En général, on a tendance à croire que la responsabilité de la sécurité informatique dépend entièrement des professionnels des systèmes d’une entreprise, ou de la personne chargée de la direction des systèmes d’information, dans le cas des grandes sociétés. Finalement, ces personnes disposent des connaissances et des moyens techniques pour contrer les attaques et maintenir la sécurité.
Cependant, la pratique nous a montré que ces personnes disposent de la formation nécessaire pour contenir les attaques, mais elles manquent de ressources pour les prévenir, voilà pourquoi il est important de collaborer avec le reste du personnel.
Les entreprises doivent se préparer aux cyberattaques et protéger leurs équipements. Il s’agit d’une menace constante à laquelle elles doivent être capables de répondre. Parmi les cas de cyberattaques marquants se trouve par exemple celui survenu en 2017, qui a eu un impact mondial et a touché Telefónica. D’autre part, des entreprises espagnoles telles que PRISA ou Everis ont également été victimes d’un ransomware qui a crypté leurs fichiers.
Nous sommes persuadés que les départements de Formation et des Ressources Humaines jouent un rôle crucial dans la mise en place d’une stratégie globale de prévention des attaques, en élaborant un plan de travail axé sur quatre phases :
1) Évaluation et mesure
Lors de la phase initiale, les efforts doivent se focaliser sur l’évaluation du risque réel auquel l’organisation est confrontée. Pour cela, il est indispensable d’élaborer un plan de travail impliquant à la fois le département des Systèmes et celui de la Formation, et d’obtenir le feu vert de la direction. Cette dernière est principalement concernée par le respect des normes ou la conformité afin d’établir une analyse précise du niveau de sécurité informatique au sein de l’organisation.
Pour ce faire, une série de mesures initiales doivent être exécutées afin d’évaluer les risques les plus fréquents :
- Simulation d’attaques ciblées par courrier électronique, incluant le hameçonnage et le ransomware, pour un groupe de personnes aléatoires.
- Simulation d’attaques de vishing (hameçonnage par téléphone) sur une dizaine de personnes.
- Simulation d’attaques par le biais de clés USB.
2) Formation et sensibilisation
L’étape suivante consistera à former le personnel sur les méthodes de correction des failles identifiées lors des simulations d’attaques de la phase d’évaluation précédente. Pour cela, des séances de formation en ligne d’au moins 2 heures pour des groupes de 20 à 25 personnes pourront être organisées. La modalité numérique correspond à l’option la moins coûteuse et la plus efficace. Ces séances devront être axées sur le partage des connaissances de base concernant la détection et la prévention des cyberattaques.
3) Formation active
Cette phase implique l’organisation de séances de formation régulières pour le personnel, afin de vérifier que ces personnes apprennent à détecter les attaques. Cette phase se concentrera sur les actions suivantes :
- Activation aléatoire.
- Spécifiques par département, rôle ou utilisateur.
- Correctives dans chaque cas, en fonction des erreurs commises. La personne recevra des informations lui expliquant comment elle aurait dû procéder et où se trouvaient les indices permettant de détecter qu’il s’agissait d’une cyberattaque.
Dans ce contexte, apprendre à protéger les appareils et les réseaux sociaux grâce à un jeu vidéo d’apprentissage dynamique comme Crypt0 est la solution idéale pour identifier les erreurs courantes et les mauvaises pratiques souvent adoptées au sein des organisations en matière de sécurité informatique.
Ce serious game permet de s’entraîner dans des situations élaborées autour d’une intrigue narrative. Ainsi, de manière captivante et intéressante, vous pourrez approfondir des aspects tels que la gestion des mots de passe, les risques sur les réseaux sociaux, la sécurité des appareils mobiles, les dangers liés à l’utilisation des réseaux Wi-Fi publics, l’identification de virus ou de logiciels malveillants, les risques sur le lieu de travail, l’utilisation sécurisée du courrier électronique ou encore l’ingénierie sociale, entre autres.
4) Analyse et mise en place d’actions correctives
Finalement, il serait pertinent de préparer un rapport final en détaillant les objectifs suivants :
- Obtenir une vision réaliste des différents domaines de la cybersécurité actuelle.
- Comprendre la sécurité de manière holistique, en embrassant une perspective complète qui s’étend de la réalité de la vulnérabilité aux politiques et procédures d’intervention.
- Comprendre et assimiler les concepts et les technologies de base sur lesquels repose la sécurité logique des systèmes d’information et la cybersécurité.
- Connaître les dernières technologies liées à la cybersécurité.