En général, nous pensons que les professionnels des SI ou le directeur des systèmes d’information (DSI) pour les grandes entreprises, sont responsables de la sécurité informatique. Après tout, ce sont eux qui disposent des connaissances et des moyens techniques pour lutter contre toute attaque et maintenir la sécurité.
Cependant, en réalité ces professionnels sont compétents pour bloquer les attaques, mais ils ne disposent pas des moyens nécessaires pour les prévenir, car il s’agit là d’une tâche où devrait collaborer le reste des employés.
Les entreprises doivent être prêtes afin de faire face aux cyberattaques et savoir comment protéger leurs ordinateurs. Il convient donc d’apprendre à lutter contre cette menace constante. Voici quelques exemples récents et paradigmatiques de cyberattaques : d’une part, en 2017, l’attaque qui toucha le monde entier, et qui affecta tout particulièrement Telefónica et, d’autre part, celle qui toucha d’autres entreprises espagnoles telles que PRISA ou Everis, qui furent frappées par un ransomware qui chiffra ses fichiers.
Chez Formadores IT nous sommes convaincus que les départements de la formation et des ressources humaines peuvent définir un plan d’action global qui peut prévenir les attaques grâce aux quatre phases suivantes :
1) Évaluation et mesure
Les travaux qui doivent être effectués pendant la phase initiale devraient s’attacher à mesurer le risque réel de l’organisation. Il faudra donc concevoir un plan de travail agréé par les départements de systèmes et de formation, et approuvé par la direction. Celle-ci, plus que quiconque, s’intéresse à la conformité règlementaire, afin d’obtenir une évaluation du niveau de sécurité informatique de l’organisation.
À cette fin, il faudra effectuer certaines actions pour évaluer les risques les plus courants, comme par exemple :
- Simulation d’attaques d’hameçonnage et de ransomware ciblées pour un groupe de candidats choisis au hasard, par le biais du courrier électronique.
- Simulation d’attaques de vishing (hameçonnage par téléphone) pour un minimum de dix personnes.
- Simulation d’attaques après avoir distribué des clés USB.
2) Formation et sensibilisation
Au cours de cette étape, il faudra expliquer aux employés comment corriger les vulnérabilités détectées lors des simulations d’attaques perpétrées pendant la phase d’évaluation précédente. Nous pourrons organiser des journées de formation en ligne d’au moins 2 heures, pour des groupes de 20 à 25 personnes, cette modalité étant d’ailleurs la plus économique et efficace. Le but de cette formation sera de partager des connaissances de base sur la détection et la prévention des cyberattaques.
3) Entraînement actif
Cette phase consiste à organiser régulièrement des sessions d’entraînement pour les utilisateurs, afin de vérifier qu’ils apprennent petit à petit à détecter les attaques. Cette phase visera les actions suivantes :
- Activation aléatoire.
- Actions spécifiques par département, rôle ou utilisateur.
- Actions correctives dans chaque cas, une fois l’erreur commise. L’utilisateur recevra des informations expliquant comment il aurait dû procéder et comment il aurait pu détecter la cyberattaque.
Dans ce contexte, apprendre à protéger les appareils et les réseaux sociaux grâce un jeu vidéo d’apprentissage dynamique tel que Crypto est une bonne façon d’identifier les erreurs courantes et les mauvaises pratiques habituellement commises dans les organisations en matière de sécurité informatique.
Ce serious game permet de s’entraîner et de vivre différentes situations dans une histoire intrigante. Ainsi, d’une manière attrayante et intéressante, vous pourrez en découvrir davantage sur la gestion des mots de passe, les risques sur les réseaux sociaux, la sécurité des appareils mobiles, les risques lors de l’utilisation des réseaux Wi-Fi publics, l’identification de virus ou de logiciels malveillants, les risques sur le lieu de travail, la bonne utilisation du courrier électronique ou de l’ingénierie sociale, etc.
4) Analyse et mise en œuvre d’actions correctives
Enfin, il serait approprié de préparer un rapport final avec les objectifs suivants :
- Obtenir une vision réaliste des différents domaines de la cybersécurité d’aujourd’hui.
- Comprendre la sécurité de manière holistique et obtenir un discours global qui couvre tout : en passant de la réalité de la vulnérabilité aux politiques et procédures opérationnelles.
- Comprendre et assimiler les concepts et les technologies de base sur lesquels repose la sécurité logique des systèmes informatiques et la cybersécurité.
- Connaître les dernières technologies liées à la cybersécurité.