Directeur de la création chez The Game Agency et The Training Arcade – un public passionnant, engageant et éducatif.
getty
Forcés de travailler à domicile sans accès en personne aux informations, interaction humaine minimale et assistance informatique limitée, les « employés perturbés » n’ont d’autre choix que d’utiliser des réseaux domestiques non protégés et des appareils personnels souvent partagés par les membres de la famille. Accablés par de nouvelles couches de stress causées par la pandémie et une pression accrue pour faire le travail, ils ne sont pas conscients du risque de cybersécurité lié à la recherche, au téléchargement et au partage de contenu, y compris la propriété intellectuelle de l’entreprise. Les distractions qui proviennent d’un environnement de travail à domicile peuvent également faire dérailler des habitudes importantes essentielles à la cybersécurité – utiliser des mots de passe forts, maintenir l’hygiène numérique, corriger les ordinateurs et mettre à jour les logiciels mobiles.
Alors que plus de 70 % des entreprises interrogées par Malwarebytes ont obtenu des scores élevés pour leur préparation à la transition des employés vers le travail à domicile, près de la moitié ont admis ne pas fournir de formation en cybersécurité sur les menaces potentielles. Et pourtant, étude après étude, on constate que l’écrasante majorité des cyber-violations partagent une variable en commun : l’erreur humaine. Qu’il s’agisse de ne pas installer les mises à jour de sécurité logicielles, de ne pas connaître les risques des réseaux Wi-Fi publics ou de donner des informations sensibles aux e-mails de phishing, aucun anti-malware sophistiqué, filtre anti-spam ou logiciel de détection ne peut protéger contre les erreurs humaines.
Le risque peut être coûteux. Selon le rapport 2020 d’IBM Security sur le « Coût d’une violation de données », le fait d’avoir une main-d’œuvre à distance augmente le coût total moyen d’une violation de données de 137 000 $, pour un coût moyen global de 3,86 millions de dollars en 2020. Dans le même temps, les groupes de piratage de ransomwares deviennent de plus en plus agressifs et gourmands. La demande moyenne pour un paiement par extorsion numérique a grimpé au premier trimestre de cette année pour atteindre 220 298 $, en hausse de 43 % par rapport au trimestre précédent, comme indiqué dans le « Quarterly Ransomware Report » de Coveware. À la menace s’ajoute l’augmentation constante du nombre d’attaques de ransomware qui incluaient une menace de publication de données volées – 77 % au premier trimestre de cette année, soit une augmentation de 10 % par rapport au dernier trimestre 2020.
Les responsables de la sécurité de l’information (CISO), autrefois perçus comme des gestionnaires de crise sur appel, sont désormais chargés de créer des organisations résilientes dotées des bonnes solutions technologiques, de la conformité des employés et des politiques et pratiques organisationnelles qui uniformiseront les règles du jeu contre les attaquants. Ces protecteurs ultimes des personnes, des actifs, des infrastructures et de la technologie mènent également la transformation du lieu de travail post-pandémique qui continuera d’être un mélange de travailleurs numériques sur site et à distance.
Dans la lutte contre les cybermenaces, la meilleure défense est une bonne attaque. Les dirigeants des entreprises les plus protégées reconnaissent que de simples solutions rapides pour minimiser les erreurs humaines ne suffisent pas, pas plus que des politiques autonomes et bien conçues basées sur la confiance. L’impact réel vient de la création et du maintien d’une culture d’employés bien informés, autorégulés et motivés à tous les niveaux de l’organisation qui sont habilités à jouer leur rôle de guerriers dans la lutte contre les cyberattaques au quotidien.
La base d’une formation efficace en cybersécurité des employés doit répondre à trois critères clés :
1. Construire et maintenir une base de connaissances sur la cybersécurité. Des termes tels que spam, phishing, malware, ransomware et ingénierie sociale devraient faire partie du langage courant de l’entreprise. Tenez les employés au courant de l’évolution de ce problème au sein de votre organisation et dans le monde.
2. Enseignez la cause et l’effet. Les employés doivent bien comprendre le coût financier, opérationnel et réputationnel de ces menaces pour l’organisation. Aiguisez les compétences de prise de décision et établissez un lien clair entre leur comportement et les résultats.
3. Fournir un « endroit sûr » continu pour faire des erreurs. La formation doit être interactive et immersive afin de fournir un environnement sûr aux employés pour tester leurs connaissances sans craindre les conséquences d’une erreur. Mieux vaut qu’ils soient amenés à télécharger des logiciels malveillants dans le cadre d’un exercice d’entraînement sécurisé basé sur des scénarios plutôt que dans la vraie vie.
J’ai vu de nombreuses entreprises s’appuyer sur les bases d’une formation en cybersécurité avec des jeux, des simulations et des vidéos interactives :
Pour assurer un succès optimal, les entreprises ont intérêt à se concentrer sur des objectifs de mémorisation, de jugement et de stratégie.
La pandémie a peut-être provoqué une augmentation des cybermenaces et perturbé le lieu de travail, mais ce faisant, elle a accéléré le développement essentiel de stratégies de cybersécurité à long terme tout en sensibilisant à la prévalence des erreurs humaines. Investir dans la formation et la préparation des employés en matière de cybersécurité ne peut plus être une bonne chose. Plus tôt les employés deviendront des combattants armés et dangereux dans la guerre contre la cybersécurité, plus tôt nous assisterons à un changement permanent de qui détient le pouvoir.
Le Conseil des ressources humaines de Forbes est une organisation sur invitation uniquement pour les cadres RH de tous les secteurs. Suis-je admissible?