16.05.25 - Le comportement des employés constitue souvent une porte d'entrée pour une cyberattaque. La sensibilisation et la formation des employés sont des premières mesures importantes.
Le rythme effréné du travail quotidien peut rapidement conduire à agir de manière imprudente dans le feu de l’action. Par exemple, de trahir ou de se laisser dérober des mots de passe et des noms d’utilisateur. La sensibilisation et la formation des collaborateurs à ce sujet devrait contenir au moins quatre thèmes, à savoir : les mots de passe, l’hameçonnage, l’ingénierie sociale et la sensibilisation particulière du service comptabilité.
Mots de passe et données d’accès
Il est bien connu que les mots de passe doivent être « forts », mais les règles (suffisamment de lettres, de chiffres et de caractères spéciaux, pas facile à deviner, différents pour chaque application) sont souvent ignorées. Les gestionnaires de mots de passe peuvent être utiles à cet égard.
Hameçonnage et ingénierie sociale
La sensibilisation inclut comment détecter des e-mails suspects (hameçonnage) et comment y réagir. L’ingénierie sociale consiste à manipuler des personnes pour qu’elles divulguent des données personnelles, confidentielles ou sensibles, ou pour qu’elles effectuent des paiements. C’est pourquoi il est important de définir intelligemment qui est autorisé ou pas à consulter des données. En particulier, il faut sensibiliser le service de comptabilité afin qu’aucun paiement frauduleux ne soit effectué ou validé, et établir des processus correspondants.
Caution avec les données personnelles
Il s’agit en général d’être prudent lorsqu’on publie des informations personnelles sur Internet, car il est facile aujourd’hui de falsifier une identité. Par exemple, des cybercriminels peuvent découvrir où se trouve une personne responsable, en vacances par exemple, et y faire référence dans leur message frauduleux. Les avertissements dans le programme de messagerie tels que « Attention, il s'agit d'un e-mail externe » peuvent s'avérer très utiles dans ces cas.
Tests et « cyber-assurances »
Des tests d’hameçonnage occasionnels sont un bon moyen de sensibilisation. Les résultats de ces tests et des exemples (anonymes) de réactions correctes ou dangereuses devrait ensuite être communiqués au sein de l’entreprise.
Les prestataires d’assurances contre les risques de la cybercriminalité organisent souvent des formations et des tests gratuits dans le cadre de leur offre. Il est important de se tenir aux mesures prévues par la « cyber-assurance » pour ne pas risquer que l’assurance refuse de payer en cas de sinistre.
Informations ultérieures
Vous trouverez des informations complémentaires et compréhensives sur la cybersécurité sur le site Internet d’AM au menu Actualités, Dossiers thématiques, Cybersécurité.