De simples erreurs de sensibilisation à la sécurité sont à l’origine de certaines des plus grandes cyberattaques au monde. Selon le rapport annuel de RiskIQ, en une minute de navigation sur l’internet, 2,9 millions de dollars sont perdus à cause de la cybercriminalité. L’ampleur de l’internet continue de croître rapidement, tout comme le paysage des menaces. Les tactiques telles que la publicité malveillante, l’hameçonnage et les attaques utilisant un éventail toujours plus large de technologies et de stratégies sont devenues de plus en plus populaires. Cependant, ce sont souvent les menaces provenant de l’intérieur de l’organisation qui posent le plus de risques, ce qui souligne la nécessité d’une meilleure sensibilisation à la sécurité.

En fait, 52 % des entreprises admettent que les employés constituent leur plus grande faiblesse en matière de sécurité informatique, leurs actions négligentes mettant les entreprises en danger. L’année dernière, 60 % des violations signalées par l’ICO ont été causées par une erreur humaine et, à ce titre, le manque de sensibilisation à la sécurité reste un problème majeur pour de nombreuses organisations. Souvent, les gens sont soit inconscients des menaces, soit négligents.

En étant conscient de ces erreurs courantes en matière de sensibilisation à la sécurité et en prenant les mesures nécessaires pour mettre en œuvre un plan de sensibilisation efficace, vous contribuerez à éduquer les employés et à leur donner les moyens de modifier leurs comportements et de protéger votre organisation contre les risques potentiels.

Les erreurs à éviter en matière de sensibilisation à la sécurité

10 erreurs de sensibilisation à la sécurité à éviter

1. Manque de concentration

L’objectif principal de tout programme de sensibilisation à la sécurité est de modifier les comportements et, pour que votre programme de sensibilisation soit couronné de succès, il doit avoir des objectifs clairs. Ces objectifs serviront ou devraient servir à soutenir la raison de la création du programme. Ils doivent être spécifiques et doivent identifier et traiter les faiblesses de votre organisation, telles que le phishing, la sécurité physique et la sécurité des mots de passe.

2. Utilisation d’un seul stimulus

De nombreuses organisations commettent l’erreur de se concentrer sur un seul élément de la cyberconscience, comme le phishing ou l’apprentissage en ligne. Bien que ces éléments soient essentiels à la protection d’une entreprise, les campagnes de cyber-sensibilisation les plus réussies adoptent une variété de méthodes attrayantes pour éduquer les employés sur leur rôle dans le maintien de la sécurité de l’organisation.   

3. Formation unique

Selon une étude mondiale de Vanson Bourne, seulement 11 % des entreprises forment en permanence leurs employés à la détection des cyberattaques, et 52 % d’entre elles ne le font que tous les trimestres ou une fois par an. Afin de suivre l’évolution de l’environnement des cybermenaces, il est important que la formation de sensibilisation soit considérée comme un processus continu qui devrait commencer dès le processus d’intégration et se poursuivre tout au long de l’emploi.   

4. Politiques obsolètes

Un moyen efficace de sensibiliser les employés à l’importance de la sécurité est d’élaborer une politique de cybersécurité qui explique les responsabilités de chacun en matière de protection des systèmes et des données informatiques. Ces politiques fixent des normes de comportement et définissent les attentes des employés. Par exemple, en l’absence de politiques clairement définies sur l’utilisation des supports amovibles et des appareils personnels, le personnel peut connecter des appareils à l’infrastructure de l’entreprise, ce qui peut entraîner l’importation de logiciels malveillants ou compromettre des informations sensibles. Toutefois, une gestion efficace des politiques et des procédures ne se limite pas à la création d’un manuel à ranger sur une étagère. Les politiques et les procédures sont des documents vivants qui doivent évoluer et s’adapter à l’entreprise. À ce titre, la mise à jour des politiques est un élément essentiel d’une gestion efficace des politiques et de la sensibilisation. En révisant régulièrement vos politiques, vous vous assurez qu’elles sont cohérentes et efficaces et qu’elles protègent votre organisation contre les risques.

5. Manque de soutien de la part de la suite C

La protection de la sécurité d’une entreprise n’est pas seulement l’affaire de l’équipe informatique, mais aussi celle du directeur général. Le ton donné par la direction sera en fin de compte le moteur de la création d’une culture de sensibilisation à la cybersécurité. Pour susciter le changement, l’équipe de direction d’une organisation doit s’approprier la cybersécurité et mettre en place les procédures et formations adéquates pour faire face à tous les risques.

6. L’incapacité à récompenser le succès

Malheureusement, les organisations peuvent négliger les employés qui prennent les précautions nécessaires pour rester en sécurité en ligne, considérant souvent qu’il s’agit d’une responsabilité qui va de pair avec le travail. Pourtant, récompenser les employés qui détectent les piratages et les violations en leur offrant des prix et des récompenses est un moyen efficace de motiver les employés, d’encourager votre équipe et d’accroître la sensibilisation au sein d’une organisation. C’est exactement ce sur quoi devrait reposer une campagne de sensibilisation à la cybersécurité efficace : des employés engagés qui prennent la responsabilité de veiller à la sécurité de l’entreprise.

7. Mauvaise culture de la déclaration d’incidents

Si les employés ne savent pas exactement quelles sont les conséquences d’un signalement, ils risquent de ne pas signaler l’incident ou de le retarder auprès de la personne appropriée. Le signalement d’un incident de sécurité potentiel par un employé doit être reconnu comme un événement positif qui permet à l’organisation de le résoudre rapidement. En définissant des attentes claires, vous aiderez les employés à comprendre les actions à entreprendre lorsqu’ils détectent ou réagissent à un incident potentiel.  

8. Examens peu fréquents 

Si vous ne passez pas en revue vos efforts de sensibilisation, vous n’aurez aucun moyen de savoir si votre campagne de sensibilisation a réellement atteint ses objectifs. C’est essentiel pour découvrir les erreurs de sensibilisation à la sécurité et les domaines dans lesquels la technologie et les processus peuvent être améliorés. Par exemple, les simulations d’hameçonnage permettent aux organisations d’évaluer la vulnérabilité de leur entreprise aux courriels d’hameçonnage frauduleux et d’identifier le personnel qui a besoin d’une formation supplémentaire.   En déterminant ce qui fonctionne et ce qui ne fonctionne pas, vous pouvez adapter les tactiques futures en fonction des enseignements tirés.

9. Manque de contenu engageant

Selon un rapport de Gartner, 70 % des efforts de transformation des entreprises échouent en raison d’un manque d’engagement. Dire aux utilisateurs d’être plus vigilants et de ne pas ouvrir de messages provenant de sources inconnues n’est tout simplement pas suffisant pour les protéger contre les menaces sophistiquées d’aujourd’hui. Au contraire, la sensibilisation à la cybersécurité doit être engageante et informative afin que le personnel comprenne ce qu’on attend de lui et l’importance de son rôle dans la protection des données sensibles de l’organisation. Pour réduire le risque d’erreurs de sensibilisation à la sécurité, des affiches de campagne, des cours d’apprentissage en ligne, des jeux, des simulations d’attaques de phishing, des quiz et des guides de poche peuvent être utilisés pour sensibiliser les utilisateurs et les inciter à se conformer aux règles d’une manière attrayante.  

10. Attentes déraisonnables

La cyberconscience doit être considérée comme un processus continu qui évoluera avec le temps. C’est pourquoi il est important de fixer des attentes réalistes quant à ce qui peut être réalisé. Ce serait formidable si la sensibilisation à la sécurité pouvait prévenir tous les incidents, mais ce n’est tout simplement pas réaliste. Toutefois, en mettant en œuvre une approche hybride de la sensibilisation à la cybersécurité, les organisations peuvent impliquer efficacement les employés, encourager les changements de comportement et réduire le risque d’erreurs coûteuses en matière de sensibilisation à la cybersécurité.

Prévenir les pièges courants avec la formation de sensibilisation à la sécurité de MetaCompliance pour les employés

MetaCompliance propose des formations spécialisées qui permettent aux employés de reconnaître et d’éviter les pièges les plus courants en matière de sensibilisation à la sécurité. Notre bibliothèque complète de contenus eLearning est conçue pour relever les défis uniques posés par les cybermenaces et la gouvernance d’entreprise, garantissant que votre équipe est bien équipée pour s’engager dans des pratiques de cybersécurité efficaces.

Contactez nos spécialistes de la sensibilisation à la sécurité dès aujourd’hui pour savoir comment nous pouvons améliorer la formation à la cybersécurité de votre organisation et réduire le risque d’erreurs coûteuses en matière de sensibilisation à la sécurité.