Le dispositif de cybersécurité d’une entreprise est aussi solide que son maillon le plus faible, et dans de nombreux cas, la principale faiblesse réside dans l’ignorance ou la négligence des salariés. Dans cette optique, les entreprises qui cherchent à sensibiliser leurs salariés ou à revoir leur position en matière de sécurité peuvent opter pour un exercice de phishing. Mais un exercice en soi n’est pas une solution. Si l’équipe dirigeante ne commence pas et ne termine pas les exercices de cybersécurité axés sur les salariés par une formation et un renforcement, il est peu probable que le niveau de risque de l’organisation s’améliore.
Que doivent donc faire les entreprises pour s’assurer qu’un exercice de phishing entraine des changements de comportement positifs en matière de cybersécurité au sein de l’équipe ?
OPPENS vous partage des stratégies essentielles pour que l’exercice de phishing de votre entreprise ne soit qu’une partie d’un protocole de cybersécurité dynamique et efficace.
1. Regardez si les taux de signalement augmentent
Diminuer le nombre de clics, c’est bien, mais vous saurez que votre programme de sensibilisation est vraiment efficace lorsque les taux de signalement augmenteront. C’est à ce moment-là que les utilisateurs passent du statut de cyberpassif à celui de cyberactif. Dans ce cas, la culture change et le discours « Tout le monde est responsable de la sécurité » devient une réalité dans votre organisation.
2. Adoptez une approche évolutive de la formation contre le phishing
La plupart des failles impliquent une erreur humaine, ce qui montre bien que la cybersécurité est un problème humain nécessitant, au moins en partie, une solution humaine. Pour garantir l’efficacité des exercices de sécurité, les organisations doivent adopter une approche évolutive d e la formation. Cela devrait inclure des tests avant et après la formation pour renforcer les meilleures pratiques.
3. Fournir des exemples concrets lors de la formation contre le phishing
Il est essentiel de donner des exemples réels de ce qui cible l’organisation afin que les employés comprennent mieux l’importance de ce type de test. Ensuite, au cours des semaines qui suivent, il faudra répéter l’exercice et afficher les résultats de manière anonyme pour que les employés voient comment l’entreprise s’est comportée en tant qu’équipe dans la lutte contre cette menace.-
4. Éliminez la culture du silence
En consacrant suffisamment de ressources à la conception d’une attaque de phishing précise, vous pouvez tromper tous les employés de votre entreprise, tous niveaux confondus. C’est pourquoi il est essentiel d’éliminer la culture du silence dans votre entreprise. En tant que dirigeant, adoptez une approche compréhensive à l’égard des erreurs accidentelles de vos collaborateurs, qui seront plus enclins à signaler des incidents.
Prenez rendez-vous avec un expert Oppens
Obtenez des recommandations gratuites durant un rendez-vous de 30 minutes.
5. Maintenir un élément de surprise
La sensibilisation à la cybersécurité n’est réellement utile que si elle est à la fois réaliste et inattendue pour l’utilisateur. Il convient de maintenir un élément de surprise avant le test afin de fournir un scénario réaliste. Ensuite, il est important de poursuivre avec des tests qui deviennent progressivement plus difficiles et de changer les techniques. En effet, les cybercriminels adoptent des méthodes très évoluées. Dès lors, votre formation doit aussi évoluer afin de mettre les employés au défi.
6. Communiquez les résultats du test (et les explications) aux collaborateurs
Après avoir effectué un exercice de phishing, un kit de communication anonyme des résultats du test doit être mis à la disposition des collaborateurs. Il est également utile de fournir un contexte supplémentaire quant à la raison pour laquelle l’exercice a été réalisé. Par exemple, vous pouvez fournir des statistiques sur le nombre d’attaques de phishing réelles auxquelles votre organisation est confrontée.
Les résultats de l’exercice de phishing doivent être partagés avec les collaborateurs. Ceux-ci quelque soit l’échelon de l’entreprise, y compris les dirigeants. La communication permet à vos employés de sentir qu’ils contribuent au processus de protection de l’entreprise. Vos utilisateurs sont la première ligne de défense, votre pare-feu humain. Partagez votre stratégie de cybersécurité afin que tout le monde suive la même direction.
8. Veillez à ce que les employés comprennent que l’entreprise est la cible
Trop souvent, les employés ont l’attitude suivante :
« Je ne suis qu’un employé parmi d’autres, je ne serais pas la cible du hacker ».
Pourtant, l’attaque peut se déclencher au travers d’un email envoyé au PDG comme au stagiaire de l’entreprise.
Voir aussi : Les 8 commandements en cas d’attaque informatique
9. Mener des une formation continue contre le phishing après l’exercice
Le principal indicateur de la valeur d’un exercice de phishing est le changement de comportement à l’avenir. Le phishing vous montrera les risques auxquels vous êtes exposés aujourd’hui. Il vous dira quel comportement vous devez changer. Mais ces changements seront-ils durables ? Si ce n’est pas le cas, vous n’avez pas réduit votre risque.
L’éducation des collaborateurs est essentielle. Si vous parvenez à faire participer vos employés aux programmes de sensibilisation à la cybersécurité, vous réduirez considérablement le risque de problèmes de sécurité.
10. Mettez en place une formation obligatoire pour ceux qui en ont besoin
Si une personne est un « récidiviste », envisagez de l’inscrire à une formation obligatoire pour l’aider à identifier facilement les e-mails de phishing. Avant le test, créez un programme de sensibilisation. Faites appel à des professionnels pour aider à faire entrer la culture cybersécurité au sein de votre entreprise. OPPENS organise des formations au cours desquelles sont présentées les meilleures pratiques de sécurité.
