.png)
Au mieux, les employés d'une organisation peuvent constituer une couche de défense active contre les cyberattaques. Une formation et des lignes directrices actives en matière de sécurité de l'information fournissent aux employés des instructions et une compréhension actualisées, ce qui leur permet d'empêcher l'apparition de menaces pour la cybersécurité.
Toutefois, il ne suffit pas d'être sensibilisé au phishing, aux logiciels malveillants, aux attaques par mot de passe ou à d 'autres menaces de sécurité d'origine personnelle. Les employés doivent adopter des modèles d'exploitation sécurisés qui réduisent automatiquement les risques. Il est également important que les employés sachent comment réagir lorsqu'ils détectent que quelque chose ne va pas. Les employés doivent être formés à la manière d'agir en toute sécurité. Cela nécessite une formation complète sur la sécurité de l'information et des lignes directrices claires en matière de sécurité.
Même un bon ensemble de lignes directrices peut être ignoré si les employés n'en comprennent pas la raison d'être. Des lignes directrices efficaces en matière de sécurité de l'information enseignent aux employés des pratiques claires et sûres. Idéalement, les lignes directrices expliquent également pourquoi il est important de les suivre.
Lorsque nous aidons nos collaborateurs à comprendre les menaces qui pèsent sur eux, que nous leur fournissons des lignes directrices claires et que nous leur expliquons pourquoi il est important de suivre ces lignes directrices, nous leur donnons la possibilité d'agir en toute sécurité et de protéger nos données et nos activités. Lorsqu'il est demandé aux employés d'accepter chaque ligne directrice, un engagement en faveur de la sécurité de l'information commence à se former.
Dans le meilleur des cas, la formation et les lignes directrices en matière de sécurité de l'information créent un sentiment de responsabilité partagée. Nous contribuons tous à la protection des informations critiques de notre organisation. En engageant l'ensemble du personnel dans des pratiques agiles et intelligentes, nous promouvons l'importance de la sécurité et la nécessité de la participation de chacun.
De nombreuses organisations peuvent investir plus directement dans l'amélioration de la cybersécurité technique, car ces solutions peuvent être mises en œuvre par quelques personnes clés sans perturber le reste de l'organisation. Gartner a prédit en 2018 que les entreprises dépenseraient plus de 124 milliards de dollars en solutions de sécurité technique en 2019.
Cependant, la plupart des atteintes à la cybersécurité sont dues à des erreurs humaines qui ne peuvent être évitées par les seules solutions techniques. En l'absence de lignes directrices et de formations efficaces, les employés peuvent devenir des cibles faciles pour les attaquants. Souvent, le moyen le plus efficace de renforcer la cybersécurité d'une organisation est d'investir dans ces domaines.
L'organisation doit guider les employés pour qu'ils agissent en toute sécurité lorsqu'ils manipulent les informations de l'organisation. De nombreuses lignes directrices s'appliquent également en dehors du lieu de travail. La prévention du phishing, l'utilisation sécurisée des appareils mobiles ou l'adoption de mots de passe intelligents peuvent aider les employés à améliorer la cybersécurité de leur propre famille, par exemple.
Chaque semaine, nous rapportons des cas réels concernant la cybersécurité. Certaines menaces sont très techniques (comme des vulnérabilités non corrigées), mais la plupart des menaces actuelles sont liées au personnel. Les personnes sont souvent le maillon le plus faible et la cible la plus efficace pour les cybercriminels.
Parmi les principales menaces actuelles pour la sécurité liées au personnel, on peut citer les suivantes :
Il s'agit d'attaques graves qui peuvent résulter de la négligence de certains employés. C'est pourquoi les employés non formés constituent l'un des plus grands risques pour la cybersécurité de l'organisation. La formation et les lignes directrices ne doivent pas nécessairement être complexes et prendre du temps ; elles peuvent être souples et automatisées, mais elles doivent exister pour atténuer les risques.
Notre objectif a été de créer un processus de sensibilisation à Cyberday qui soit étroitement intégré dans les routines de travail quotidiennes des employés et qui soit facile à maintenir pour toutes les parties concernées.
C'est ainsi que les lignes directrices et la formation du personnel en matière de cybersécurité sont mises en œuvre dans le cadre de Cyberday:
Dans Cyberday, vous trouverez une liste de lignes directrices suggérées sous différents thèmes. Il s'agit de lignes directrices générales qui sont communément répétées dans diverses organisations.
La manière la plus simple de mettre en œuvre une ligne directrice est de l'activer et de la cibler sur l'ensemble du personnel. Toutefois, vous pouvez également modifier les lignes directrices et en ajouter d'autres tout à fait uniques.
Les thèmes importants des lignes directrices sur la cybersécurité des employés sont les suivants :
Les lignes directrices sont conçues pour être claires et concises, présentées en petites sections faciles à gérer. Cette approche garantit que lorsque les employés cliquent sur "Marquer comme accepté", ils comprennent vraiment ce que l'on attend d'eux et s'engagent à suivre les instructions. Les informations importantes peuvent se perdre dans de longues lignes directrices en matière de sécurité.
Les lignes directrices doivent être pertinentes pour les employés afin qu'ils les perçoivent comme nécessaires. Les employés qui utilisent des appareils mobiles au sein de l'organisation doivent recevoir des instructions sur la mise à jour de ces appareils, ceux qui travaillent de manière mobile doivent être sensibilisés à la confidentialité des données lorsqu'ils sont en déplacement, le service informatique doit recevoir des lignes directrices sur la mise en place sécurisée de nouveaux projets logiciels, le personnel du service clientèle doit être informé des droits enregistrés en matière de protection des données, et ainsi de suite.
Dans les lignes directrices, il n'est pas nécessaire dans l'immédiat de viser une approche ciblée, mais d'après notre expérience, certains aspects peuvent effectivement être abordés, à condition qu'il y ait une possibilité de ciblage et d'approbation automatisée des lignes directrices. Dans Cyberday, vous pouvez cibler les lignes directrices sur l'ensemble du personnel ou sur des unités spécifiques gérées par les administrateurs désignés comme utilisateurs principaux.
Où nos employés passent-ils une grande partie de leur journée de travail ? Dans Microsoft Teams !
Si nous voulons que nos employés remarquent les lignes directrices en matière de sécurité et leur fournir un moyen facile de les lire et de les adopter, pourquoi ne pas les apporter à l'endroit où les employés se trouvent déjà ?
Dans l'application Cyberday Teams, le robot se charge de rappeler aux employés, à intervalles appropriés, les directives non lues ou relues. Par défaut, le robot envoie des rappels aux employés une fois par mois. Les administrateurs peuvent définir l'intervalle de temps pour la relecture des directives, par exemple tous les 6 mois ou tous les 12 mois.
Le rappel contient une demande claire et un lien unique - cliquez ici pour accepter les lignes directrices. L'employé n'a qu'à cliquer sur le message envoyé par le robot pour accéder à son guide personnel.
Certains membres du personnel de cybersécurité de l'organisation doivent être responsables de la formation et de l'orientation générales en matière de cybersécurité.
Pour aider ces personnes, le tableau de bord organisationnel de Cyberday fournit des résumés des réponses des différents employés aux directives. Alors que le robot envoie les rappels automatiquement, le résumé aide les administrateurs à réagir à la situation si nécessaire.
Une orientation directe est souvent le moyen le plus rapide de parvenir à la cybersécurité, mais lorsque l'on développe les compétences des employés, on obtient des avantages à long terme en améliorant leur compréhension de la cybersécurité. Ils peuvent ainsi réagir au mieux aux nouvelles menaces et situations en toute sécurité.
Si vous souhaitez investir davantage dans le développement des compétences de vos employés, vous pouvez utiliser le Guide pour développer les exemples de cas et les évaluations de compétences des lignes directrices.
L'objectif des exemples de cas est de présenter des situations réelles qui se sont produites en raison du non-respect des lignes directrices. En utilisant ces exemples, l'objectif est d'éduquer les employés sur la raison d'être de ces lignes directrices, et pas seulement sur les lignes directrices elles-mêmes.
Oui, dans certains cas, le respect des consignes de sécurité peut être considéré comme ennuyeux ou chronophage. Dans ces cas, la compréhension des risques associés aux lignes directrices peut être la principale motivation des employés pour suivre les lignes directrices dans toutes les situations.
L'objectif des tests de compétence est d'évaluer le niveau de compréhension et de connaissance acquis après la lecture des lignes directrices. Après avoir lu les lignes directrices sur un sujet spécifique (par exemple, le travail à distance), les employés sont confrontés à des questions à choix multiples qui leur permettent de démontrer leur compréhension du matériel.
Si vous souhaitez en savoir plus sur la gestion des risques liés à la cybersécurité, participez à nos prochains webinaires ou choisissez un moment opportun pour une réunion d'équipe et nous pourrons poursuivre la discussion de manière plus personnalisée.
