Sensibilisation des salariés : la minute cyber

Carnet de bureau. L’augmentation du télétravail et l’accélération des transformations numériques des entreprises à marche forcée ont rendu les failles de sécurité plus nombreuses : elles seraient à l’origine de 20 % des cyberattaques, relève l’étude annuelle PWC « Global CEO Survey » 2021. Les dirigeants français sont de plus en plus inquiets : 47 % d’entre eux redoutent une menace cyber contre 33 % en 2020. « 91 % des organisations françaises ont été l’objet de cyberattaques en 2020 », précise l’étude du cabinet d’audit.

Si les investissements dans le domaine sont encore à la traîne – seuls 20 % des dirigeants français envisagent de les augmenter de plus de 10 % dans les trois ans –, la sensibilisation des salariés, financièrement plus accessible, a commencé. Des modules de formation se proposent ainsi d’apprendre aux salariés à déceler les attaques et à adopter des pratiques de prudence pour réduire les risques d’attaque via de fausses pages de connexion, sans pour autant les transformer en informaticiens.

Article réservé à nos abonnés Lire aussi Comment les acteurs du cybercrime se professionnalisent

« Il s’agit de s’adapter à la journée de travail sans être intrusif, explique Caroline Boxberger, directrice de développement de la plate-forme 2SPark, qui a mis au point un programme de sensibilisation d’une minute par jour pendant deux mois. L’objectif est de créer le bon environnement cognitif et de répéter les messages pour favoriser la mémorisation. »

Chaque jour, le salarié reçoit deux questions contextualisées qui s’appuient sur des éléments réels de son quotidien de travail et sur les retours d’expérience des services d’assistance informatique qui connaissent les pièges tendus aux collaborateurs.

Simulation en entreprise

Le courriel est la forme d’hameçonnage la plus commune. Imitant la communication interne à l’entreprise pour obtenir des données confidentielles ou installer un logiciel malveillant sur l’ordinateur, il incite l’expéditeur à cliquer sur un lien frauduleux. Le « spear phishing » – « hameçonnage ciblé » – ou le « CEO phishing » – « hameçonnage de PDG » – ont même été spécialement conçus pour les entreprises visant non seulement une organisation en particulier, mais directement des services ou des personnes.

Article réservé à nos abonnés Lire aussi Pierre-Emmanuel Arduin : « Pourquoi le “phishing” marche-t-il encore ? »

La simulation d’hameçonnage est déjà pratiquée en entreprise pour tester la réaction des salariés en leur envoyant un mail du type : « Problèmes concernant votre service » ; « Votre compte est clôturé » ; « Vous avez dépassé votre quota de courriels. Pour augmenter votre limite de quota de courriels à 1,7 Go, cliquez sur le lien ci-dessous : http://www.hamecon.com/corporate. » Les services de la direction informatique interne repèrent ainsi les salariés faciles à piéger et l’ampleur du filet de sécurité à déployer.

Il vous reste 20.92% de cet article à lire. La suite est réservée aux abonnés.