Inculquer les bonnes pratiques de Cybersécurité aux stagiaires, alternants et travailleurs temporaires
Selon le rapport de la Dares publié en mars 2021, le nombre d’entrées en stages déclarées par les entreprises a diminué de 22 % par rapport à 20191 mais une période plus faste sur le plan de l’emploi semble enfin se profiler.
Les évolutions du système d’information et de communication mises en place par les entreprises, durant la période de pandémie, ont contribué à maintenir leur activité économique. Elles vont à nouveau accueillir stagiaires, alternants et travailleurs temporaires pour les accompagner dans leur croissance.
Cependant, les entreprises devront porter une attention particulière à leurs jeunes recrues pour les initier aux bonnes pratiques en matière de sécurité, surtout si l’entreprise autorise l’utilisation de leurs propres outils (BYOD) pour accéder au système d’information.
La responsabilité de tous
Après plusieurs mois de télétravail, les collaborateurs ont utilisé des appareils qui ont été hors de portée des outils de gestion de l’entreprise. Certains terminaux ont pu être compromis (cheval de Troie, bombe logique, ou autre menace) et une connexion au bureau desdits équipements pourrait permettre aux cybercriminels de pénétrer l’infrastructure des entreprises.
Les maîtres de stage devront aussi sensibiliser les nouveaux venus aux us et coutumes de l’entreprise et aux bonnes pratiques en matière de cybersécurité. Or, ces collaborateurs de retour dans l’entreprise pourraient avoir pris de mauvaises habitudes durant la période écoulée, et la charge de travail liée au retour au bureau et d’autres facteurs pourraient entraîner une baisse de leur vigilance, en matière de cybersécurité.
À cela s’ajoute les tâches de plus en plus importantes déléguées aux jeunes recrues qui peut entraîner le partage d’informations personnelles et/ou sensibles tels que les identifiants, sans utiliser de protection particulière ou moyen de chiffrement. Ainsi, envoyer un mot de passe d’accès à une application dans un simple courrier électronique peut paraître anodin et pratique, mais ces informations pourraient être interceptées et utilisées par des personnes non-destinataires et potentiellement malveillantes.
L’histoire a montré que les entreprises de toutes tailles pouvaient être des victimes potentielles. Elles doivent donc s’informer et mettre en place les politiques de sécurité adéquates pour éviter de tomber dans les pièges toujours plus pernicieux des cybercriminels.
Ces failles ne sont pas exclusivement du fait des stagiaires et alternants les télétravailleurs peuvent aussi être des cibles privilégiées. Disposer d’une politique de sécurité cohérente et éprouvée sur l’ensemble des appareils et du réseau évite qu’un simple clic sur un lien piégé ne génère des conséquences désastreuses.
Les techniques utilisées par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité, par phishing ou smishing (par sms), ont fortement évolué. Elles combinent dorénavant des techniques industrialisées et manuelles afin d’accroître leur efficacité. Un clic anodin sur un lien piégé permet à un cybercriminel de s’introduire dans le système d’information et de s’y maintenir suffisamment longtemps pour connaître les habitudes de sa victime et trouver le moment le plus opportun pour lancer une attaque la plus néfaste possible.
Un étudiant averti en vaut deux
Le processus d’intégration des alternants et stagiaires doit inclure une forte sensibilisation et une formation aux dangers liés à la cybersécurité et les prérogatives engendrées par les bonnes pratiques en la matière, tels que le contrôle des applications et des terminaux, le filtrage web, et bien d’autres.
Il est indispensable de compléter le filtrage web légal de nouveaux filtres sécuritaires, afin d’empêcher l’accès à des sites malveillants ou sites potentiellement néfastes. L’arsenal de l’écosystème de sécurité devrait contenir un système d’envoi de messages électroniques (emails) de faux phishing (hameçonnage) dans le but d’éduquer, tester, mesurer le degré de sensibilisation des utilisateurs à ce type d’attaque.
L’entraînement et la répétition sont des piliers essentiels de l’apprentissage. Cette affirmation est d’autant plus vraie en matière de cybersécurité que les tactiques de phishing évoluent rapidement.
Dès leur arrivée dans l’entreprise, il faut inculquer aux nouveaux arrivants les bonnes pratiques en matière de cybersécurité et les sensibiliser. Cet apprentissage est un investissement payant sur le long terme pour l’entreprise, car ces stagiaires pourraient éventuellement devenir des futurs collaborateurs.
Par Benjamin Mercusot, Ingénieur avant-vente en cybersécurité, chez Sophos France
1 Source : www.dares.travail-emploi.gouv.fr/sites/Dares_Formation_Stages.pdf