Depuis un peu plus d'un an maintenant, nous menons plusieurs campagnes de sensibilisation à la sécurité chez Belnet, sous la houlette de l'équipe Awareness. L'année dernière, nous avons principalement mis l'accent sur les tests de phishing et sur une communication approfondie concernant les différents dangers. En outre, l'année 2022 a également été placée sous le signe de la vision : découvrir le niveau de connaissances générales de nos collègues en matière de sécurité au moyen de mesures et d'enquêtes objectives.
Notre approche parallèle pour accroître la sensibilisation à la sécurité
En utilisant différents types de campagnes via notre plateforme, nous avons pu aborder différents sujets avec nos collaborateurs. Ainsi, nous les avons non seulement entraînés à reconnaître le phishing, qui reste le plus grand danger à ce jour, mais nous les avons également sensibilisés à d'autres dangers potentiels pouvant être présents.
Campagnes de phishing
En 2022, nous nous sommes surtout concentrés sur les campagnes de phishing. L'équipe Awareness a ainsi rédigé des e-mails de phishing à envoyer à nos collaborateurs en fonction de vulnérabilités détectées ou de sujets d'actualité.
Nous avons commencé par une campagne de référence que nous avons envoyée à tous les collègues. Elle a été délibérément rendue très crédible pour avoir une vision claire des personnes qui ont des difficultés à reconnaître les e-mails de phishing. 48 % de nos collègues se sont fait piéger par cet e-mail simulant un envoi par les RH et visant à obtenir des données à caractère personnel.
Après ce test de base, nous avons décidé de tester nos différentes équipes séparément avec un e-mail de phishing plus « en phase » avec le contexte de l'entreprise. Dans ce cas, les taux de clics étaient déjà beaucoup plus faibles, variant entre 0 et 15 pour cent. Les destinataires qui ont cliqué sur le lien se sont ensuite vus proposer un cours de formation expliquant de manière interactive comment reconnaître un e-mail frauduleux.
Au fur et à mesure que nous envoyions de plus en plus d'e-mails de phishing, nous avons constaté de nets progrès parmi nos utilisateurs. Alors que notre test de base avait donné lieu à un taux de clics de 48 %, nous pouvons maintenant affirmer que personne n'a cliqué sur notre dernière campagne globale. Une nette amélioration !
Campagnes de communication
Outre les campagnes de phishing, nous avons également envoyé cette année à nos collaborateurs des communications spécifiques de sensibilisation sur divers sujets liés à la sécurité.
Nous avons donc communiqué sur les dangers majeurs et connus tels que le ransomware, sur l'utilisation de mots de passe sécurisés, mais aussi sur des sujets plus spécifiques tels que « Have I been Pwnd », les risques liés à l'utilisation de clés USB et la situation en Ukraine qui est également une menace potentielle pour nous en tant que NREN.
Mesurer, c'est savoir : formation et évaluations dans le cadre du programme
Les évaluations et les formations ne pouvaient pas être absentes de notre programme de sensibilisation. Ici, nous avons utilisé plusieurs tests pour vérifier les connaissances initiales de nos collaborateurs.
Tout d'abord, nous avons effectué une évaluation des compétences en matière de sensibilisation à la sécurité. 78 % de nos utilisateurs l'ont complétée avec un score moyen de 70 %, ce qui nous donne un bon aperçu des connaissances de nos collaborateurs.
Les scores étaient généralement plus faibles pour la section « Mots de passe et authentification ». Nous avons donc choisi de soumettre tous nos collaborateurs à un programme de formation sur les mots de passe sécurisés par le biais de notre outil de formation. Avec un grand succès, puisque le score moyen au quiz final de ce cours était de 85 %.
Enseignements tirés et vision pour l'avenir
Après une année de sensibilisation interne, nous avons constaté que nos collaborateurs sont beaucoup plus à même de reconnaître les risques de sécurité tels que le phishing et de réagir de manière appropriée. En général, nos collègues sont également devenus beaucoup plus soucieux de la sécurité.
De plus, nous avons constaté que des efforts supplémentaires sont nécessaires pour faire participer activement tout le monde au programme de sensibilisation. Par conséquent, nous voulons entre autres élaborer une politique de sensibilisation, dans laquelle l'objectif du programme, la portée et les attentes vis-à-vis de nos collaborateurs sont également définis de manière formelle.
Dans la prochaine phase du programme de sensibilisation, nous aimerions nous concentrer sur les méthodes peu conventionnelles de violation de la sécurité, par exemple les codes QR ou une intrusion physique. Nous souhaitons également rendre le programme encore plus interactif en lançant, par exemple, des sessions « lunch & learn » à l'avenir.
Raf Gillisjans a étudié l'informatique appliquée à Bruges et fait partie de l'équipe de sécurité de Belnet depuis près de deux ans. Il teste de nouvelles solutions pour rendre l'environnement Belnet plus sûr et fait également partie de l'équipe de sensibilisation à la sécurité. En dehors de Belnet, vous pouvez le retrouver dans un studio de radio, derrière une caméra ou derrière son ordinateur en train de jouer à un jeu.