Chaque année, en octobre, le Cybermoi/s est l'occasion de revoir nos systèmes et nos pratiques de cybersécurité pour mieux faire face aux attaques et aux violations de données. Mais pour avoir un impact positif, encore faut-il avoir la bonne stratégie. Alors, par où commencer ?
Dans ce guide, vous trouverez une liste de dix actions à mener au cours de ce mois d’octobre. Des simulations de phishing aux actions de sensibilisation, voici comment célébrer le Cybermoi/s et responsabiliser chacun sur sa cybersécurité.
Tout d'abord, rappelons l'historique du Cybermoi/s.
Le Cybermoi/s : Késako ?
Chaque année, le gouvernement français profite du mois d’octobre pour inciter tous les acteurs du public, du privé et associatifs à sensibiliser aux sujets de cybersécurité.
Et pour cause, on estime que la cybercriminalité coûtera 14,57 milliards de dollars de dommages dans le monde en 2024. L'erreur humaine étant à l'origine de plus de 80 % des incidents de cybersécurité dans le monde, les initiatives comme le Cybermoi/s sont un excellent moyen de former le grand public aux risques d’attaques et donc de limiter leur impact.
Le Cybermoi/s est une initiative mondiale qui nous encourage à agir ensemble face aux cybermenaces. En effet, les arnaques telles que les deep fakes basés sur l'IA et les usurpations d'identité sur WhatsApp utilisent des techniques de plus en plus sophistiquées. Nos mesures de cybersécurité doivent donc elles aussi évoluer : voici une liste des actions possibles à entreprendre.
10 façons d'avoir un impact sur le Cybermoi/s
Chaque RSSI peut venir piocher dans cette liste d’idées pour avoir un impact positif sur la cybersécurité de tous, en octobre à l’occasion du Cybermoi/s, mais aussi dans une démarche plus pérenne.
#1 : Partager une liste des bonnes pratiques de cybersécurité
Si vous devez n’en choisir qu’une, on vous recommande de partager une liste des bonnes pratiques de cybersécurité avec tous les membres de votre organisation.
Le Cybermoi/s est l'occasion d'introduire ou de revoir certains principes de base (comme la sensibilisation au phishing), pour les débutants comme pour les experts. Et d’être au fait des dernières techniques utilisées par les hackers (comme notre empreinte numérique et l’intérêt de la limiter au maximum).
Et ça tombe bien, notre liste de bonnes pratiques est déjà prête ! Du choix de mots de passe robustes à l'utilisation d'outils d'authentification multifactorielle, en passant par la sensibilisation à la sécurité des données, retrouvez les essentiels en matière de cybersécurité. Vous nous remercierez plus tard !
#2 : Proposer des formations de sensibilisation originales
Lancer une piqûre de rappel sur les bonnes pratiques est déjà un bon début. Maintenant, pour vraiment améliorer votre cybersécurité, il va falloir former vos équipes. Et trouver LA bonne formation de sensibilisation n’est pas toujours simple. Celle qui couvrira les principes de base, de la réponse aux incidents à la prévention des malware, ainsi que les techniques d’ingénierie sociale et les deep fakes audio et vidéos.
En effet, toutes les formations de sensibilisation ne se valent pas. Privilégiez un format immersif et interactif que les apprenants vont aimer et s’approprier. Et éviter l’effet « je clique jusqu'à la dernière slide pour retourner plus vite vaquer à mes occupations. » Optez pour un format avec de la mise en pratique des notions apprises, et qui marquera les esprits.
Si vous avez besoin d’aide pour trouver la bonne formation, contactez l'un de nos experts.
#3 : Montrer l'importance de la cybersécurité pour vos dirigeants
Autre point important : montrer à vos équipes que la cybersécurité est importante aux yeux des dirigeants de votre organisation. Sans ça, les gens risquent de considérer que vos efforts à l’occasion du Cybermoi/s ne sont que de la poudre aux yeux.
Invitez vos dirigeants à participer à certains événements clés pour vous témoigner leur soutien publiquement, comme lors d’une réunion de lancement ou d’une table ronde. Il est primordial qu’ils suivent eux aussi les formations de sensibilisation et vivent vos simulations de phishing.
#4 : Lancer des simulations de phishing ultra-réalistes
Après avoir listé les bonnes pratiques et formé vos équipes, il est temps de passer à la pratique. Planifiez des simulations de phishing ultra-réalistes pour tester vos collaborateurs et les garder en alerte. Car les attaques de phishing restent la plus grande menace à laquelle nous sommes confrontés, et elles sont de plus en plus sophistiquées.
Lancez une première simulation de phishing pour connaître votre niveau de vulnérabilité initial, puis menez des tests réguliers imitant les attaques auxquelles vos équipes sont susceptibles d'être confrontées dans la vie réelle. Idéalement, ajustez les noms de domaines usurpés et le type de pièces jointes à votre groupe cible. Par exemple, envoyez une fausse liste de bons candidats à votre équipe RH responsable du recrutement.
Et si vous êtes en manque d'inspiration, pas d’inquiétude ! On a tout prévu avec notre checklist 5 conseils pour une simulation de phishing réussie.
#5 : Suivre des indicateurs de performance de cybersécurité
« Ce qui peut être mesuré peut être amélioré ». En cybersécurité, ce vieil adage prend tout son sens.
Pour faire évoluer la culture de la cybersécurité dans votre structure, vous allez avoir besoin de mesurer vos progrès avec des KPI tels que le taux de vulnérabilité au phishing, le pourcentage d'utilisateurs ayant choisi un mot de passe fort, le taux de réussite aux formations de sensibilisation ou encore le taux de satisfaction.
Cette approche stimule l'amélioration continue et vous aide à repérer les domaines de compétence de vos équipes et les points sur lesquels il faut encore travailler.
En parlant de performance…
#6 : Féliciter les bons élèves en matière de cybersécurité
Le Cybermoi/s à la cybersécurité, c’est aussi l’occasion parfaite pour valoriser vos cyberchampions, ceux qui se surpassent pour assurer la sécurité de tous. Ne manquez pas de leur témoigner de la reconnaissance !
Vous pouvez par exemple établir un classement des personnes qui ont signalé à raison le plus d'e-mails de test de phishing, ou celles qui ont suivi le plus de modules de formation. Ou peut-être simplement mettre à l'honneur un administrateur système très impliqué dans la sécurité de l'entreprise.
Quel que soit votre choix, ne soyez pas avare d'éloges !
#7 : Rappeler la procédure à suivre en cas de doute concernant la cybersécurité
Aujourd'hui, les cybermenaces sont omniprésentes : nous avons autant de risques de subir une menace interne que d'être la cible d'un groupe de ransomwares. Aussi, chacun doit rester attentif aux signaux d'alerte et savoir exactement quoi faire au moindre signe suspect.
Les utilisateurs savent-ils comment signaler un e-mail suspect ? Une autorisation de fichier mal configurée ? À quoi ressemble une violation de données et comment donner l'alerte ?
Même si chacun connait à peu près les systèmes et les procédures de réponse aux incidents, le Cybermoi/s est le moment idéal pour revoir les fondamentaux.
#8 : Revoir les outils, plateformes et logiciels de cybersécurité
En parlant de systèmes et de procédures de réponse aux incidents, pourquoi ne pas en profiter pour passer en revue tous les outils et plateformes utilisés et vérifier qu’ils répondent à vos exigences techniques.
Pensez à vos gestionnaires de mots de passe, VPN, plateformes de sensibilisation, logiciels antivirus, outils de cryptage de données ou encore de stockage de données dans le cloud.
Vos besoins ont-ils évolué depuis le dernier renouvellement ? Vos équipes ont-elles besoin de licences pour de nouveaux logiciels ? Dans tous les cas, c’est un bon exercice pour affiner votre budget cyber, une initiative avisée à une période où les dépenses sont scrutées à la loupe.
#9 : Inciter chacun à réfléchir à sa propre cybersécurité
On a beaucoup parlé de cybersécurité au travail, mais les hackers ciblent également les organisations en s'attaquant aux personnes. Vous aurez beau avoir les meilleures pratiques de cybersécurité du monde au travail, votre équipe est toujours vulnérable une fois rentrée à la maison.
Alors, prenez le temps de sensibiliser chacun à sa propre cyberhygiène. Leurs appareils personnels et leurs données sont-ils bien protégés ? Partagent-ils beaucoup d'informations sur leur vie privée (ou professionnelle) sur les réseaux sociaux, augmentant les risques d'usurpation d'identité ? Utilisent-ils un réseau WiFi sécurisé chez eux ?
Encore une fois, profitez du Cybermoi/s pour les inviter à réfléchir à la cybersécurité dans leur vie personnelle. De cette manière, vos collaborateurs seront en sécurité au travail et à la maison.
#10 : Continuer sur la même dynamique après le mois d'octobre
Enfin, faites tout ce qui est en votre pouvoir pour que le soufflet ne retombe pas. Les cybermenaces, elles, ne vont pas ralentir à la fin du mois. Il en est de même pour vos actions en faveur de la cybersécurité.
Pour clôturer le Cybermoi/s, faites le bilan de toutes les actions que vous avez menées cette année, et dressez votre feuille de route pour lutter contre les nouvelles menaces. Idéalement, prévoyez des actions régulières de sensibilisation et de simulations de phishing.
Maximisez les bénéfices du Cybermoi/s avec Riot
Waouh, le mois d'octobre s'annonce chargé ! Mais vous savez qui est aussi très occupé ? Les hackers !
C'est pourquoi le Cybermoi/s est aussi important pour la sécurité de nos organisations. Formations de sensibilisation, simulations de phishing, surveillance des violations de données… vous avez maintenant toutes les cartes en main pour vous lancer.
Pour savoir comment Riot peut vous aider, vous et votre équipe, à garder la tête froide face aux cybermenaces, en octobre et par la suite, contactez l'un de nos experts.