Commencez 2022 en sensibilisant votre personnel à la cybersécurité
NOVIPRO|Mis à jour le 12 juin 2024Un pare-feu dernier cri protège votre réseau. Votre stratégie de sauvegarde est impeccable. Votre équipe technique est à l’affût de la moindre menace. Et pourtant, votre entreprise vient d’être victime d’une attaque cybercriminelle. Pourquoi? Probablement à cause d’une erreur humaine. En effet, 90 % des brèches de cybersécurité sont causées par des personnes insuffisamment conscientes du danger.
« Tout le monde a besoin d’être sensibilisé aux enjeux de cybersécurité, estime Dominique Derrier, chef de la sécurité de l’information (CISO) chez NOVIPRO. Dans la grande majorité des cas, la porte d’entrée pour les pirates est une erreur d’inadvertance : par exemple, ouvrir un courriel et cliquer sur un lien qui promet une superaubaine, alors que l’on devrait immédiatement reconnaître qu’il s’agit d’un piège. »
Cette insouciance constitue une bénédiction pour les cybercriminels. « Les entreprises investissent beaucoup d’argent pour protéger leurs actifs informationnels, explique Roger Ouellet, directeur de la pratique sécurité chez NOVIPRO. La cible que les pirates peuvent encore viser, ce sont les personnes. Il faut bien les outiller. »
Et le problème ne se limite pas aux individus peu familiers avec la technologie. Des erreurs commises lors du développement de logiciels ou des accidents d’opération peuvent aussi ouvrir la porte à des attaques qu’il aurait été possible de prévenir avec un minimum de précautions. « Partout, on constate un manque d’information et d’humilité qui entraîne des dégâts », dit Dominique Derrier.
Un fléau en croissance
Le nombre d’attaques perpétrées par des pirates informatiques augmente de façon vertigineuse, d’année en année. Pour les entreprises ciblées, les pertes financières représentent des milliards de dollars. « Si la cybercriminalité était un pays, son PIB lui permettrait de se classer confortablement au sein du G-20 », souligne Dominique Derrier.
La tendance ne risque pas de se renverser. La circulation de l’information constitue le fondement de l’économie contemporaine. Dans certaines organisations, les personnes nouvellement embauchées auront accès à 20 % de toute l’information détenue par l’entreprise, y compris des informations confidentielles, dès le premier jour. Autant de cibles alléchantes pour les criminels… si les informations ne sont pas bien protégées.
Avec la pandémie, les entreprises ont revu leurs méthodes de sécurisation, mais seulement près de 30 % d’entre elles ont offert une formation à leurs employés et établi une politique de télétravail en 2021, une proportion semblable à celle de l’an dernier, alors que la menace n’a cessé d’augmenter. (Source : Portrait des TI NOVIPRO/Léger 2022.)
Cybersécurité et formation continue
Les assureurs l’ont remarqué. « De plus en plus d’assureurs exigent que les entreprises adoptent des programmes de formation et de sensibilisation à la cybersécurité, explique Roger Ouellet. Celles qui ne le font pas risquent de voir leurs primes augmenter rapidement ou même d’essuyer un refus de la part de l’assureur. »
NOVIPRO propose aux entreprises des programmes qui combinent une formation sur mesure et des attaques simulées. Par exemple, de faux courriels d’hameçonnage pourront être envoyés au personnel de l’entreprise cliente afin de tester sa vigilance.
« Dans le domaine des services financiers, par exemple, les gens s’attendent à recevoir des courriels en provenance d’institutions bancaires, explique Roger Ouellet. Nous enverrons donc de faux courriels bancaires pour essayer de les piéger. » Plus l’attaque simulée ressemble aux opérations de routine du personnel et touche directement ses tâches au sein l’entreprise, plus les cibles auront tendance à baisser leur garde – et plus l’effet sera important lorsqu’on leur annoncera qu’elles ont été prises au piège.
Et bien sûr, les meilleures pratiques en matière de formation continue s’appliquent, comme ailleurs, à la cybersécurité. Par exemple : utiliser le renforcement positif, en valorisant les réussites, et faire un suivi régulier sans jamais répéter exactement le même discours. Dominique Derrier compare ce suivi régulier à un vaccin de rappel contre la grippe : « Les techniques des pirates évoluent. Les formations doivent donc se réinventer d’année en année, elles aussi. »
Un enjeu stratégique
En décembre 2021, le gouvernement canadien exhortait les entreprises à adopter des pratiques exemplaires en matière de cybersécurité, notamment pour se protéger contre les rançongiciels. Un appel bienvenu, selon Dominique Derrier.
« Les entreprises ne se reconnaissent pas toujours dans les scénarios de cyberattaque. Elles pensent que c’est un problème qui n’affecte que le secteur militaire ou qui n’existe que dans les films d’espionnage. Pourtant, si vous détenez un actif, vous êtes une cible potentielle! »