vaste, les termes employés sont tellement techniques, comment faire pour former plus qu’informer ? 

    D’une part, on aurait tendance à imaginer qu’il faille distiller des contenus (mini-vidéos, brefs articles, newsletters), d’autre part, il y a tellement de sujets à aborder qu’il faudrait des années pour n’en serait-ce que faire le tour. 

    Formez vos collaborateurs pour leur propre intérêt, ils seront bons pour vous

    Gestion des mots de passe - Formation Sécurité Informatique - Post-It

    Lorsque vous formez votre équipe à utiliser un défibrillateur et aux autres gestes de premiers secours, ce n’est pas uniquement pour sauver les autres collègues. Cela peut leur être utile tous les jours.

    Pour la cybersécurité, c’est la même chose. Donnez-leur les moyens de comprendre les menaces informatiques qui rôdent et ils sauront mieux éviter les pièges, tout le temps !

    Une fois les bons gestes acquis, vous pourrez alors les compléter aux besoins spécifiques de votre organisation. 

    Une sensibilisation à la cybersécurité doit toucher les émotions et donner des réponses applicables

    Les émotions sont essentielles à la mémorisation. Toutes les leçons apprises par cœur la veille pour le lendemain sont oubliées sitôt l’examen passé. Il en va de même avec les bonnes pratiques de sécurité informatique à adopter, s’il s’agit de regarder une vidéo pour répondre juste au quiz qui suit, alors tout reste à faire. 

    La peur est une des émotions qui finit par émerger de chaque session de sensibilisation que nous avons menée. Toutefois, cette peur est la conséquence de la compréhension globale de l’enjeu et des mécanismes en question. 

    Faire peur en s’arrêtant aux exploits de piratage donne uniquement envie de fuir sans avoir compris ce qui était faisable. 

    Une de ces illustrations est le message récurrent de méfiance autour des liens dans les emails. « Ne cliquez pas sur les liens si vous avez le moindre doute ». Le fond du message est totalement juste, toutefois, de nombreuses questions essentielles découlent de cette injonction : 

    • Comment identifier un bon lien d’un mauvais ? 
    • Comment valider l’identité de mon interlocuteur ? 
    • Est-ce que l’affichage du message risque de compromettre mon ordinateur ? (>> Question fréquemment posée lors des sessions de sensibilisation à la sécurité informatique) 
    • Et j’ai cliqué, que se passera-t-il ? 
    • Etc. 

    Alors que la question essentielle à se poser est : 

    • Où est censé m’emmener ce lien que je pourrais atteindre par mes propres moyens et par mon propre chemin ? 

    Un fameux transporteur vous indique que votre colis est bloqué en douane et qu’il faut s’acquitter d’un émolument ? C’est peut-être vrai. 

    Ne pouvez-vous pas simplement vous rendre sur le site de votre transporteur et saisir le numéro de suivi que vous avez déjà reçu par ailleurs ? Vous verrez alors si c’est vrai ou non ! 

    Pourquoi suivre le chemin qu’on vous montre alors que vous connaissez la route ?

    Cliquer Lien Choisir URL Connu - Sensibilisation Sécurité Informatique

    Les plateformes d'e-learning comme relais de votre formation en cybersécurité

    Il n’y a que les professionnels de l’informatique (et encore plus les professionnels de la sécurité informatique) pour penser à la cybersécurité en permanence. Pour les autres collaborateurs, ils sont là pour d’autres missions.  

    Les plateformes d’e-learning sont parfaites pour diffuser de manière régulière les bonnes pratiques à adopter dans différents contextes. Toutefois, comme il est implicitement indiqué, l’e-learning pour la cybersécurité ne peut être qu’un relais, pas son fondement. 

    En effet, la base se doit d’être humaine et en présentiel. Il faut disposer d’un espace d’échange avec un formateur expert. Créer une interaction, partager des expériences de piratage réel (personnelles ou dans son entourage proche) est un moment fondateur à plusieurs titres : 

    • Réaliser que le piratage est une activité visant tout le monde 
    • Réaliser que le piratage est une activité professionnalisée et que vous êtes des victimes 
    • Créer des liens entre collègues en cas de suspicion de piratage 
    • Oser parler de situations peu flatteuses et libérer la parole des doutes 

    Une fois cette base acquise, ces émotions révélées, ces liens créés, alors les personnes déjà sensibilisées seront autrement plus à l’écoute des cours en ligne et des différents quiz d’évaluation. 

    Encore faut-il s’assurer que le contenu de l’e-learning soit aligné et cohérent avec la formation délivrée… 

    Former est une bonne première étape, il faut également répondre aux questions dans le temps.

    Sensibilisation à la sécurité informatique, plateforme d'e-learning, outil de phishing, que choisir ?

    Avant de développer ce sujet, vous devez savoir qui, dans votre entreprise, va piloter la démarche. En effet, il est question ici d’un programme de formation, de choix de thèmes de cybersécurité, de choisir et de configurer des tests de phishing, et avant tout et surtout, il est question de vos collaborateurs ! 

    Vous avez à former des êtres humains, vous devez les accompagner pour comprendre le monde malveillant et aussi à comprendre les objectifs des autres mesures de sécurité que vous allez déployer. 

    En plus de mesurer la capacité de détection des tentatives de piratage par vos collaborateurs, vous allez pouvoir mesurer la capacité de votre service informatique à réagir aux signalements de ces derniers. En effet, les exercices de phishings vont ressembler à de réels phishings. 

    Si au prochain déclenchement de l’alarme incendie, tout le monde reste à sa place en pensant que c’est un exercice, vous aurez tôt ou tard un gros problème. Raison pour laquelle, vous ne faites qu’un à deux exercices d’évacuation par année. 

    Les tests de phishings sont-ils des outils de formation à la cybersécurité ?

    Illustration d'un mail de phishing - Formation Sécurité Informatique

    Cette question revient à se demander si l’examen associé à un cours fait partie ou non du cours… La réponse est clairement oui ! 

    Toutefois, le terme phishing mérite quelques développements. 

    En premier lieu, voici une définition : 

    Phishing :

    Ce terme est repéré avant les années 2000 et représente une fusion des termes « password » et « fishing », afin de garder le son « f », on l’écrit alors « ph » : phishing = pêcher des mots de passe. 

    Il désigne un message frauduleux usurpant l’identité d’un service connu et vous invitant à vous authentifier, vous dérobant ainsi votre identifiant de connexion et votre mot de passe. 

    Les techniques d’usurpation d’identité sont nombreuses (spoofing, typosquatting simple, typosquatting évolué, etc.). Il est alors possible de classer chaque technique par niveau de sophistication.

    La mesure du niveau de détection selon le niveau de sophistication est bien plus utile pour adapter votre plan de formation ou vos contenus de formation.

    Bâtir les fondations de la sécurité informatique des collaborateurs : toucher leurs émotions

    C’est dans cet objectif que Kyos a construit une formation initiale orientée tout public

    Construite autour d’un scénario de piratage concret et compréhensible de tous, la sensibilisation développe les étapes pour mettre en œuvre celui-ci. 

    Chacun sait quel objectif est visé et comprend alors le déroulement progressif du piratage et des moyens déployés pour atteindre le but

    Ensuite, tout en disséminant les différentes techniques des pirates, la formation développe les mécanismes psychologiques derrière chacune des étapes du piratage. On peut citer le stress et l’urgence comme leviers fréquemment utilisés. 

    Toutefois, en plus de ces leviers psychologiques, la formation décrit les signaux à repérer et également, des techniques pour s’en protéger

    Il n’y a pas une session où un des participants s’exclame au choix : 

    « Ah, je comprends mieux pourquoi je me suis fait avoir lors de … » 

    « Enfin un informaticien que je comprends » 

    « Il faut absolument que vous parliez à mes enfants de toutes ces techniques » 

    Bâtir dans la durée votre résilience aux menaces informatiques à l'aide d'un e-learning de cybersécurité

    Des plateformes de sensibilisation à la cybersécurité, il en existe plusieurs. Nous avons fait notre travail de veille et d’analyse des solutions et avons opté pour l’une d’entre elles pour plusieurs raisons.

    D’abord, il fallait que le contenu disponible soit aligné et cohérent avec le message passé dans notre formation en présentiel. Dans la lignée du message « Ne cliquez pas sur les liens frauduleux », dont l’intention est tout à fait louable. Toutefois, la forme de la communication attise plus la peur que donne des solutions.

    Ensuite, nous avions besoin d’une plateforme avec des contenus multilingues. A minima, il faut que les langues allemande, française, italienne et anglaise soient disponibles.

    Enfin, le dernier critère est la disponibilité d’une plateforme de phishing avec différents niveaux de sophistication associés à la plateforme d’e-learning.

    Notre analyse nous a conduits au choix de la plateforme KnowBe4

    Piloter les indicateurs de sensibilisation à la sécurité informatique

    Loupe Déchiffrement - Sensibilisation Sécurité Informatique

    La plateforme KnowBe4 répond également à de nombreux autres besoins : 

    • Indicateurs de suivi des formations 
    • Indicateurs d’envoi et de clics aux tests de phishings 
    • Automatisation de la montée en complexité des tests de phishing 
    • Mise en place de plans de formation obligatoire pour chaque nouveau collaborateur 
    • Contenus variés disponibles avec des messages justement présentés 
    • Nouveaux contenus ajoutés en continu 

    Découvrez davantage KnowBe4 à travers la rediffusion de notre webinar.

    Prenez contact pour en savoir plus

    À l’occasion d’une rencontre, nous vous présenterons en détail notre programme de formation, son contenu et ses formateurs experts

    Vous aurez l’opportunité de voir les témoignages de nos clients

    Enfin, nous pourrons répondre à toutes vos questions sur notre vision de la formation des collaborateurs à la sécurité informatique. 

    DISCLAIMER : toutes les illustrations de cet article ont été générées à partir de la plateforme Dall-E mise en place par la société OpenAI

    Plus d’information à ce sujet ?

    Nous sommes à votre disposition !