Cybersécurité : qu’en est-il du niveau de formation et de sensibilisation des Français ?
Par olivier.dania
Olivier a rejoint les équipes de Sysdream, la division cyber du groupe Hub One, en juillet 2022 où il occupe le poste de chef de produit cybersécurité. Passionné par le sport en général, Olivier a malgré tout une préférence pour les sports de balle comme le basket et le tennis. Mais c’est le football qui lui procure ses plus grandes émotions et en parisien qui se respecte, c’est pour l’équipe de Paris qu’il vibre. Mais Olivier n’a pas d’intérêt que pour le sport, faisant partie de la génération qui a grandi avec les jeux vidéo, il continue à jouer aussi bien aux jeux récents que les plus anciens. D’un point de vue culturel, Olivier aime beaucoup voyager, aller à la rencontre d’autres cultures, d’autres modes de vies, d’autres gastronomies. A l’ère des livres numériques, Olivier reste très attaché au livre papier, dont il ne se lasse pas de tourner les pages.
Sommaire
- Cybersécurité : le point sur la cybermenace en France
- Cybersécurité : acquérir les bons réflexes
- Cybersécurité : des recommandations simples à adopter
Cybersécurité : le point sur la cybermenace en France
Le Rapport State of the Phish 2022 montre que les Français sont les utilisateurs les plus formés en cybersécurité parmi les sept pays interrogés. 68% des entreprises françaises proposent des formations à l’ensemble de leurs collaborateurs contre 57% à l’échelle mondiale. Mais le paradoxe, c’est qu’ils ont très peu de bonnes pratiques dans la réalité. En définitive, ce n’est pas parce que l’on forme plus que l’on forme mieux.
L’étude montre qu’il y a une perte de connaissances importante en matière de protection cyber entre 2021 et 2022. Pour l’expliquer, il se peut que les utilisateurs aient oublié les bonnes pratiques de sécurité informatiques après le Covid. Si l’on regarde le nombre de cyberattaques subies en 2021 et 2022 (Data Breach Investigation Report 2022-Verizon), il apparaît que dans 82% des cas les vecteurs d’infection impliquent un humain.
Former plus ou former mieux ses collaborateurs contre une cyberattaque ?
Quand bien même les meilleures solutions de cybersécurité du marché pourraient être déployées au sein d’une entreprise, si l’utilisateur n’est pas sensibilisé il y aura des failles de sécurité. L’enjeu n’est pas de former plus ou mieux mais plutôt de former les collaborateurs de manière plus régulière.
En France, près de deux tiers des entreprises allouent entre trente minutes et deux heures de formation aux salariés par an, des temps de formation très faibles. Il y a quelques exercices de phishing et d’hameçonnage auprès des salariés pour voir s’ils sont sensibilisés, mais en si peu de temps tous ne retiennent pas la totalité des informations diffusées.
La répétition reste le meilleur moyen pour retenir, il faut pratiquer énormément. Être dans la situation pour retenir les bons gestes à appliquer. Il faut avoir à l’esprit que les cyberpirates changent, tout le temps, leur manière d’attaquer. Il faut donc pouvoir se préparer à différents types de cyberattaque. Mais cela est impossible avec moins de deux heures de formation, surtout une fois par an.
Quelles sont les entreprises qui forment leurs salariés en cybersécurité ?
Les sociétés qui sont concernées par les formations en cybersécurité vont de la PME jusqu’à la très grande entreprise. Les TPE sont malheureusement oubliées alors qu’il s’agit des structures qui ont le plus à perdre, le plus de dégâts à craindre en cas de cyberattaque. Selon un rapport du Sénat français de 2021 basé sur une étude américaine, 50% des TPE ou PME qui subissent une cyberattaque connaissent des difficultés de trésorerie sur une période de 12 à 18 mois…
Aujourd’hui, parler de formation en cybersécurité, c’est à la fois lié au manque de formation mais aussi au manque de prise de conscience de l’impact d’une erreur humaine sur la pérennité d’une organisation. Lorsqu’un salarié ouvre une pièce jointe qu’il n’aurait pas dû ouvrir, il se dit que le système informatique de sa société est compromis, sans pour autant avoir conscience que cela peut avoir un coût important pour l’entreprise. Coût qui pourra aussi avoir un impact, à plus ou moins court terme, sur son emploi. Il est vraiment nécessaire de sensibiliser les collaborateurs aux bonnes pratiques informatiques.
Cybersécurité : acquérir les bons réflexes
Montée en puissance des attaques rançongiciels : perte de vigilance ou plus de pirates ?
Des efforts voire des progrès sont faits dans les entreprises pour sensibiliser les collaborateurs aux cybermenaces. Cependant, ils sont parfois superficiels pour respecter les contraintes réglementaires. Cette montée en puissance des attaques rançongiciels est un mélange de manque de vigilance des utilisateurs et de la profusion de cyberattaquants.
Il faut dire qu’aujourd’hui la plupart des outils qu’ils utilisent sont plus facilement accessibles sur le deep web. Cette accessibilité fait que les profils des cyberattaquants sont multiples. Ainsi, il peut y avoir des groupes qui agissent finalement comme des organisations. Pour ces cyberpirates, préparer des cyberattaques est un vrai métier. Parallèlement, il peut y avoir des cyberattaquants isolés, qui depuis chez eux vont lancer plusieurs hameçons et voir qui mord ou pas.
Cette profusion de profils fait qu’il est parfois très difficile pour les sociétés d’avoir des procédures de cybersécurité fixes parce que finalement il s’agit d’environnements qui sont en perpétuelle évolution.
Comment acquérir les bons réflexes cyber ?
Il y a plusieurs bonnes pratiques.
Par exemple, lorsque l’on reçoit un mail suspicieux, il faut toujours regarder l’adresse de l’expéditeur. Aujourd’hui, en cas de doute il est possible de signaler ce mail. Il suffit de cliquer sur « J’ai un doute sur cet email » ou « Cet email me paraît suspicieux » et il est transféré automatiquement au service informatique. Ce dernier confirme s’il est possible ou non de l’ouvrir.
C’est un bon réflexe de ne jamais ouvrir de pièces jointes provenant de quelqu’un que l’on ne connaît pas. Cette idée de pousser les collaborateurs à acquérir des réflexes passe vraiment par de la pratique. D’où les fameuses campagnes de sensibilisation en interne où l’on va envoyer un mail de phishing. Il faudrait même aller plus loin : le collaborateur qui ouvre le mail qu’il n’aurait pas dû ouvrir, pourrait recevoir le lendemain un message lui disant qu’il s’agissait d’une campagne interne de sensibilisation. Et pour lui faire prendre conscience de son erreur, il pourrait aussi recevoir un message du type « Poste verrouillé, vous êtes victime d’un ransomware » bloquant leur poste de travail pendant cinq minutes.
Il peut aussi être envisagé, dans les structures de taille moyenne, de distribuer chaque mois un rapport qui répertorie les différentes menaces susceptibles de toucher la société et demander à un salarié, tiré au hasard, ce qu’il a retenu du rapport. Il faut que cela reste ludique, qu’il y ait un partage de l’information pour que cela soit retenu.
La sensibilisation aux risques de sécurité informatique doit être intégrée à l’ADN de la société, tout en trouvant un juste équilibre entre sensibilisation, bonnes pratiques et usages au quotidien.
Quel serait le bon niveau de fréquence pour que cela devienne des réflexes ?
Les entreprises ne veulent pas être trop intrusives dans la vie du salarié et elles sont nombreuses à ne pas interdire l’utilisation d’un ordinateur à des fins personnelles. Imposer des procédures de cybersécurité pourrait être perçu par certains collaborateurs comme un frein à leur réactivité. Mais il faut pour cela que chacun ait les bons réflexes.
Il pourrait donc être intéressant de faire des campagnes de phishing non pas en ciblant les mails professionnels mais les mails personnels afin de faire prendre conscience à chacun de l’importance des bons gestes en la matière. Parce que les bons réflexes que l’on doit avoir sur son lieu de travail doivent aussi s’appliquer au quotidien chez soi.
La bonne approche reste une newsletter régulière pour informer les salariés des différents types de cybermenaces pouvant toucher l’entreprise. Il faudrait peut-être aussi mettre en place des exercices pratiques, une fois par trimestre, d’une demi-heure à une heure. Il faut que tout cela reste ludique, il faut sortir du côté “cours“, très, voire, trop formel. Pourquoi ne pas faire des campagnes avec jeux de rôle, permettant au collaborateur de se mettre dans la peau d’un cyberattaquant ?
Cybersécurité : proposer des exercices de crise comme pour la sécurité incendie
Effectuer des exercices de gestion de crise sur la partie cybersécurité peut être envisagé mais le problème c’est que cela coûte excessivement cher. Toutes les entreprises ne peuvent pas se le permettre. Un tel entraînement bloquerait pendant plusieurs heures différents services, il faut pouvoir être en mesure de le faire. Il faut peser le pour et le contre avant de se lancer dans ce type d’exercice. Il faut aussi avoir à l’esprit qu’une cyberattaque peut coûter de 7 000 euros pour une TPE à plus de 50 millions pour une très grande entreprise.
Cybersécurité : des recommandations simples à adopter
1 – Des exercices ciblés correspondant aux cyberattaques possibles
Ma première recommandation concerne les entreprises. Tout ce qui est exercice et campagne de sensibilisation devrait être basé sur les types d’attaques auxquelles les sociétés pourraient être soumises.
Aujourd’hui, la plupart des sociétés sont capables de déterminer les types d’attaques qu’elles pourraient subir. Elles pourront donc se servir de ces scénarii d’attaque pour réaliser des campagnes de sensibilisation par phishing ou des exercices de gestion de crise. Cette sensibilisation peut se faire avec un côté ludique pour sortir des formations théoriques souvent en présentiel et faire passer les messages plus facilement. On peut les rendre plus récréatives avec un contenu plus interactif comme celui des plateformes de cyberentraînement.
2 – Sensibiliser les collaborateurs aux bonnes pratiques
Il faut aussi savoir sensibiliser par la répétition sans forcément empiéter sur le quotidien, sans que le salarié se dise qu’il a déjà suivi cette formation le mois précédent et qu’il n’a pas besoin de la suivre à nouveau. Il faut alors trouver le juste milieu entre la sensibilisation du salarié et l’impact que ce dernier pourrait avoir sur sa société si elle est attaquée et que ce même salarié est à l’origine de cette compromission.
Face à cela, il y a plusieurs écoles dont la CNIL, partisane de la responsabilisation en s’appuyant sur un cadre légal. Pour elle, la charte informatique doit être contraignante. Elle doit être jointe en annexe du règlement intérieur et mettre le salarié en cause, s’il est à l’origine d’une compromission. Finalement, il partagerait la faute avec la société. Elle, parce qu’elle n’a pas été capable de se défendre avec ses outils et lui, parce qu’il est à l’origine de la compromission.
Il y a une autre approche, celle d’un club de décisionnaires de directions informatiques qui expliquent qu’il faut faire évoluer, beaucoup plus qu’aujourd’hui, l’état d’esprit des collaborateurs par une prise de conscience.
L’enjeu est vraiment là selon moi. Cette prise de conscience passe aussi par le fait d’avoir des outils de sécurité plus poussés. La difficulté est de trouver le bon équilibre pour optimiser la sécurité tout en réduisant l’impact sur les utilisateurs au quotidien.
3 – Les bonnes pratiques de cybersécurité sont aussi utiles chez soi
Il faut parvenir à faire comprendre au salarié que les bonnes pratiques qu’il applique au sein de l’entreprise, peuvent lui servir chez lui, aussi. Combien de personnes n’ont pas modifié le mot de passe de leur box Wi-Fi ?
On pense toujours qu’on ne peut pas être attaqué chez soi parce que notre ordinateur portable ne va pas intéresser des pirates. Mais en fait, c’est l’utilisation du matériel professionnel à des fins personnelles qui va les intéresser, parce qu’il est rattaché au réseau de notre société. Comme l’ordinateur du DG ou du DSI est très sécurisé et que tous deux sont formés à la cybersécurité, les pirates vont tenter d’y accéder par celui des collaborateurs pour remonter jusqu’à leur cible finale.
Ce type d’attaque ne se fait pas à la dernière minute mais se prépare longtemps en amont. D’où un nécessaire travail de sensibilisation, de bonnes pratiques que l’on pourra réutiliser au quotidien.
Aujourd’hui, les nouvelles générations grandissent dans un monde beaucoup plus informatisé que les précédentes. Il faudrait créer une culture de la cybersécurité peut-être même dès l’école afin de garantir une efficacité en milieu professionnel plus tard. Tout ce qui est cybermenace fait partie de leur quotidien mais ce n’est pas pour autant qu’elles y sont sensibilisées.
Sysdream, filiale cybersécurité de Hub One, propose des formations en sécurité informatique dispensées par des experts du domaine de la sécurité informatique et de la recherche cyber. Découvrez les offres de formation de Sysdream : https://sysdream.com/formation-securite-informatique/