Dans un monde où tous les secteurs professionnels ou presque font face à la digitalisation, la sécurité des informations est devenue un enjeu très important. De fait, avec la cybercriminalité qui a explosé au cours de cette dernière décennie, les entreprises, quelles que soient leurs tailles sont devenues de potentielles cibles pour les hackers à la recherche d’informations ou de rançons.
Selon le CESIN (Club des Experts de la Sécurité de l’Information et du numérique), les failles au niveau des machines et des logiciels sont à l’origine d’environ 10% des attaques menées à l’encontre des entreprises. Ce qui laisse la part de 90% de responsabilité aux humains qui se servent de ces appareils. Pour limiter les risques d’attaques au sein de votre structure, il est donc important de prendre connaissance des comportements des collaborateurs qui peuvent ouvrir la voie au piratage pour mieux sensibiliser ces acteurs. Focus sur 4 profils types de collaborateurs et les mesures que vous pouvez prendre pour les accompagner à renforcer la sécurité pendant leur travail.
Le collaborateur qui ne se sent pas concerné
Certains collaborateurs ne comprennent pas toujours les enjeux autour de la sécurité des informations, ou s’ils en savent un peu sur le sujet, ils ne pensent pas pouvoir être la cible des cybercriminels. Ces employés bien intentionnés occupent donc leur quotidien de la manière la plus normale possible sans toutefois savoir que des risques peuvent découler de leur utilisation des équipements informatiques. Ils sont généralement les personnes les plus susceptibles d’être victimes des attaques menées contre les entreprises, le phishing étant en tête de liste.
Cette technique revient à demander des informations, des documents sensibles ou la réalisation d’une action à un travailleur, le pirate se faisant passer pour un intermédiaire de confiance. Avec peu ou pas d’informations sur ces techniques, l’employé a plus de chances d’accéder à la requête, ouvrant la porte à une attaque.
Pour éviter ce genre de situation, vous pouvez vous adresser à Arsen, un organisme de formation qui propose des simulations très proches des conditions dans lesquelles un employé peut faire l’objet d’une attaque. En premier lieu, il s’agira d’organiser des sessions de sensibilisation sous la direction d’un expert informatique qui pourra présenter l’hameçonnage, les ransomwares, l’espionnage ainsi que les pratiques les plus courantes utilisées par les cybercriminels. Vous pourrez ensuite instaurer petit à petit une culture de la cybersécurité dans vos rangs.
Pour renforcer cette culture et vous assurer que vos collaborateurs ont toutes les cartes en main pour diminuer les risques d’attaques, vous pourrez ensuite les mettre dans des conditions réelles avec l’accompagnement d’une société spécialisée.
Le nouveau qui vient d’intégrer l’équipe
Le nouveau qui vient d’intégrer l’équipeAu sein des entreprises, il n’est pas rare qu’un nouveau profil rejoigne une équipe. Quand cela arrive, il existe généralement une petite période d’adaptation pendant laquelle l’intéressé essaie d’adopter les règles de sécurité, les pratiques et le fonctionnement au sein de la boîte. Selon son profil, il se peut que cette période d’ajustement ne lui permette pas de tout assimiler dans les temps, ce qui peut faire de lui une potentielle victime.
En plus d’instaurer une culture de la cybersécurité au sein de votre entreprise, vous pouvez rédiger une charte informatique qui aura le même rôle qu’un règlement intérieur pour l’utilisation des appareils. Ce document permettra d’informer, notamment votre politique stricte en matière de sécurité des systèmes d’informations et de communication. Généralement, il revient à votre département sécurité de se charger de sa rédaction et de le maintenir à jour.
Lorsque la charte informatique est bien rédigée, elle permet à tous les collaborateurs d’être au même niveau d’information sur les outils qui sont mis à disposition et donne des informations sur comment les utiliser au mieux pour ne pas ouvrir la porte à de potentielles attaques. Elle contient également les sanctions qui doivent être prises à l’encontre des collaborateurs qui seraient reconnus fautifs d’une négligence ayant conduit ou non à une cyberattaque.
Le collègue qui n’est pas très à l’aise avec les appareils
Dans toutes les entreprises, il existe un profil qui n’apprécie pas particulièrement les appareils technologiques. Ces collaborateurs privilégient le contact physique, les missions sur le terrain et ne passent que très peu de temps en ligne, ce qui constitue pour eux une raison suffisante pour ne pas être à l’origine d’une attaque.
Ces utilisateurs préfèrent généralement noter leurs mots de passe sur un support papier et verrouillent rarement leurs appareils. Ce faisant, ils peuvent perdre leurs mots de passe et avoir à passer par le processus de réinitialisation plusieurs fois, délaissant plus tard les supports sur lesquels ils avaient noté leur mot de passe. Une attaque utilisée par les cybercriminels revient justement à se servir de ces anciennes informations d’identification pour récupérer un compte et avoir accès aux informations souhaitées. De plus, le fait de laisser un ordinateur sans système de verrouillage laisse la porte ouverte au contrôle à distance par les attaquants, ce qui peut se révéler ensuite très problématique pour l’entreprise qui fait l’objet de l’attaque.
Ces employés doivent être impliqués dans les sessions de sensibilisation et dans la culture de cybersécurité de l’entreprise le plus possible. Vous pouvez multiplier les simulations dans les conditions réelles avec eux pour vous assurer qu’ils adoptent les mécanismes de protection de base. Impliquez également les collègues autour de ces profils pour qu’ils comprennent la nécessité de respecter les mesures instaurées.
Le super-utilisateur
Le super-utilisateurPour finir, le super-utilisateur, un collaborateur qui a de bonnes connaissances en informatique et qui connaît les risques de piratage. De manière générale, il n’a pas besoin de formation ou d’information additionnelle pour reconnaître les attaques et les défaire. Avec lui, vous avez moins de chances d’être victimes d’une cyber-attaque.
Toutefois, ces employés ont également une tendance à perdre leurs mots de passe, ou à en utiliser qu’un seul pour tous leurs comptes. Vous pouvez leur fournir des solutions sécurisées de gestion de mots de passe, proposées par votre service informatique pour les aider à renforcer la sécurité sur ce point. Pensez également à surveiller leur utilisation et leur travail, parce qu’ils sont les plus susceptibles d’accéder aux informations de l’entreprise hors des locaux. Pour finir, ne les dispensez pas des sessions de sensibilisation ou de simulation, ce sera une bonne façon de vous assurer qu’ils peuvent réellement adopter un comportement qui se révélera sécurisé pour votre entreprise.
