Une organisation doit s'assurer que tous ses collaborateurs, qu'ils soient internes ou externes, sont conscients des cyberrisques et menaces auxquels ils peuvent être confrontés et des comportements à adopter face à une activité suspecte.

Sensibilisation à la sécurité et communication

Les collaborateurs d'une organisation constituent sa première ligne de défense en matière de cybersécurité. Les former à ce sujet est l'un des éléments les plus importants pour renforcer la résilience de l'organisation en matière de sécurité : en étant capables d'identifier une tentative de phishing et de l'éviter ou en signalant tout événement suspect, les collaborateurs participent activement à la sécurité de votre organisation. Au vu des conséquences qu'un incident, même mineur, peut avoir sur les finances, les opérations et la réputation d'une organisation, la sensibilisation des collaborateurs à la sécurité ne peut être négligée.

1. Élaborez un plan de communication et de sensibilisation

L'élaboration d'un plan de communication et de sensibilisation comprenant des campagnes et des séances d'information sur différents sujets liés à la cybersécurité, menaces actuelles et conseils inclus, permet de s'assurer que les collaborateurs gardent toujours la sécurité à l'esprit. Les différents sujets susceptibles d'être inclus dans ce plan, y compris des détails pratiques à partager, sont développés dans le chapitre suivant : « Menaces de cybersécurité et conseils à partager avec les collaborateurs ». Les formations doivent souligner l'importance du facteur humain lors de cyberattaques (par exemple, les tentatives de fraude, le phishing, la fraude au CEO, l'installation de logiciels malveillants, etc.) et impliquer les bonnes personnes (formation sur la fraude au CEO pour les personnes responsables des paiements, formation sur les risques liés aux appareils mobiles et les meilleures pratiques pour les collaborateurs possédant des téléphones mobiles de l'organisation, par exemple, etc.)

La proactivité est l'un des éléments clés pour éviter les incidents. Le plan doit définir les sujets à aborder, le format (e-learning, exercice, messages sur l'intranet, e-mails, etc.), les objectifs à atteindre, le public et la fréquence (hebdomadaire, mensuelle, trimestrielle, etc.). Les formations et la communication doivent être ciblées sur les risques auxquels les collaborateurs sont confrontés. Des évaluations peuvent être mises en place sous la forme de tests pour évaluer l’efficacité des formations. Des quiz peuvent être organisés pour rendre les formations plus interactives. Vous pouvez par exemple inviter vos collaborateurs à passer notre test du phishing sur https://www.safeonweb.be/fr/quiz/test-du-phishing.

Si la proactivité est importante, la répétition l’est tout autant. Les messages de sensibilisation doivent être répétés à intervalles réguliers pour maintenir la sensibilisation ou la renforcer sur des aspects spécifiques. L'organisation doit instaurer une culture de communication ouverte, et non du blâme, pour diffuser efficacement les informations au sujet des tentatives de cyberattaques.

2. Communiquez les procédures et politiques internes et les meilleures pratiques

Si une organisation a déjà mis en place des politiques, des procédures ou des meilleures pratiques internes, elle doit partager les principales recommandations et lignes directrices qu'elles contiennent avec ses collaborateurs. Ils seront ainsi tous au courant du comportement souhaité. Lorsque vous communiquez au sujet des politiques, des procédures et des meilleures pratiques, veillez à rester concret et pratique et à souligner les messages clés tels que « De quoi est-il question ? », « Pourquoi est-ce important? » ou « Qu'est-ce que cela implique pour nous ? ».

Votre organisation n’a pas encore mis de politiques en place ? Plusieurs modèles de politique sont disponibles sur notre plateforme pour aider les organisations à élaborer des procédures internes.

POLICY TEMPLATES

Il est indispensable d'impliquer la direction et les conseils d'administration dans cette communication ; cela permet de montrer l'importance qu'une organisation accorde à la sécurité de l'information. Chaque collaborateur doit être impliqué dans la communication, quel que soit son rôle au sein de l'organisation.

3.    Expliquez comment signaler un incident

Une fois que les collaborateurs savent comment agir en cas de cybermenace ou d’incident, ils doivent également savoir comment signaler tout événement indésirable dont ils pourraient être témoins. La sensibilisation des collaborateurs à la sécurité doit également inclure des communications concernant la nécessité de signaler tout élément inhabituel qu'ils remarquent dans les bureaux, sur leurs postes de travail, sur leurs appareils mobiles ou sur le réseau. Les collaborateurs doivent savoir quand, comment et à qui ils peuvent s'adresser pour signaler un incident potentiel.
Notre modèle de politique de gestion des incidents peut aider les organisations à définir un processus de gestion des incidents efficace, rapportage compris.

Menaces de cybersécurité et conseils à partager avec les collaborateurs

1.    Cybermenaces

L’éventail des menaces est en constante expansion. Aujourd'hui, les organisations sont confrontées à de nombreuses menaces de cybersécurité courantes dont les collaborateurs doivent être conscients et auxquelles ils doivent savoir comment réagir :

Phishing

Les cybercriminels tentent de recueillir des informations personnelles ou professionnelles qu'ils peuvent utiliser pour faire du profit par le biais de faux e-mails ou coups de téléphone. Restez vigilant face à d'éventuels messages frauduleux ou malveillants et signalez toute tentative suspecte de phishing à suspect@safeonweb.be.
Pour plus de recommandations concernant le phishing, consultez notre article à ce sujet.

Ransomware

En installant un malware sur les ressources d'une ou plusieurs organisations, les cybercriminels peuvent bloquer les accès et les informations qu'ils sont prêts à rendre en échange d'un paiement. Restez vigilant, méfiez-vous des potentiels messages malveillants et assurez-vous que vos systèmes sont mis à jour, sauvegardés et protégés par un antivirus.
Pour plus de recommandations concernant les ransomwares, consultez notre article à ce sujet.

Piratage de sites Internet

Les cybercriminels obtiennent un accès non autorisé à la configuration et aux données d'un site Internet et les utilisent à des fins malveillantes (pour lancer d'autres attaques, accéder à des informations sensibles, etc.) qui leurs seront profitables. Diverses mesures peuvent empêcher le piratage de votre site Internet. Vous pouvez notamment protéger tous les accès à votre système de gestion de contenu et maintenir tous vos composants à jour.
Pour plus de recommandations concernant le piratage de sites Internet, consultez notre article à ce sujet.

Défacement

Les cybercriminels modifient et/ou remplacent le contenu initial d’un site Internet pour faire passer un message ou perturber les opérations. Soyez attentif à toute modification apportée au site Internet de votre organisation et signalez immédiatement tout changement suspect.
Pour plus de recommandations concernant le défacement, consultez notre article à ce sujet.

Attaque DDoS

Une attaque par déni de service (DDoS) vise à perturber les opérations de routine des serveurs ou des hôtes Internet d’une organisation en surchargeant un serveur Internet et en lançant une énorme quantité de demandes de pages. Il est possible de mitiger les attaques DDoS en installant un pare-feu et en instaurant une authentification multifacteurs, entre autres. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.
Pour plus de recommandations concernant les attaques DDoS, consultez notre article à ce sujet.

Virus informatique

Un virus est un code malveillant qui peut nuire à un appareil et aux données qu'il contient, soit dans le but de voler des données, les crypter et demander une rançon, soit dans le but de rendre l'appareil indisponible. L'une des principales mesures de protection contre les virus informatiques consiste à installer une solution antivirus sur tous les appareils et à la maintenir à jour.  
Pour plus de recommandations concernant les virus, consultez notre article à ce sujet.

Piratage de compte

Une personne autorisée accède à un compte et à toutes les informations qu'il contient pour les utiliser à des fins malveillantes, comme le vol de données. Pour protéger un compte contre le piratage, définissez des mots de passe forts en combinant majuscules et minuscules, symboles et chiffres. Instaurez également une authentification multifacteurs dès que possible.
Pour plus de recommandations concernant le piratage de compte, consultez notre article à ce sujet.

Fraude au CEO

Les cybercriminels se font passer pour un CEO et s'adressent aux collaborateurs pour tenter de les convaincre d'exécuter un paiement ou de fournir des informations confidentielles. Établissez des procédures claires concernant les virements électroniques et des directives claires concernant le partage d'informations afin de vous assurer que les collaborateurs ne répondent pas aux demandes des cybercriminels lors d'une attaque de fraude au CEO.
Pour plus de recommandations concernant la fraude au CEO, consultez notre article à ce sujet.

Arnaque au faux virement

Par la persuasion, la menace ou toute autre forme de pression, les cybercriminels tentent de convaincre les collaborateurs qu'ils doivent soit exécuter un virement non planifié et urgent, soit partager des informations confidentielles et/ou des procédures internes concernant la manière d'exécuter un paiement. Comme pour la fraude au CEO, établissez des procédures claires concernant les virements électroniques et des directives claires concernant le partage d'informations afin de vous assurer que les collaborateurs ne répondent pas aux demandes des cybercriminels.
Pour plus de recommandations concernant l’arnaque au faux virement, consultez notre article à ce sujet.

Arnaque au faux support technique

En se faisant passer pour un représentant du support technique, les cybercriminels tentent de convaincre les collaborateurs que leur appareil a besoin d'une assistance technique en échange de laquelle ils doivent payer ou fournir des informations confidentielles. Veillez à sensibiliser les collaborateurs à ce type d'escroquerie et à leur donner des conseils et des astuces pour se protéger, par exemple en faisant attention aux sites sur lesquels ils surfent, en téléchargeant les mises à jour sur les sites officiels et en maintenant tous les appareils à jour.
Pour plus de recommandations concernant l’arnaque au faux support technique, consultez notre article à ce sujet.

Spam

Les cybercriminels tentent de piéger des victimes par phishing, de diffuser des logiciels malveillants ou de voler des informations confidentielles en envoyant des messages non sollicités à un grand nombre de collaborateurs. Restez vigilant face à d’éventuels messages frauduleux et signalez-les à suspect@safeonweb.be
Pour plus de recommandations concernant les spams, consultez notre article à ce sujet.

2.    Meilleures pratiques et conseils en matière de cybersécurité

Outre la sensibilisation des collaborateurs aux menaces auxquelles ils sont confrontés, les organisations peuvent leur partager les meilleures pratiques et les conseils à suivre pour éviter de tomber dans le piège d'une cyberattaque :

Mots de passe

Les mots de passe forts combinent des majuscules et des minuscules, des chiffres et des symboles. Ils doivent si possible être associés à une authentification multifacteurs, qui exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre. Enfin, les gestionnaires de mots de passe aident à gérer plusieurs mots de passe en les stockant en toute sécurité.
Pour plus de recommandations concernant les mots de passe, consultez notre article à ce sujet.

Médias sociaux

Plusieurs cybermenaces planent sur les médias sociaux, comme le phishing, le piratage de compte ou les logiciels malveillants. Les collaborateurs peuvent protéger leurs informations en utilisant l'authentification multifacteurs et des mots de passe forts.
Pour plus de recommandations concernant la sécurité des médias sociaux, consultez notre article à ce sujet.

Utilisation professionnelle et personnelle

Il est important de faire la distinction entre l'usage professionnel et personnel en séparant les services de messagerie, les mots de passe et les services de sauvegarde.
Pour plus de recommandations sur comment faire la différence entre utilisation professionnelle et personnelle, consultez notre article à ce sujet.

Wi-Fi public

Les Wi-Fi publics sont libres d'accès. Leur utilisation devrait être limitée au strict nécessaire et l'utilisation d'un VPN, une solution qui permet de crypter et de cacher le trafic Internet à quiconque pourrait essayer « d'écouter » les données partagées, devrait être mise en œuvre.

Sites Internet en ligne

La légitimité d'un site Internet peut être déterminée en vérifiant si l'adresse est la bonne, en contrôlant la réputation et en évaluant le mode de paiement pour voir s'il semble étrange (par l'intermédiaire d'un organisme de transport ou de colis, etc.).

Télétravail

Un télétravail en toute sécurité passe par la sécurisation des appareils et des données en limitant et en protégeant leur accès.
Pour plus de recommandations concernant la sécurité en télétravail, consultez notre article à ce sujet.

Appareils mobiles

Les appareils mobiles renferment également des informations personnelles et/ou professionnelles et doivent être sécurisés en conséquence en instaurant un mot de passe ou un code PIN fort pour y accéder, en les tenant à jour et en sauvegardant toutes les données importantes.
Pour plus de recommandations concernant la sécurité des appareils mobiles, consultez notre article à ce sujet.

Sauvegardes

Les informations les plus précieuses doivent être identifiées et sauvegardées en conséquence afin de garantir leur disponibilité en cas d'incident.
Pour plus de recommandations concernant les sauvegardes, consultez notre article à ce sujet.

Mises à jour

En mettant à jour toutes les ressources, l'on s'assure qu'elles disposent de toutes les améliorations de sécurité nécessaires. Ces mises à jour doivent uniquement être téléchargées sur les sites Internet officiels.
Pour plus de recommandations concernant les mises à jour, consultez notre article à ce sujet.

Antivirus

Le choix d'un antivirus dépend ce qui doit être protégé, des fonctionnalités requises et de l'expertise nécessaire pour le gérer. Les antivirus doivent être mis à jour dès que possible pour garantir leur efficacité.
Pour plus de recommandations concernant les antivirus, consultez notre article à ce sujet.

Ces contenus visent à partager et à sensibiliser aux bonnes pratiques en matière de Cybersécurité. 
Certains de ces conseils peuvent s’appliquer différemment selon le contexte de votre organisation.
Respectez toujours la politique et les consignes en vigueur dans votre organisation.
En cas de doute, demandez d’abord toujours conseil à votre responsable informatique.