Dans le paysage numérique actuel, qui évolue rapidement, les organisations sont confrontées à une multitude de menaces en matière de cybersécurité. Si l’accent est mis sur la formation des employés à la reconnaissance et à l’atténuation de ces risques, il existe un groupe souvent négligé qui présente d’importantes vulnérabilités potentielles : les non-salariés. Ces personnes, telles que les sous-traitants, les fournisseurs et les partenaires, ont accès à des informations ou à des systèmes sensibles, ce qui en fait des cibles attrayantes pour les cybercriminels.

Dans cet article, nous mettons en lumière les risques de sécurité posés par les non-salariés et soulignons le rôle essentiel de la formation à la sensibilisation à la sécurité pour renforcer les entreprises au-delà de leur personnel.

La menace d’initiés : Au-delà des employés

Le rapport 2023 Data Breach Investigations Report a révélé que 19 % des violations de données ont été causées par des menaces internes. Lorsque nous entendons le terme « initiés », il est facile de supposer qu’il se réfère uniquement aux employés au sein du réseau d’une organisation. Cependant, les menaces d’initiés vont bien au-delà des seuls employés. Les sous-traitants, les fournisseurs et les partenaires peuvent également constituer une menace pour la sécurité d’une entreprise. Un pourcentage stupéfiant de 41 % des menaces d’initiés ont été perpétrées par des partenaires ou des contractants, ce qui souligne le risque substantiel que représentent ces entités externes.

Comprendre les risques encourus par les non-salariés

Les non-salariés peuvent être plus ou moins familiarisés avec les protocoles de sécurité d’une organisation et ne pas avoir le même niveau d’expertise en matière de cybersécurité que les salariés. Ce manque de connaissances les rend vulnérables aux attaques d’ingénierie sociale, aux tentatives d’hameçonnage et à d’autres cybermenaces.

Ayant accès aux ressources critiques de l’entreprise, notamment aux bases de données, aux informations sur les clients et à la propriété intellectuelle, ils peuvent utiliser leurs propres appareils ou accéder aux données par l’intermédiaire de réseaux publics, ce qui crée des vulnérabilités potentielles en matière de sécurité. Un exemple concret des conséquences dévastatrices d’une telle violation est celui de T-Mobile, qui a subi une violation massive de données en janvier 2023, lorsque des pirates ont accédé aux données par l’intermédiaire d’un fournisseur tiers, affectant ainsi plus de 40 millions de clients.

Le rôle crucial de la formation de sensibilisation à la sécurité pour les non-salariés

Selon la norme ISO 27001/2, clause 7.2.2, « tous les employés de l’organisme et, le cas échéant, les sous-traitants et les utilisateurs tiers doivent recevoir une formation de sensibilisation appropriée et des mises à jour régulières des politiques et procédures de l’organisme, en fonction de leur fonction« .

L’organisation d’une formation de sensibilisation à la sécurité à l’intention des non-salariés peut réduire considérablement les incidents liés à la cybersécurité. Lorsqu’elles possèdent les connaissances et les compétences nécessaires, ces personnes deviennent une ligne de défense supplémentaire contre les cyberattaques, réduisant ainsi la probabilité de violations et de compromissions de données.

L’extension de la formation à la sensibilisation à la sécurité aux non-salariés améliore le dispositif de sécurité global d’une organisation en englobant toutes les personnes ayant accès aux ressources. La création d’une solide culture de la sécurité et la promotion de la responsabilité et de la sensibilisation parmi les employés et les non-employés favorisent un effort collectif pour sauvegarder les actifs critiques, renforçant ainsi le paysage global de la sécurité.

Évaluation des programmes de formation existants

Les organisations doivent d’abord déterminer si les non-salariés disposent déjà d’un programme de sensibilisation à la sécurité. Il est tout aussi important d’évaluer l’efficacité de ce programme. Cette évaluation permet d’identifier les lacunes ou les points à améliorer, tout en garantissant que toutes les personnes ayant accès aux ressources de l’entreprise sont correctement formées.

En savoir plus : Formation à la sensibilisation à la sécurité avec des fournisseurs tiers

Étendre la formation à la sensibilisation à la sécurité au-delà du personnel

Pour garantir le succès de la formation à la sensibilisation à la sécurité pour les non-salariés, les organisations doivent tenir compte des éléments suivants :

  • Formation sur mesure : Concevoir des programmes de formation qui répondent aux besoins et aux rôles spécifiques des non-salariés au sein de l’organisation. Ils abordent les risques particuliers auxquels ils peuvent être confrontés et fournissent des conseils pratiques pour éviter les menaces potentielles et y répondre.

  • Un contenu attrayant : Rendez la formation interactive et attrayante pour susciter l’intérêt des non-salariés et les motiver à apprendre. L’utilisation de techniques de gamification peut permettre de combler le manque de connaissances et de sensibiliser ce groupe vulnérable à la cybersécurité.

  • Une communication claire : Insistez sur l’importance de la sensibilisation à la sécurité et sur son impact direct sur la réussite de l’organisation. Mettez l’accent sur la responsabilité partagée en matière de protection de l’information.

  • Formation régulière : Veillez à ce que les non-employés reçoivent une formation régulière, car les gens ont tendance à oublier les informations importantes au fil du temps. Une étude menée par USENIX sur l’efficacité de la formation à la sensibilisation à la sécurité a révélé que les employés conservaient les connaissances acquises lors de leur formation initiale pendant environ quatre mois. Cependant, au bout de six mois, leur capacité à repérer les courriels d’hameçonnage diminuait considérablement.

Conclusion

Il est essentiel pour les organisations de donner la priorité à la formation à la sensibilisation à la sécurité pour les non-salariés afin de renforcer leur position globale en matière de cybersécurité, d’atténuer les menaces internes et de protéger les données sensibles contre les violations potentielles. En étendant les efforts de formation à la sécurité au-delà des employés, on s’assure que toutes les personnes ayant accès aux ressources de l’entreprise sont bien équipées pour se défendre contre les cybermenaces. En encourageant un effort collectif pour protéger les actifs critiques, les organisations peuvent renforcer leur défense contre les cybercriminels et protéger leur réputation, leur avantage concurrentiel et leur stabilité financière.