Dans cet article In[ctrl], nous explorons comment les professionnels de l’IT aident leurs équipes à atténuer la menace du facteur humain.
Nos conseils pratiques vous aideront à engager vos collègues à devenir la première ligne de défense contre les menaces de cybersécurité.
Selon le Global Risks Report de World Economic Forum, 95 % de toutes les atteintes à la cybersécurité ont été attribuées à des erreurs humaines en 2022.
Bien que vos collègues représentent la plus grande menace pour votre organisation, comment peuvent-ils être blâmés pour quelque chose qu’ils ne savaient pas ou ne comprenaient pas ?
L’erreur humaine est un acte involontaire qui survient souvent en raison d’un manque de connaissances. Le facteur humain est la manière dont une organisation, une culture, un emploi et un individu se combinent pour doter les gens de ces connaissances et améliorer leur fiabilité au travail. Dans cette optique, il est important de concentrer notre attention sur le facteur humain en ce qui concerne la cybersécurité.
1. Évitez le jargon technique
Le langage technique a le potentiel d’aliéner ceux qui ont du mal à en donner un sens. Lorsque vous éduquez vos collègues sur les meilleures pratiques en matière de cybersécurité, gardez les choses simples.
Communiquez avec vos collègues en dehors du service informatique en utilisant un langage facile. Les comptables, les concepteurs et les équipes de restauration ne saisissent peut-être pas le concept de ransomware, de cheval de Troie, de vers et de malware. Mais ils comprendront l’idée que les mauvais logiciels sont souvent livrés par de faux e-mails pour infecter les systèmes informatiques.
Ne compliquez pas excessivement votre message, cela ne fera que confondre vos collègues et conduire à un manque de confiance en cybersécurité.
Dites à vos équipes ce qu’elles doivent savoir pour mettre en œuvre une méthode de travail plus cyber-sécurisée et prendre des mesures si nécessaire pour prévenir une cyberattaque.
2. Partagez une liste de contrôle de cybersécurité
Une liste de contrôle à laquelle tous les membres de votre organisation ont accès créera de bonnes habitudes en matière de cybersécurité.
Clarifier les mesures que chacun devrait prendre de manière proactive et quand/comment il devrait les prendre pour réduire le risque de cyberattaque dans un document facile à comprendre.
Voici quelques exemples de ce que vous pourriez inclure dans une liste de vérification de cybersécurité :
- Installez une protection antivirus et vérifiez les mises à jour toutes les deux semaines
- Sauvegardez des fichiers sur le cloud chaque semaine
- Verrouillez tous les écrans des ordinateurs portables et des appareils lorsque vous travaillez dans un espace de coworking
- Utilisez toujours un VPN
- Utilisez des mots de passe uniques et forts pour chaque compte et appareil
- Changez de mot de passe tous les mois
- Appliquez une approche de confiance zéro à tous les e-mails
- Utilisez la protection par mot de passe et les salles d’attente pour les réunions virtuelles
- Désactivez Bluetooth et le partage de fichiers lorsqu’ils ne sont pas nécessaires
Il est important d’être conscient des menaces au niveau du réseau, des appareils et des sorties. L’utilisation d’une liste de contrôle permet d’adopter cette triple approche de la sécurité et assurer la sécurité de vos données et de vos actifs.
Ajoutez des captures d’écran, des liens ou des vidéos de démonstration pour montrer comment mettre en œuvre chaque mesure efficacement. Cet élément visuel fournit un guide étape par étape et un outil de référence. Certains collègues préféreront peut-être cette approche autoguidée.
3. Sensibiliser davantage aux procédures d’urgence
Une liste de contrôle est efficace pour s’assurer que les employés suivent les pratiques exemplaires en matière de cybersécurité. Cependant, même les organisations les plus résilientes peuvent être victimes d’une cyberattaque. Tous les membres de l’équipe doivent comprendre quoi faire s’ils soupçonnent que quelque chose ne va pas.
Un exemple courant qui nécessiterait des procédures d’urgence est un e-mail suspect passant dans la boîte mail d’un collègue. Les équipes doivent savoir ce qu’elles doivent faire si cela se produit. En cas de doute, les collègues doivent toujours se sentir confiants pour contacter l’équipe de sécurité en premier lieu. Vous pourriez même ajouter un guide des procédures d’urgence à votre liste de vérification de cybersécurité pour conserver tous les documents au même endroit.
Abordez les points suivants dans votre guide des procédures d’urgence
- Qui est le contact « First Response » (principal) ?
- Comment les collègues peuvent-ils les contacter ?
- Que faire pendant et en dehors des heures de travail ?
Exemple de procédures d’urgence clés
- Ne cliquez pas sur les liens suspects
- N’ouvrez pas de pièces jointes suspectes
- Ne transmettez pas aux autres collègues
- Ne répondez pas aux e-mails suspects
- Contactez l’équipe de première intervention dès que possible
4. Effectuez un exercice de formation simple
Des questions bien structurées du type « Et vous ? » aideront vos équipes à :
- auto-évaluer leurs habitudes en matière de cybersécurité
- restez motivé à suivre les politiques de cybersécurité
- se rappeler de la liste de contrôle de cybersécurité
- appliquer ce qu’ils savent aux scénarios potentiels de cybersécurité qu’ils peuvent rencontrer
Vous pourriez concevoir l’exercice pour tester des aspects discrets de la cybersécurité tels que le travail à distance.
5. Célébrez les réussites en matière de cybersécurité
Votre solide culture en cybersécurité doit être une extension de la culture positive de votre organisation. Célébrer les réussites en matière de cybersécurité est un moyen efficace de bâtir une équipe sûre d’elle-même, d’inspirer et de faire en sorte que les collègues se sentent valorisés pour leurs efforts en cybersécurité.
Motivez vos collègues avec des « scores de sécurité » qui peuvent être mis à jour chaque semaine. Associez-les à la formation, aux quiz et à la détection des menaces potentielles. L’incitation de cette façon crée une main-d’œuvre avisée qui considère la cybersécurité comme un élément important de la sécurité de votre entreprise.
Une simple affiche sur le tableau d’affichage du bureau, un e-mail hebdomadaire de type newsletter ou un message de mise à jour célébreront les cyber-héros qui ont sauvé l’entreprise d’une menace potentielle et d’une attaque coûteuse. Cela encourage les autres à suivre les processus de cybersécurité et à repérer les menaces potentielles à la sécurité.
6. Fournir des mises à jour régulières
La cybersécurité ne devrait pas être un sujet qui est visité une fois tous les quelques mois. Il doit être intégré dans le travail de business as usual (BAU) de chaque équipe et service au sein de votre organisation. Les professionnels de l’IT peuvent fournir des mises à jour régulières pour tenir les équipes informées des dernières escroqueries par hameçonnage et des e-mails suspects.
La mise en œuvre d’une culture de cybersécurité ne capturera pas tout. Il y aura encore des menaces qui trompent même les plus préparés. Néanmoins, le ransomware était le principal type d’attaque en Europe en 2021, ce qui signifie que les cyberattaques continuent d’être lancées.
En mettant en œuvre une approche centrée sur l’humain et en suivant les six étapes de Brother pour bâtir une solide culture de cybersécurité, les professionnels de l’informatique peuvent réduire ce risque.
FAQs
Quelle est la différence entre l’erreur humaine et le facteur humain ?
L’erreur humaine est un acte non intentionnel – souvent dû à un manque de connaissances – qui entraîne un échec. Le facteur humain est la manière dont une organisation, une culture, un emploi et un individu se combinent pour influencer la fiabilité humaine au travail.
Quelle est l’importance du facteur humain dans la cybersécurité ?
Dans la cybersécurité, le facteur humain entre en jeu lorsque des situations qui causent un piratage réussi ou une violation de données se produisent en raison d’une action humaine.
Pourquoi le facteur humain est-il le maillon le plus faible de la cybersécurité ?
Les humains sont faillibles et font des erreurs. Un collègue peut être distrait, stressé, occupé, mécontent ou trop confiant. Ces traits peuvent conduire à des erreurs, c’est pourquoi le facteur humain sera toujours le maillon le plus faible de la cybersécurité.
Ceci est une contribution soumise par Frank Deneweth, directeur général de Brother Belgium.