Par /

[En pratique] Campagne de sensibilisation à la cybersécurité

#cybersecurité

sensibilisation à la cybersécurité

Photo de GuerrillaBuzz sur Unsplash

Les stratégies de cybersécurité comprennent des améliorations techniques  : renforcement de la sécurité du réseau, mises à jours régulières des logiciels et notamment des patchs de sécurités, VPN, anti-virus, pare-feu etc.

Cependant la faille de sécurité la plus difficile à maitriser est l’erreur humaine

Les pirates utilisent des méthodes de plus en plus sophistiquées pour piéger les salariés : mails de phising, faux service support, appel ou SMS trompeurs etc. 

Certains s’appuient même sur l’IA pour imiter la voix ou le visage de salariés dans une fausse réunion visio ou un faux appel téléphonique pour obtenir des informations confidentielles ou déclencher une action (paiement, suppression d’informations, validation de documents etc.). 

Nous avons suivi une entreprise qui a mis en place des campagnes de sensibilisation à la cybersécurité à destination de ses salariés. 

Sommaire

Simulation d’une cyber-attaque

Résultats du test

Mise en place d’une campagne de sensibilisation

Pour aller plus loin

Comment l’agence Quelle Vie Tranquille peut vous aider ? 

Comment nous contacter ? 

Comment suivre nos actualités ? 

↑ Haut de page

Simulation d'une cyber-attaque

Ce genre de simulation d’une cyber-attaque s’appelle un pentest (test d’intrusion). Ces tests peuvent être plus ou moins élaborés selon la faille que l’on souhaite détecter.

Dans le cas de cette entreprise, un pentest technique a été réalisé pour identifier les failles techniques uniquement. L’entreprise a souhaité réaliser elle-même un second test pour évaluer les failles humaines

Pour réaliser ce second test, l’entreprise a crée une fausse adresse email d’entreprise en remplaçant certaines lettres comme par exemple les l remplacés par des i et les o par des 0 (zéro). 

Elle a ensuite créer un emailing avec comme contenu du mail un lien cliquable pour compléter un formulaire afin que les salariés puissent récupérer du matériel informatique avant telle date.

Le formulaire demandait de compéter son nom, prénom, date de naissance, poste, nom du manager, téléphone. Si le salarié complétait le formulaire, il recevait un second email avec un lien pour renseigner son identifiant et mot de passe de l’ordinateur, avec comme motif de collecte : afin de paramétrer l’équipement informatique que le salarié allait recevoir. 

Il y avait tous les éléments de base d’un email de phising :

  • induire en erreur avec le nom de l’entreprise erroné (peu visible sauf pour les personnes méfiantes)
  • notion d’urgence (date proche)
  • appel à l’action (cliquer sur le lien)
  • collecte de données (formulaires à compléter) 
  • pied dans la porte (une fois que le premier formulaire a été complété, cela engage psychologiquement le salarié dans la démarche de compléter le second formulaire) 

↑ Haut de page

Résultat du test

  • 98% des salariés ont cliqué pour ouvrir l’email
  • Environ 80% des salariés ont complété le 1er formulaire
  • Environ 40% des salariés ont complété le 2nd formulaire
  • Seulement 5% des salariés ont signalés l’email à la DSI pour signaler une cyber-attaque. Pourtant la DSI avait une adresse email dédiée pour signaler des emails ou comportements douteux. 

Ce test était légèrement biaisé par ce fait que l’email n’a pas passé le système de sécurité, qui aurait probablement mis l’email en spam. Le but était de mesurer la faille humaine dans le cas où un email frauduleux arriverait à déjouer la sécurité. 

En outre, ce test montre que la faille humaine est très importante au sein d’une entreprise.

Par conséquent, il est primordiale de sensibiliser les salariés aux bons gestes pour garantir la sécurité de tous

↑ Haut de page

Mise en place d'une campagne de sensibilisation

À la suite de ce test, la DSI a envoyé un email pour expliquer aux salariés ce test et les résultats obtenus.

Voici les actions que la DSI a mis en place ensuite :

  • Ils ont conçu une formation en e-learning pour sensibiliser les salariés aux types d’attaques et aux bons gestes à avoir.
  • Ils ont mis en signature de tous leurs email, le lien vers le tuto et vers l’adresse email dédiée aux signalements
  • Ils ont fourni une plaquette sur les bons gestes dans le welcome pack de tous les nouveaux arrivants
  • Ils ont fait régulièrement des tests de ce genre pour mesurer l’impact de leur campagne. 
  • Ils ont diversifié les tests avec des SMS et appels de fraude.

La cybersécurité demande de la pédagogie et de la répétition pour former chacun aux bons gestes. L’ entrainement au risque incendie sauve des vies, l’entrainement à la cybersécurité sauve la vie de l’entreprise. 

Pour aller plus loin

Comment l'agence Quelle Vie Tranquille peut vous aider ?

→ Si ne savez pas si vous avez mis en place les bons gestes de cybersécurité, nous pouvons réaliser un diagnostic afin d’identifier les failles de sécurité et de définir un plan d’actions pour y remédier. 

→ Si vous avez des failles de sécurité, nous vous mettons en relation avec des experts de la cybersécurité afin de résoudre rapidement votre problématique. 

→ Si vous souhaitez réaliser une campagne de sensibilisation à la cybersécurité (formation, communication, ateliers etc.), nous pouvons vous accompagner et réaliser les différentes actions de sensibilisation.

→ Nous mettons à disposition des tutos sur les bons gestes en cybersécurité ainsi que des articles de veille, des événements …etc.  sur notre site internet (Blog), ainsi que dans notre newsletter mensuelle.

Comment nous contacter ?

Par téléphone

Par email

Via notre formulaire de contact

En réservant un créneau dans notre agenda

↑ Haut de page

Comment suivre nos actualités et nos articles ?

Blog

Newsletter

Linkedin

Facebook

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut