Cyber leçons à tirer de la pandémie de Covid-19 : faire de la sensibilisation une norme

Évaluer cet élément
(3 Votes)

Il est évident que les bouleversements causés par la crise sanitaire de 2020 ont ouvert la voie aux cybercriminels opportunistes pour la diffusion en masse de leurs attaques. Ce contexte inédit était plus que favorable aux acteurs de la menace pour exploiter le thème de la Covid-19.

Et si les attaques sur cette période ont pu rapidement aboutir avec succès, c’est bel et bien parce que les cybercriminels ont su viser des utilisateurs distraits et plus vulnérables que d'habitude.

Sur l’année dernière et à l'échelle mondiale, on note une forte augmentation des rançongiciels et des attaques par phishing à destination des entreprises et environ deux tiers d'entre elles ont subi une attaque ou une infiltration réussie. Mais mettre cette situation dramatique sur le compte de la pandémie de COVID-19 est trop réducteur.

Certes, il est vrai qu’une grande partie des cybermenaces survenues sont bel et bien liées au contexte de la crise, mais la généralisation massive du télétravail a incontestablement ouvert une énorme brèche à la faveur des cyberattaquants et beaucoup d’entreprises n’étaient pas préparées à ce changement d’organisation abrupt et précipité.

Adenike Cosgrove

D’ailleurs, la majorité des RSSI en France ont pu se rendre compte que leurs employés n'étaient pas bien équipés pour le télétravail : si 77 % des organisations françaises ont demandé à leurs employés de travailler depuis leur domicile en 2020, mais seules 38 % les forment aux meilleures pratiques de sécurité en condition de télétravail.

C’est pourquoi de nombreuses entreprises ont renforcé les formations de sensibilisation à la sécurité. Certaines ont même proposé une formation spécifique portant sur les bonnes pratiques d’hygiène en matière de sécurité informatique à adopter en télétravail. Ces initiatives sont certes réjouissantes sur le plan de la prise de conscience des collaborateurs.

Cependant, force est de constater que la formation est loin d’être suffisante pour lutter contre les cybermenaces. Une bonne stratégie de cyberdéfense doit être pensée par le prisme de l’anticipation. La cybersécurité ne devrait pas devenir une priorité uniquement dans des contextes de crise.

Pour être efficace, la formation relative à la cybersécurité doit être dispensée en continu et s'adapter en permanence aux nouvelles menaces. Elle doit constituer un élément central du programme de sécurité de l’entreprise tout au long de l'année.

La pandémie a accru les dégâts en matière de cybersécurité

Ayant atteint un pic en mars et avril, les cybercriminels ont passé une grande partie de l'année 2020 à profiter du contexte chaotique de la pandémie pour cibler le maximum de victimes vulnérables. Jamais auparavant on n’avait observé autant d’attaques par phishing diffusées aussi massivement.

Si les tactiques ont changé tout au long de l'année, la cible de prédilection des cyberattaquants reste la même. Parmi les leurres exploités, certaines campagnes proposaient des remèdes au virus, d'autres promettaient des tests rapides et un accès prioritaire aux vaccins. Beaucoup de leurres en somme, qui encourageaient les victimes à fournir des justificatifs d'identité.

La soif de connaître les derniers développements liés à la Covid-19 n'est qu'un des facteurs ayant permis d’alimenter les vagues d’attaques de phishing. Les cybercriminels ont également frappé à un moment où la société a connu de fortes distractions et mutations comme le télétravail, l'enseignement à domicile et le stress d'une pandémie imprévisible ont rendu les utilisateurs enclins à l'erreur et plus vulnérables face aux attaques.

De nombreuses entreprises conscientes du risque élevé ont décidé de miser sur la sensibilisation à la sécurité dans le contexte spécifique à la pandémie. Et cela a fonctionné avec 80 % des entreprises qui ont déclaré que la formation a permis de réduire les attaques de phishing.

Cependant, loin d'être un motif de réjouissance, ce succès met en évidence l'insuffisance de la formation à la sensibilisation à la sécurité en dehors ou peut-être avant la pandémie. Si une formation de sensibilisation ciblée et adaptative fonctionne, pourquoi n'est-elle pas plus fréquente ?

Axer la sensibilisation à la sécurité informatique sur du concret

Il n’est pas malvenu à première vue, de penser que la formation à la sensibilisation à la sécurité est une des solutions qui permet de réduire les cyber-risques. Après tout, 98 % des organisations à l’échelle mondiale ont mis en place un programme de ce type. En revanche en France, seuls 39 % des professionnels de la cybersécurité français font l’effort d’adapter leurs programmes de sensibilisation, contre 53 % en moyenne dans le monde.

Cependant, l’un des défis principaux des RSSI est de pouvoir être en mesure d’instaurer un programme de formation à la cybersécurité qui soit si efficace qu’il permette aux employés de changer leurs habitudes au quotidien.

À la suite de la multiplication des leurres de phishing liés à la pandémie de Covid-19, les collaborateurs ont tous fini par comprendre que les menaces existent. Être conscient du paysage des menaces est un très bon début, mais, est-ce suffisant ? Pour que les mentalités changent de manière radicale, il est crucial de sensibiliser les collaborateurs sur la base de méthodes d'attaque concrètes. C’est la meilleure façon pour inciter des prises de conscience qui induisent de nouvelles habitudes comportementales.

Impliquer les employés dans la construction des programmes de formation semble être une bonne stratégie pour qu’une campagne de sensibilisation soit à la fois percutante et efficace. Les niveaux de sensibilisation qui permettent ces changements de comportements sont encore rares.

Seules 64 % des entreprises organisent des sessions de formation virtuelles ou en présentiel. Pour près des deux tiers d'entre elles, la formation en question n'a pas lieu plus de quatre fois par an. Et 36 % d’entre elles ne forment que les collaborateurs de certains postes ou services.

Ces statistiques démontrent les différents niveaux de sensibilisation des employés au sein d’une même organisation. Et ce n’est pas une nouvelle réjouissante lorsque l’on sait précisément que les cybercriminels ciblent en priorité les utilisateurs individuels et non les infrastructures. En ne munissant pas les utilisateurs des ressources nécessaires pour détecter et détourner ces cybermenaces, les entreprises font preuve de négligence vis-à-vis de leur stratégie de sécurité.

Faire en sorte que les meilleures pratiques deviennent la nouvelle norme

La réponse aux attaques de phishing liées à la Covid a démontré qu’une campagne de sensibilisation à la sécurité pertinente, ciblée et adaptée au contexte peut avoir des effets positifs.

Il n’est plus question pour les entreprises de revenir à la normale une fois que la pandémie sera passée. Bien au contraire, les entreprises ont tout intérêt à tirer les leçons de cette crise inédite pour mettre en œuvre des programmes de formation qui induisent de nouveaux comportements à long terme.

L’ère post-pandémie fait émerger de nouvelles normes et cela implique de développer des programmes de formation qui se concentrent sur l'individu et qui tiennent compte des menaces actuelles. Ainsi, le niveau de formation que recevront les employés devra être adapté aux nouveaux enjeux dessinés par la crise.

La sensibilisation en matière de sécurité doit aller au-delà du jargon, des définitions des menaces courantes et des exercices simplistes. Le but de cette formation est de permettre aux utilisateurs de ne pas douter de leurs responsabilités et d’être conscients des conséquences en cas de négligence.

Habituellement, on parvient à reconnaître qu’une formation est complète lorsque celle-ci est centrée sur les personnes, et qu’elle fait resurgir une culture de la sécurité. C’est bel et bien grâce à cette culture de la sécurité que les employés adaptent leurs comportements et intègrent les meilleures pratiques comme étant la norme pour préserver leur entreprise de tout danger.

Par Adenike Cosgrove, Directrice Marketing Produit International, Proofpoint

Lu 1460 fois Dernière modification le vendredi, 27 août 2021 08:18
La rédaction

Le service Rédaction a pour mission de sélectionner et de publier chaque jour des contenus pertinents pour nos lecteurs internautes à partir d’une veille approfondie des communiqués de presse pour alimenter les rubriques actualité économiques, actualités d’entreprises, études ou encore actualités sectorielles. Pour échanger avec notre service Rédaction web et nous faire part de vos actualités, contactez-nous sur redaction@gpomag.fr

Annonces

V3 Banniere

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Paru le 4 mars 2024
GPO Magazine N°113
Demandez votre exemplaire au service Vente au numéro

Lire l'extrait GPO 113.png

Paru le 27 novembre 2023
Édition Spéciale Transformation digitale
Recevez-le dès aujourd'hui !
Abonnez-vous à l'année en cliquant ici

Vignette Lire un extrait HS Transfo Digitale.png

Livres Blanc et E-book

Le Système d'Exploitation Hybride Windows 11 de Microsoft Booste la Productivité et la Sécurité en Entreprise
Microsoft a récemment dévoilé Windows 11, son dernier système d'exploitation, qui s'adapte parfaitement au mode…
Quelle stratégie pour établir une relation commerciale durable en Allemagne : un guide pour les dirigeants d’entreprises françaises
L'Allemagne, premier partenaire commercial de la France, demeure un marché d'exportation incontournable pour les entreprises…
Comment favoriser sa transition vers une économie mondiale durable ?
La CSRD contribue à l’objectif de l’Union européenne de promouvoir une économie durable et responsable,…
Plus de livres blanc

Webinaires

Facturation Électronique 2024 : une opportunité de performer pour les entreprises !
Une enquête de Wax Digital a révélé que 70 % des professionnels de la comptabilité…
Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Plus de webinaires

Services aux entreprises

 

è  DÉMATÉRIALISATION DES FACTURES : Une opportunité de performer pour les entreprises

visuel dématérialisation des factures.jpg

è  BUSINESS FRANCE : Établir des relations commerciales en l'Allemagne

L'Allemagne est le premier partenaire commercial de la France et représente le plus fort potentiel à l'export de la France à horizon 2025. Ce marché à la fois passionnant et exigeant mérite d'adopter une stratégie durable pour établir une relation commerciale sur le long terme. Tel est l'objectif de ce livre blanc de 64 pages intitulé "Quelle stratégie pour établir une relation commerciale avec l'Allemagne", proposé par Business France et ses partenaires de la Team France, et téléchargeable gracieusement.

 Couverture Livre Blanc Business France Allemagne.png

 

è  SYLOB : ERP pour l'industrie

Anticiper les évolutions industrielles et se projeter dans l'usine intelligente du futur, tels sont les objectifs visés par ce guide pratique de 20 pages à destination des PME intitulé "Industrie 4.0 & ERP", proposé par Sylob et téléchargeable gracieusement.

Couv Sylob CTA.png

 

è  ACROBAT : L'application PDF

Acrobat, l'application PDF n°1 adoptée par + de 5 millions de professionnels dans le monde. Rencontre avec Lofti Elbouhali, spécialiste Adobe chez inmac wstore

 

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts