Considérant que 82 % des brèches de sécurité dans une organisation proviennent d’une erreur humaine (Verizon, 2023) et que 1 attaque par courrier électronique sur 5 est réussie (Tessian, 2022), on peut affirmer que les cybercriminels ne manquent pas de ruse pour duper vos employés en les incitant à cliquer sur un lien frauduleux. Il est donc essentiel de créer une culture de prévention en cybersécurité dès aujourd’hui. 

Pour faire face à cette menace constante, l’an passé, l’équipe de MS solutions vous a présenté sa plateforme de simulation d’hameçonnage en continu, Vigilance. Afin que vous puissiez tirer le plein potentiel de la plateforme, nous vous proposons aujourd’hui un article dédié à la maximisation de son utilisation. 

Vous découvrirez pourquoi la majorité des campagnes de sensibilisation échoue, les points forts de Vigilance ainsi que des conseils pour instaurer une culture de prévention en cybersécurité, de la communication à la mesure des performances. 

Pourquoi la plupart des campagnes de sensibilisation échouent ? 

La sensibilisation à la cybersécurité est une pierre angulaire de la prévention des menaces en ligne. Cependant, malgré les efforts déployés pour informer les employés sur les meilleures pratiques en matière de cybersécurité, de nombreuses campagnes de sensibilisation échouent à obtenir les résultats escomptés. Plongeons dans les raisons les plus courantes pour lesquelles ces campagnes ne parviennent pas à atteindre leur objectif. 

1. Ne pas se contenter de dire aux employés ce qu’ils ne devraient pas faire sans mettre l’accent sur les connaissances ou les comportements positifs en matière de sécurité. Trop souvent, les campagnes de sensibilisation se concentrent sur ce qu’il ne faut pas faire, plutôt que sur les actions positives que les employés devraient adopter en matière de sécurité. Au lieu de simplement énumérer les erreurs à éviter, il est essentiel de fournir des conseils concrets sur les mesures à prendre pour renforcer la posture de sécurité de votre organisation. Vigilance intègre cette philosophie en mettant en avant les comportements et les connaissances qui favorisent une culture de prévention.
2. Être trop axé sur l’hameçonnage. Bien que l’hameçonnage soit indéniablement une tactique majeure de cyberattaque, il ne constitue qu’une partie de l’équation. Les campagnes de sensibilisation ne devraient pas se limiter à ce seul aspect, mais plutôt aborder un large éventail de menaces potentielles, des logiciels malveillants aux attaques par ingénierie sociale. Vigilance offre une approche holistique de la sensibilisation, couvrant une variété de scénarios de cybermenaces.
3. Utiliser du contenu non contextuel ni spécifique à l’organisation. Le contenu générique et non adapté à l’organisation peut sembler impersonnel et peu pertinent pour les employés. Les campagnes de sensibilisation réussies tiennent compte de la culture, des processus et des défis spécifiques de l’organisation. Vigilance offre un contenu personnalisable qui peut être adapté aux besoins uniques de chaque entreprise.
4. Mesurer le succès d’un programme en se basant principalement sur l’exécution plutôt que sur l’efficacité. Le simple fait de participer à une formation ou de réussir une simulation d’hameçonnage ne garantit pas que les employés ont acquis les compétences nécessaires pour détecter et prévenir les menaces. Les campagnes de sensibilisation doivent être évaluées en fonction de leur efficacité réelle à réduire les incidents et à renforcer la culture de prévention.
5. Réprimander les personnes qui échouent une simulation d’hameçonnage. L’approche punitive envers les employés qui échouent à des simulations d’hameçonnage peut créer une atmosphère de peur plutôt que de sensibilisation constructive. La vérité est que n’importe qui peut être trompé par une simulation bien conçue. Il est préférable d’utiliser ces échecs comme des opportunités d’apprentissage pour renforcer les compétences de détection.
6. Bénéficier de bons outils, mais négliger leur encadrement. Même les meilleures plateformes de sensibilisation ne peuvent pas fournir de résultats optimaux sans un encadrement adéquat. Les gestionnaires et les responsables doivent jouer un rôle actif en fournissant des orientations, en répondant aux questions et en encourageant la participation des employés.

Vigilance : les points forts 

Maintenant que nous avons exploré les défis courants dans les campagnes de sensibilisation à la cybersécurité et l’importance de créer une culture de prévention, il est temps de plonger dans les points forts qui font de Vigilance une plateforme exceptionnelle, tant du point de vue des employés que des gestionnaires. 

Du point de vue des employés : 

• Plus de 120 cours bilingues, bientôt trilingues : Vigilance offre aux employés un accès à une bibliothèque exhaustive de plus de 120 cours de sensibilisation à la cybersécurité. Ces cours couvrent une vaste gamme de sujets, allant des menaces les plus récentes aux meilleures pratiques pour se protéger en ligne. Les employés ont ainsi la possibilité de renforcer leurs connaissances et compétences pour devenir des acteurs actifs dans la défense de la sécurité de l’organisation.
• Tableau de bord avec cote de risque individuelle : chaque employé peut accéder à son tableau de bord personnel qui affiche sa cote de risque individuelle. Cette cote reflète la sensibilité de l’employé aux risques de sécurité et l’aide à comprendre les domaines où des améliorations sont nécessaires. Cela permet aux employés de suivre leurs progrès et d’identifier les domaines spécifiques où ils peuvent renforcer leur posture de sécurité. 
• Simulations d’hameçonnage en continu : vos employés seront régulièrement mis à l’épreuve pour tester leurs connaissances en identification de courriels d’hameçonnage. Vous saurez s’ils ont ignoré les simulations, cliqué sur une pièce jointe ou un lien présent dans ces courriels et s’ils les ont signalées. En cas d’échec dû à un clic dans un courriel de simulation, ils seront avisés par courriel et devront compléter une formation d’appoint. 

Du point de vue des gestionnaires : 

• Tableau de bord pour suivre la progression de vos équipes : les gestionnaires ont accès à un tableau de bord complet qui leur permet de surveiller la progression et les performances de leurs équipes en matière de sensibilisation à la cybersécurité. Cela facilite la gestion proactive des compétences et des connaissances au sein de l’organisation. 
• Courriels de simulation d’hameçonnage : Vigilance offre la possibilité d’envoyer des courriels de simulation d’hameçonnage à vos employés pour évaluer leur aptitude à détecter les attaques. Cette fonctionnalité aide les gestionnaires à identifier les points faibles et à cibler les domaines nécessitant une attention particulière. 
• Plus de 250 modèles de courriels d’hameçonnage : pour une approche plus réaliste de la formation, Vigilance met à disposition une bibliothèque de plus de 250 modèles personnalisables de courriels d’hameçonnage. Ces modèles offrent des exemples concrets de tactiques d’attaque, aidant les employés à mieux comprendre les stratégies des cybercriminels. 

• Modèles évolutifs pour demeurer d’actualité et d’apparence légitime : les modèles de courriels d’hameçonnage inclus dans Vigilance sont constamment mis à jour pour refléter les tactiques d’attaque les plus récentes. Cela permet aux employés de rester préparés face aux menaces émergentes et aux nouvelles méthodes de cybercriminalité. 
• Une multitude de rapports de suivi : Vigilance fournit une variété de rapports de suivi détaillés pour évaluer l’efficacité de la sensibilisation à la cybersécurité au sein de votre organisation. Ces rapports offrent des informations précieuses pour identifier les tendances, les domaines d’amélioration et les succès. 

En somme, Vigilance est bien plus qu’une simple plateforme de sensibilisation à la cybersécurité. C’est un outil puissant qui transforme la manière dont les employés et les gestionnaires abordent la sécurité en ligne. 

Culture de prévention en cybersécurité : communiquez & mesurez 

Maintenir une culture de prévention en cybersécurité robuste au sein de votre organisation est une tâche qui nécessite un engagement continu et une approche stratégique. Dans cette section, nous explorerons les étapes pour mettre en place une telle culture par une communication efficace, comment mesurer sa performance et comment présenter efficacement les résultats obtenus. 

Communiquez 

Avant : pour fédérer et débuter sur de bonnes bases 

• Communiquez sur l’arrivée de la plateforme  

• Rendez la formation obligatoire en y impliquant les gestionnaires et l’équipe RH  
• Faites une réunion avec vos équipes pour présenter la plateforme, son interface, les formations, etc. 
• Organisez des plages horaires dédiées à la formation en continu   
• Communiquez l’objectif de performance   
• Planifiez un concours de la meilleure cote de risque  

   

Pendant : pour animer et maintenir l’intérêt en continu 

• Partagez les meilleures cotes de risques régulièrement : faites régulièrement le suivi des cotes de risque et partagez les progrès et les réussites des employés. Cela les motive à maintenir leurs bonnes pratiques de sécurité. 
• Planifiez des suivis individuels pour faire le point : planifiez des entretiens individuels avec les employés pour discuter de leurs cotes de risque, de leur progression et des domaines où ils peuvent encore s’améliorer.

   

Après : pour valoriser, évaluer et améliorer sur le long terme 

• Continuez de valoriser la progression et les efforts individuels et collectifs : mettez en lumière les progrès et les efforts des employés en matière de cybersécurité. Cela renforce leur engagement et crée une culture d’apprentissage continu. 
• Présentez le nombre de simulations d’hameçonnage évitées : montrez le nombre d’attaques potentielles évitées grâce à la vigilance des employés. Cela illustre concrètement leur impact positif sur la sécurité de l’organisation.

   

Mesurez 

Procédez à une analyse des résultats grâce aux rapports disponibles.
Voici les 5 les plus populaires de la plateforme : 

1. Rapport sur les résultats des sondages 
2. Rapport de simulation d’hameçonnage 
3. Rapport sur la dissonance sécuritaire 
4. Rapport de sensibilisation et formation 
5. Rapport sommaire des cours 

En résumé, mettre en place une culture de prévention en cybersécurité nécessite une communication constante, des indicateurs de performance solides et une présentation efficace des résultats. En suivant ces conseils, vous pouvez non seulement renforcer la sécurité en ligne de votre organisation, mais aussi démontrer sa valeur et son efficacité à tous les niveaux. 

En bref 

Créer et maintenir une culture de prévention en cybersécurité nécessite une approche stratégique et proactive. Vigilance offre une solution complète pour relever les défis persistants des campagnes de sensibilisation, en mettant l’accent sur des pratiques positives et en offrant des outils puissants pour les employés et les gestionnaires. Grâce à une communication transparente, une évaluation basée sur de vrais indicateurs et une présentation soignée des résultats, votre organisation peut non seulement renforcer sa sécurité en ligne, mais aussi démontrer sa résilience et son engagement envers la protection des données et des actifs précieux. L’adoption de Vigilance marque un pas en avant vers une culture de cybersécurité forte et durable. 

💡 Allez plus loin avec Vigilance + pour un outil plus polyvalent et plus agile. Vous bénéficierez d’une banque additionnelle de formations sur la cybersécurité et sur les outils de Microsoft 365 en plus de pouvoir ajouter votre propre contenu. 

Cet article présente du contenu discuté lors d’un précédent webinaire. Pour voir ce webinaire en rediffusion, c’est par ici. Inscrivez-vous à notre infolettre afin de recevoir vos invitations aux futurs webinaires.