Dans le secteur de la cybersécurité, il est facile de se retrouver dans une « bulle d’infosécurité », où les mots à la mode et les acronymes semblent bien ancrés dans le quotidien. L’idée que toute personne ayant des connaissances en informatique puisse ne pas être familière avec un terme aussi courant que le « phishing » semble impensable. C’est pourtant la réalité.

Comme le précise une récente étude, un nombre important d’employés dans le monde ne comprend pas ou peu ce que les professionnels de la cybersécurité considèrent comme une terminologie de base. Seuls 61 % des collaborateurs comprennent le terme de « phishing », et 31 % seulement connaissent les rançongiciels. Les menaces modernes sont d’autant plus méconnues. Seuls 30 % de la population active mondiale comprennent le terme « smishing » (phishing par sms), et seuls 25 % sont familiers avec le « vishing » (phishing par téléphone).

Ces chiffres montrent également que les jeunes générations sont paradoxalement les moins instruites sur le sujet. Seuls 47 % des 18 – 22 ans et 55 % des 23 – 38 ans reconnaissent le terme de « phishing », contre 65 % et 66 % des 29 – 54 ans et des 55 ans et plus, respectivement. Comment expliquer ses chiffres ? S’agit-il d’une barrière linguistique entre les professionnels de la sécurité et les utilisateurs finaux ?

Quelle qu’en soit la cause, avec plus de la moitié des entreprises mondiales ayant subi une attaque de phishing réussie l’année dernière, un changement est nécessaire.

Formation à la cybersécurité – bien plus qu’un simple exercice de QCM

Il ne s’agit pas d’un manque total de formation, puisque la majorité des organisations interrogées (95 %) forment leurs employés à repérer et à éviter les attaques de phishing. Cependant, si l’on ne fait qu’effleurer le sujet, cette formation risque de rester inefficace, quelles que soient la fréquence, la méthode et la portée.

Près d’un tiers des organisations ne forment qu’une partie de leurs utilisateurs. Une formation ciblée est une bonne idée, mais elle laisse des trous béants dans la cyberdéfense si elle n’est pas accompagnée d’une formation à l’échelle de l’entreprise. La fréquence des formations laisse également à désirer, quand on découvre que seulement 10 % des organisations consacrent plus de trois heures par an à cette tâche essentielle.

Seulement 60 % des entreprises offrent à leurs collaborateurs un enseignement formel, en personne ou via une formation assistée par ordinateur. Pour beaucoup, la formation à la cybersécurité consiste en une combinaison de bulletins d’information, de vidéos éducatives et des questionnaires à choix multiples. Certes, toute approche qui sensibilise à la sécurité doit être encouragée, mais ces méthodes basiques restent inefficaces.

La formation à la cybersécurité doit mettre davantage l’accent sur l’objectif de l’attaque et les processus de l’organisation. Pourquoi suis-je une cible pour les cyberattaques ? Quel est l’impact de mes actions sur la sécurité de mon organisation ? Quel serait l’impact possible, au niveau de l’organisation, d’une attaque réussie sur mes comptes ? Les collaborateurs doivent apprendre à reconnaître les menaces, mais ils doivent également être sensibilisés à leur rôle dans la défense contre ces menaces – et aux conséquences d’un piratage.

Les utilisateurs finaux doivent-ils en subir les conséquences ?

Nous parlons souvent des conséquences d’une mauvaise cybersécurité d’un point de vue financier direct, réputationnel ou commercial sur l’organisation : mais quelles sont les conséquences des mauvaises pratiques sur les individus ?

Près de deux tiers des organisations « punissent » les utilisateurs qui tombent régulièrement dans le piège des attaques de phishing. Les conséquences peuvent aller d’une formation supplémentaire à des avertissements officiels et des sanctions pécuniaires. Ce modèle divise néanmoins l’opinion. Les organisations se méfient, à juste titre, de punir leurs employés pour ces erreurs, craignant que cela n’engendre des réticences à la formation en cybersécurité ou au signalement de mails suspicieux. A contrario, les fervents partisans du modèle estiment que sans une forme de contrainte, les utilisateurs risquent de ne pas prendre leurs responsabilités au sérieux.

Si l’approche peut faire l’objet d’un débat, son efficacité ne l’est pas. Près de 90 % des organisations signalent une amélioration de la sensibilisation des employés suite à la mise en œuvre d’un modèle avec réprimande, selon une étude ProofPoint. Le modèle lui-même est ici secondaire. Le point essentiel à retenir est qu’investir du temps et faire des efforts est primordial : plus les collaborateurs reçoivent une formation pratique, mieux ils sont à même de repérer les tentatives de phishing.

Créer une culture de la sécurité

L’objectif de tout programme de formation à la sécurité est in fine de faire disparaître les comportements qui mettent votre organisation en danger. Pour cela, commencez par cultiver une culture de la sécurité avant tout. Cela implique un programme de formation continue, à l’échelle de l’organisation qui reconnaît le rôle élémentaire de chacun dans la sécurité de l’ensemble.

Sur cette base, vous pourrez ensuite dispenser une formation sur mesure à ceux qui sont les plus activement visés par les cybermenaces, à savoir les personnes très attaquées (Very Attacked People – VAP). En identifiant vos VAP, vous pouvez alors adapter leur formation aux menaces spécifiques et aux rôles professionnels, traiter les menaces avec plus de précision et contrôler en permanence le niveau de compétence des personnes en première ligne.

La formation peut se faire à travers des ateliers physiques, des évaluations en ligne, des simulations d’attaques réalistes et la sensibilisation générale à la cybersécurité. Plus important encore, cette formation doit être complète, continue et restée adaptée à l’évolution du paysage des menaces ciblant votre organisation.

Il n’existe pas de solution miracle en matière de cybersécurité. La mise en place d’une culture de la sécurité exige des efforts et une attention continus des organisations. Les cybercriminels sont très attentifs aux mécanismes de défense – ils perfectionnent sans cesse leurs compétences et leurs techniques. A la fin de ces jeux de dupe, il ne peut y avoir qu’un seul gagnant ; devinez qui aujourd’hui a le mieux compris les règles, avec des complices involontaires, au sein-même de votre organisation, comme rappelé tout récemment par le FBI?
___________________

Par Loïc Guézo, Directeur Senior, Stratégie Cybersécurité, SEMEA chez Proofpoint