Miser sur les employés
La formation du personnel est la meilleure façon de combattre les cyberpirates
Comment protéger une entreprise contre les attaques répétées des cyberpirates ? En misant sur les employés !
La cyberdéfense, c’est avant tout une question de culture d’entreprise, disent les spécialistes en cybersécurité.
« Et ça touche principalement les PME, car 70 % des entreprises canadiennes victimes d’incidents de cybersécurité emploient moins de 100 personnes », explique Guillaume Caron, président-directeur général de VARS, division en cybersécurité de Raymond Chabot Grant Thornton.
Concrètement, les cyberpirates attaquent les entreprises principalement par des techniques d’hameçonnage.
« Ils envoient un courriel contenant un lien, un employé clique sur ce lien, ce qui permet au criminel d’exécuter un malware qui prendra éventuellement le contrôle de l’environnement informatique de l’entreprise », poursuit M. Caron.
Comment réagir ? En se dotant d’un plan qui passe par la formation et la sensibilisation du personnel.
« Tout le monde, du grand patron aux employés de la base, doit être formé et, surtout, sensibilisé à la sécurité informatique, poursuit M. Caron. La direction doit comprendre les principaux enjeux et choisir les solutions technologiques et humaines appropriées. De nos jours, on ne peut plus dépendre uniquement des antivirus… »
UNE POLITIQUE
Une PME doit donc se doter d’une politique de sécurité informatique qui sera réalisée en fonction de sa réalité, de sa culture, de ses opérations et de ses effectifs. Il ne faudra pas hésiter à faire affaire avec un spécialiste pour l’écrire et l’implanter, à tous les échelons de l’entreprise.
« Pas besoin de rédiger plusieurs politiques, une seule fait le travail, reprend M. Caron. Évidemment, les ressources humaines devraient figurer un centre de ce document. Il devra aussi aborder des questions importantes : qui dispose des accès aux serveurs, au réseau, aux postes de travail, tant au bureau qu’à distance, qui doit réagir en cas d’attaque, qui faut-il contacter en ordre de priorité ? »
Ce document devra tenir compte de certaines techniques d’ingénierie sociale et s’adapter aux réalités de l’entreprise pour être efficace et réaliste. Il devra être rédigé dans une langue simple. Et cette politique doit impérativement aborder la question de la sensibilisation des employés.
Pour Guillaume Caron, l’entreprise doit s’assurer qu’une telle politique soit lue, comprise et signée par tous les membres du personnel.
Par la suite, la PME peut se charger d’organiser elle-même des activités de sensibilisation sur une base continue, ou les confier à une firme externe.
DE LA FORMATION
Pour faire face à la menace, une PME doit instaurer dès que possible un programme de sensibilisation et de formation.
« Dans la réalité, les employés constituent le maillon le plus faible face aux cybercriminels. Il faut faire en sorte qu’ils deviennent une première ligne de défense efficace », martèle M. Caron.
Ce dernier prône l’instauration de campagnes de sensibilisation permanentes, routinières et, surtout, à participation obligatoire. Les thèmes portent avant tout sur l’hameçonnage, la protection des renseignements et des documents sensibles, l’utilisation des technologies…
« Il faut que ces campagnes soient attrayantes et fassent appel à des quiz en ligne et à de l’humour, reprend M. Caron. Et, surtout, il faut sans cesse répéter le message. »