Toujours associer les employés dans lutte contre la cybercriminalité
Dans une entreprise, la sécurité informatique doit être une culture.
Comme une manière de se comporter mais aussi comme une manière de travailler. Les spécialistes de la sécurité confirment adopter des attitudes qui sont nécessaires pour établir le cadre saint. « Et ça touche principalement les PME, car 70% des entreprises canadiennes victimes d’incidents de cybersécurité emploient moins de 100 personnes », souligne Guillaume Caron, président-directeur général de VARS, la division en sécurité de Raymond Chabot Grant Thornton.
Cet article va aussi vous intéresser : La majorité des salariés veulent continuer en télétravail
En observant la pratique des cybercriminels, on peut constater que la majorité des attaques informatiques, qui ciblent les entreprises sont réalisées généralement sur la base des techniques de phishing. « Ils envoient un courriel contenant un lien, un employé clique sur ce lien, ce qui permet au criminel d’exécuter un « malware » qui prendra éventuellement le contrôle de l’environnement informatique de l’entreprise. », note M. Caron. Cela en dit long sur la participation indirecte des employés dans l’établissement de la menace. C’est d’ailleurs pour cela que le maître mot en matière de sécurité des entreprises a toujours été de privilégier la sensibilisation du personnel.
« Tout le monde, du grand patron aux employés de la base, doit être formé et, surtout, sensibilisé à la sécurité informatique. La direction doit comprendre les principaux enjeux et choisir les solutions technologiques et humaines appropriées. De nos jours, on ne peut plus dépendre uniquement des antivirus… », nous explique M. Caron.
Par conséquent, les entreprises en particulier les PME, doivent pouvoir mettre en place une politique de cybersécurité dont la réalisation va dépendre de la culture de l’entreprise, la réalité de celle-ci ainsi que des activités qu’elles réalisent en longueur de journée. Si possible constituer cette politique en charte et obligé l’ensemble de personnel à l’exécuter.
« Pour une petite PME, ce n’est parfois pas nécessaire d’avoir plusieurs politiques de sécurité de l’information. Une seule peut suffire. Elle devra aborder des sujets importants, notamment la gestion des accès, la gestion des données et des mots de passe de l’entreprise ainsi que l’utilisation acceptable de l’équipement informatique. De plus, les PME doivent être prêtes à réagir en cas d’attaques. C’est important plus que jamais de mettre en place un plan de réponse aux incidents. », souligne M Guillaume Caron.
Pour ce dernier, le document en question doit être rédigé de sorte à être le plus compréhensible possible. Il doit mettre en évidence la sensibilisation des employés et l’explication de certaines menaces telles que l’ingénierie sociale et le phishing. Il faudra alors s’assurer que l’ensemble des employés soit lu par tous les membres du personnel, peu importe le grade.
Enfin, l’entreprise pour lutter efficacement contre la menace, doit établir un programme de sensibilisation sur l’année accompagné de plusieurs formations. « Dans la réalité, les employés constituent le maillon la plus faible face aux cybercriminels. Il faut faire en sorte qu’ils deviennent une première ligne de défense efficace », note M. Caron.
Les thèmes qui doivent être le plus souvent abordé dans ses compagnes de formation et de sensibilisation, sont notamment le phishing, l’ingénierie sociale, la protection des données sensibles et des documents d’entreprise, l’utilisation de l’outil informatique de manière optimale et sécuritaire. « Il faut que ces campagnes soient attrayantes et fassent appel à des quiz en ligne et à de l’humour. Et, surtout, il faut sans cesse répéter le message. », ajoute Guillaume Caron.
Accédez maintenant à un nombre illimité de mot de passe :