Peu importe à quel point votre infrastructure de sécurité est impénétrable si vous n'avez pas également pris des mesures pour protéger l'élément humain. Les pirates le comprennent. C'est pourquoi les attaques d'ingénierie sociale restent le vecteur le plus courant - et le plus souvent couronné de succès - dans l'entreprise.

Parce que, quel que soit le degré de protection d'un actif sensible, il est presque toujours vulnérable à une menace interne.

Malheureusement, un programme de formation ordinaire ne suffit pas pour faire face à cette menace. Vous ne pouvez pas simplement distribuer du matériel pédagogique et vous attendre à ce que tout le monde embarque dans votre stratégie de cybersécurité. Vous devez leur donner une raison de s'en soucier.

Sinon, ils ne le feront pas. Vos utilisateurs choisiront inévitablement la commodité plutôt que la sécurité à chaque fois, même si cela met votre entreprise en danger.

Pour changer cela, vous devez vous consacrer à la promotion d'une culture de la cybersécurité. Et la première étape de ce processus consiste à promouvoir la cybersensibilisation à l'échelle de l'organisation. Montrez à votre personnel pourquoi la cybersécurité est importante non seulement pour votre entreprise, mais pour eux .

Comment promouvoir la cybersensibilisation des employés

Voici par où commencer.

Obtenir l'adhésion de la direction

Comme pour toute initiative à l'échelle de l'organisation, un programme de sensibilisation réussi commence au sommet. Je ne doute pas que la direction informatique de votre entreprise comprenne l'importance de la sensibilisation et de l'éducation. Mais cela seul ne suffit pas.

Pour que cela fonctionne, tout le monde doit être à bord. L'ensemble de votre suite C doit comprendre et adopter vos efforts en matière de cybersécurité. La bonne nouvelle est que la réalisation de cette adhésion n'a pas besoin d'être difficile ou compliquée.

Vous devez simplement leur expliquer, dans leur langue, pourquoi la cybersécurité est importante. Pourquoi privilégier la confidentialité des données et une solide posture de sécurité est une décision commerciale intelligente. Comment un petit désagrément à court terme peut entraîner d'énormes gains à long terme.

Le plus important est que vous travailliez avec eux et que vous vous efforciez de répondre à toutes leurs questions. Plus vous pouvez leur offrir de connaissances, mieux c'est.

Faites de la cybersécurité le rôle de chacun

Votre prochaine étape consiste à impliquer l'ensemble de l'organisation dans vos efforts de sensibilisation. L'époque où la cybersécurité était uniquement le bailliage de la DSI est bien révolue. Tout le monde, des ressources humaines au juridique en passant par la finance et le marketing, a son rôle à jouer dans la promotion d'une meilleure cyber-sensibilisation.

De plus, chaque département a des besoins spécifiques auxquels il faut répondre, et des besoins qui sont souvent piétinés sans le savoir par l'informatique. En obtenant le soutien des départements pour la cyber-sensibilisation, vous pouvez ensuite travailler avec eux pour ajuster et retravailler votre sécurité d'une manière qui leur convient, ce qui rend les personnes beaucoup plus susceptibles de suivre les meilleures pratiques. Plus important encore, vous pouvez vous assurer que vos efforts de sensibilisation atteignent plus de personnes, et qu'elles le font d'une manière qui résonne avec elles.

Comprendre les menaces auxquelles votre entreprise est confrontée

Je vais être franc. Un programme de sensibilisation est voué à l'échec si vous-même n'êtes pas au courant de l'écosystème de cybersécurité de votre entreprise. Vous devez comprendre non seulement les actifs que vous essayez de protéger, mais aussi les menaces dont vous devez protéger ces actifs .

Bien que le paysage des menaces de chaque organisation soit légèrement différent, il existe des points communs. La plupart des entreprises devront faire face à des attaques d'ingénierie sociale telles que des e-mails de phishing, des liens malveillants sur les réseaux sociaux et des attaques de phishing plus traditionnelles. De même, les rançongiciels et les logiciels malveillants sont tous deux extrêmement courants, quel que soit le secteur et la verticale.

Ces menaces mises à part, vous devez réfléchir longuement et sérieusement aux autres faiblesses qu'un criminel pourrait exploiter.

• Votre entreprise pourrait-elle être la cible d'une attaque de la chaîne d'approvisionnement ?
• Êtes-vous particulièrement vulnérable au spam Web ?
• Dans quelle mesure surveillez-vous votre réseau et dans quelle mesure vos actifs sensibles sont-ils bien organisés ?

Cette connaissance est au cœur de vos efforts de sensibilisation - après tout, vous ne pouvez pas vraiment éduquer votre personnel si vous ne comprenez pas tout vous-même.

Coach Pleine Conscience

Question rapide. Qu'est-ce qui cause la grande majorité des violations de données ? Ce ne sont pas des chapeaux noirs, ni des logiciels malveillants avancés ou des rançongiciels.

C'est de l'insouciance. Quelqu'un clique accidentellement sur un e-mail de phishing, tombe dans le piège d'une escroquerie d'ingénierie sociale ou télécharge quelque chose qu'il ne devrait pas. Bien que les initiés malveillants représentent certainement une menace pour votre entreprise, les erreurs commises par des employés par ailleurs bien intentionnés constituent le plus grand risque auquel vous serez jamais confronté.

Fort de la connaissance du profil de risque et du paysage des menaces uniques de votre organisation, vous pouvez vous mettre au travail en enseignant aux employés comment éviter les menaces qu'ils peuvent rencontrer grâce à de bonnes pratiques d'hygiène numérique.

Je vous conseillerais de combiner vos efforts d'entraînement avec un entraînement à la pleine conscience. Apprenez-leur à être plus consciencieux, prudents, conscients et présents. Non seulement cela les aidera à mieux éviter les menaces numériques, mais cela a également le potentiel de les aider dans leur vie personnelle et professionnelle.

Offrir des incitatifs

Votre formation de sensibilisation doit souligner que le rôle de chacun est important en matière de cybersécurité. Que chacun peut et doit s'approprier la protection de ses données, tant professionnelles que personnelles. Pourtant, le sentiment de fierté que suscite une telle propriété ne vous mènera que très loin.

Pour combler l'écart, vous voudrez probablement aussi offrir des incitations quelconques aux gens. Récompensez les personnes qui ont terminé avec succès les modules de formation. Transformez la cybersécurité en une sorte de jeu, avec des réalisations et des classements.

En bref, rendez-le à la fois divertissant et enrichissant.

N'oubliez pas que la cybersensibilisation est un voyage

Enfin et surtout, il est important de garder à l'esprit que, comme la cybersécurité elle-même, la cybersensibilisation n'est pas un projet que vous pouvez simplement marquer comme « terminé » et oublier.

Tout comme la posture de sécurité de votre organisation change et évolue constamment, il en va de même pour vos efforts de sensibilisation. Le moment où vous prenez du recul et pensez que votre travail est terminé est le moment où votre programme de sensibilisation a bel et bien échoué.

Revisitez-le fréquemment à la recherche d'améliorations. Recherchez les angles morts, les goulots d'étranglement et les faiblesses de vos processus et politiques. Recherchez les changements sur le marché qui exigent une nouvelle approche.

Parce qu'en fin de compte, la cyber-sensibilisation est autant pour vous que pour tout le monde.

Matthew Davis écrit pour Future Hosting, l'un des principaux fournisseurs d'hébergement VPS. Il se concentre sur l'actualité des données, la cybersécurité et les sujets de développement Web. Vous pouvez généralement le trouver caché derrière un écran d'ordinateur, à la recherche des dernières nouvelles de dernière heure dans l'industrie technologique.