Créer un programme de sensibilisation à la sécurité pour vos cadres supérieurs
Publié le: 13 Mai 2022
Dernière modification le: 8 Sep 2025
Une récente enquête du gouvernement britannique, intitulée « Cyber resilience captains of industry survey 2021″ (Enquête sur la résilience des capitaines d’industrie en 2021), donne des indications intéressantes sur la prise de conscience des risques de cybersécurité au niveau de la direction et du conseil d’administration d’une organisation.
L’enquête a révélé que la quasi-totalité des personnes interrogées considèrent que le conseil d’administration intègre les considérations relatives au risque cybernétique dans les affaires générales de l’entreprise. Toutefois, le rapport émet l’avertissement suivant :
« Les capitaines estiment qu’il y a encore beaucoup à faire pour préparer les membres des conseils d’administration à faire face aux cybermenaces. Les capitaines ont le plus souvent mentionné la sensibilisation des membres des conseils d’administration et la formation ciblée. «
Les cadres supérieurs et les membres du conseil d’administration sont des groupes spécifiques qui ont besoin d’une formation adaptée à leurs besoins particuliers. Voici quelques idées pour créer un programme de sensibilisation à la sécurité pour vos cadres supérieurs.
Pourquoi former les cadres dirigeants ?
Les membres de la direction sont influents au sein de leur entreprise et cette influence est essentielle pour assurer une sensibilisation à la sécurité cohérente et efficace dans l’ensemble de l’organisation. Il est donc logique de cibler ce groupe dans le cadre d’une campagne de sensibilisation à la sécurité.
Le « ton au sommet » est un phénomène bien connu dans la gestion des risques de sécurité. Ce « ton au sommet » est mis en évidence dans le manuel de l’Association européenne des directeurs (ecoDa), qui propose plusieurs recommandations clés en matière d’atténuation des risques à une époque où les cybermenaces sont nombreuses. L’une de ces recommandations consiste à donner le ton en matière de sensibilisation dans l’ensemble de l’organisation – c’est ce qu’indique le rapport :
« Le conseil d’administration et la direction doivent donner le ton au sommet, développer la bonne culture et sensibiliser au développement de la cyber-résilience. »
Les composantes d’un programme ciblé de sensibilisation à la sécurité pour les cadres supérieurs
Il est intéressant de noter que le rapport « Capitaine d’industrie » du gouvernement britannique a constaté que la sensibilisation à la sécurité a atteint la salle du conseil d’administration. Cependant, les cadres dirigeants et les membres du conseil d’administration doivent participer à un programme général et ciblé de sensibilisation à la sécurité. La sensibilisation à ce niveau peut cimenter la culture d’un état d’esprit axé sur la sécurité.
Voici les facteurs critiques d’une campagne de sensibilisation axée sur les cadres dirigeants :
Créez une tension en prenant des risques
La suite C doit jongler avec de nombreuses balles. L’activité principale d’une entreprise doit toujours passer en premier. Mais si cette activité principale est menacée par des cybermenaces, l’entreprise doit donner la priorité à ces menaces.
Préparez le terrain pour la formation des cadres en montrant le retour sur investissement d’un programme de sensibilisation à la sécurité. Vous trouverez quelques chiffres qui peuvent vous aider à définir ce retour sur investissement dans le document suivant Rapport d’IBM et de Ponemon sur le coût d’une violation de données : le Royaume-Uni est l’un des pays où le coût d’une violation de données est le plus élevé, avec une moyenne de 4,67 millions de dollars (3,8 millions de livres sterling) par violation.
Une fois que vous avez obtenu l’aval de votre direction, vous pouvez créer le cadre d’un programme efficace de formation à la sensibilisation à la sécurité qui s’adresse aux cadres supérieurs.
Mise en œuvre d’un programme de sensibilisation à la sécurité basé sur les rôles pour les cadres supérieurs
Les cybercriminels concentrent de plus en plus leurs efforts sur les individus et les rôles au sein d’une organisation. C’est logique, car plus les gens sont conscients des problèmes de sécurité, plus il est difficile de tromper les employés. Toutefois, si un pirate informatique comprend sa cible, il peut créer des courriels de phishing intelligents et difficiles à reconnaître. Les cadres supérieurs sont dans la ligne de mire des cybercriminels, car ils représentent le cœur financier de l’entreprise et son lieu d’autorité.
Une entreprise américaine, Scoular Co, a été victime d’une attaque centrée sur les suites C. Elle a été victime d’une attaque de type » Business Email Compromise » (BEC). L’entreprise a perdu 17,2 millions de dollars au profit de cybercriminels par le biais de trois virements télégraphiques, après que les fraudeurs ont ciblé le PDG de l’entreprise en utilisant des courriels frauduleux.
Le rapport Verizon 2021 Data Breach Investigations Report (DBIR) souligne l’importance d’adapter la formation à la sensibilisation à la sécurité et conclut :
« Il n’existe pas d’approche unique pour minimiser les risques humains qui conduisent à des violations. Chaque entreprise est confrontée à différents types d’attaques et doit adapter ses programmes d’ingénierie comportementale et de formation à la cybersécurité en conséquence. . »
Concevez votre formation de sensibilisation à la sécurité en fonction des rôles de l’entreprise et incluez les rôles des cadres supérieurs. Concentrez-vous sur les types d’attaques qui ciblent le personnel de niveau C, tels que les BEC et l’usurpation de l’identité du PDG.
Mettez le social dans le C-Suite
Les cybercriminels qui ciblent les « gros hameçons », tels que le PDG et le directeur financier, se renseignent sur leur proie. Ils le font dans le cadre de la chaîne d’ingénierie sociale qui utilise diverses techniques pour manipuler le comportement.
L’une de ces tactiques consiste à se faire passer pour des cadres, ce qui est également connu sous le nom de « whaling » ou « executive impersonation ». Un exemple tristement célèbre de cette pratique est celui d’un 2019, qui a usurpé la voix du PDG de l’entreprise pour inciter le directeur général du Royaume-Uni à envoyer 243 000 dollars sur le compte bancaire du fraudeur.
Cette forme d’ingénierie sociale est en plein essor, avec une Une augmentation de 131 % a été observée en 2020-2021. Ces types de fraude reposent sur l’établissement d’un profil de la cible afin d’obtenir les informations nécessaires à la mise en œuvre de l’ingénierie sociale.
Inscrivez la sensibilisation à l’ingénierie sociale dans votre calendrier de formation à la sécurité et informez vos cadres supérieurs de leur vulnérabilité dans ce domaine.
Lancez le fer de lance de la suite C
Les cadres sont menacés par les attaques de spear-phishing, qui sont une forme ciblée d’hameçonnage. Une récente campagne de phishing a utilisé de faux courriels de Microsoft Office 365 pour voler des informations d’identification. Cette campagne visait les cadres supérieurs et leurs assistants dans de nombreux secteurs d’activité.
En pratiquant le « Spear-phishing » auprès de la « C-Suite », un cybercriminel s’adresse directement au décideur d’une organisation. Le spear phishing fonctionne car les faux courriels sont basés sur des informations connues sur la cible. Les spear-phishers utilisent souvent les applications exactes, comme Office 365, que l’entreprise utilise régulièrement.
Créez une campagne sophistiquée de phishing simulé qui vise spécifiquement vos cadres supérieurs. Utilisez votre connaissance du phishing basé sur les rôles pour créer des courriels de spear-phishing réalistes qui ciblent vos cadres supérieurs. Utilisez une plateforme de simulation de phishing avancée qui utilise l’apprentissage « à la demande ». Cela permet de saisir les problèmes de comportement lorsqu’ils se produisent et de donner à l’utilisateur des informations sur ce qui n’a pas fonctionné et pourquoi.
Connaissez votre suite C grâce aux indicateurs de formation à la sensibilisation à la sécurité
Les plateformes de simulation d’hameçonnage telles que MetaPhish fournissent des mesures sous la forme d’un tableau de bord qui affiche les résultats des simulations d’hameçonnage. Vous saurez ainsi combien de membres de votre équipe de direction ont cliqué sur un lien dans un courriel de phishing simulé. Les rapports peuvent même indiquer l’appareil utilisé pour accéder à l’e-mail de phishing, ce qui vous permet d’adapter et de concentrer vos efforts sur l’amélioration du comportement des cadres en matière de sécurité.
Donner le ton en matière de cybersécurité au sommet de la hiérarchie
Vos cadres travaillant dans la suite C sont vos influenceurs internes. Mais ils doivent être des modèles d’excellence en matière de sécurité pour montrer l’exemple à l’ensemble du personnel. En donnant le ton en matière de sécurité au sommet de la hiérarchie, vous encouragerez un état d’esprit axé sur la sécurité. Cet état d’esprit est essentiel pour créer une culture de la sécurité et atténuer les cyberrisques de l’entreprise.
