Sensibiliser à la sécurité au sein d'une entreprise n'est déjà pas une tâche aisée, encore moins lorsqu'il s'agit des nouveaux employés. Nous expliquons ci-dessous comment nous abordons cette question au sein de Belnet.
Pourquoi la sensibilisation à la sécurité est-elle si importante ?
On a coutume de dire que la plus grande vulnérabilité d'un système informatique n'est autre que l'utilisateur final de ce système. L'humain constitue donc la dernière ligne de défense pour s'assurer que les contenus malveillants ne pénètrent pas dans votre réseau. Les employés qui se montrent plutôt laxistes en matière de sécurité informatique facilitent énormément la tâche des cybercriminels. Ces personnes ouvrent des pièces jointes ou cliquent sur des liens sans réfléchir et, bien sûr, cela crée un risque important pour votre entreprise.
Heureusement, un grand nombre de personnes sont déjà conscientes que l'utilisation d'un ordinateur et d'internet comporte certains dangers. Pourtant, il n'est pas toujours évident de savoir ce que l'on peut faire pour se protéger.
Nous estimons donc qu'il est important de sensibiliser nos collègues à ces dangers, et ce, dès le premier instant où un collaborateur rejoint notre entreprise.
Cours accéléré de cybersécurité
Lorsque de nouveaux collaborateurs rejoignent Belnet, ils bénéficient de quelques séances d'information pour en apprendre plus sur nos différents départements. Cela inclut une séance avec l'équipe sécurité. Lors de cette séance, nous commençons par expliquer le fonctionnement et les projets de l'équipe de sécurité, mais nous dispensons aussi un « Cours accéléré de cybersécurité ». Cela permet de sensibiliser immédiatement un nouveau collaborateur aux dangers d'internet. De cette manière, les nouveaux venus peuvent immédiatement adopter des pratiques de travail sûres lorsqu'ils prennent leur poste et cela devient très vite une routine.
Dans cette formation, nous couvrons plusieurs sujets :
- Qui est qui ?
Dans cette section, nous revenons sur les membres de l'équipe de sécurité, leur fonction et la langue qu'ils parlent. Ce dernier point est important car les nouveaux collègues savent alors qui peut être leur point de contact dans la langue qu'ils maîtrisent le mieux.
- Mot de passe
Dans la deuxième partie de la formation, nous examinons comment ils peuvent créer des mots de passe sécurisés. Ceci en utilisant le gestionnaire de mot de passe que nous préconisons au sein de Belnet. Par la suite, nous expliquons pourquoi l'authentification à plusieurs facteurs est importante.
- Plateforme de sensibilisation
Ensuite, nous parlons de la plateforme de formation à la sensibilisation que nous utilisons au sein de Belnet. Chaque nouveau collègue est immédiatement encouragé à répondre à une enquête/formation sur la plateforme afin que nous puissions évaluer ses connaissances. Cela nous permet d'organiser des formations complémentaires en fonction de ses besoins.
- Hameçonnage
Nous examinons ici quelques exemples de hameçonnage et l'idée est que les collègues essaient de montrer pourquoi il s'agit d'un mail de hameçonnage. Pour ce faire, nous utilisons des captures d'écran de mails de hameçonnage réels et simulés. Nous expliquons également aux collaborateurs que s'ils reçoivent un message de hameçonnage, ils peuvent le signaler afin que nous puissions supprimer ce message dans toutes les mailbox. En précisant que cela contribue à la sécurité globale de Belnet, ils sont également plus enclins à effectuer un signalement.
- Codes QR
L'utilisation du hameçonnage par code QR ou mieux du Quishing est aussi brièvement abordée. Nous expliquons ici comment les employés peuvent découvrir le lien qui se cache derrière un code QR.
- Incidents de sécurité et meilleures pratiques
Enfin, nous expliquons à nos collaborateurs comment signaler un incident de sécurité et fournissons aussi quelques bonnes pratiques. Quelques exemples : verrouiller son écran lorsqu'on quitte son ordinateur portable, ne pas brancher de clés USB inconnues, ne pas mettre d'informations internes sur des partages publics et faire preuve de prudence avec les données personnelles sur le web.
Formation continue
Bien entendu, la sensibilisation n'est pas seulement une nécessité au cours du processus d'intégration. Il faut la « répéter » régulièrement et adapter nos formations à l'actualité. Ainsi, nous utilisons des simulations de mails de hameçonnage pour maintenir nos collègues aux aguets.
Nous organisons également des séances « Lunch & Learn » plusieurs fois par an. Lors de ces séances, nous invitons nos collègues à déjeuner et à assister à une présentation faite par un orateur sur un sujet d'actualité. Par le passé, nous avons évoqué la « simplicité » du piratage d'un système Windows ainsi que les escroqueries sur internet ou par d'autres moyens de télécommunication.
Le monde de l'informatique évolue rapidement et, chaque jour, de nouvelles vulnérabilités sont découvertes ou de nouveaux moyens sont mis au point pour déjouer les systèmes informatiques et les personnes. Il est donc très important de sensibiliser nos collaborateurs à ces risques et de les rappeler ponctuellement. D'abord, sous forme de répétition, mais aussi lorsque de nouveaux dangers ou de nouvelles vulnérabilités apparaissent.
Raf Gillisjans a étudié l'informatique appliquée à Bruges et fait partie de l'équipe de sécurité de Belnet depuis près de deux ans. Il teste de nouvelles solutions pour rendre l'environnement Belnet plus sûr et fait également partie de l'équipe de sensibilisation à la sécurité. En dehors de Belnet, vous pouvez le retrouver dans un studio de radio, derrière une caméra ou derrière son ordinateur en train de jouer à un jeu.