Risque cyber : luttez contre la lassitude des utilisateurs
Publié par Eve Mennesson le - mis à jour à
Trop de messages de sécurité, trop de formations trop longues... Les utilisateurs commencent à se lasser de l'éducation à la cybersécurité. Et les cybercriminels utilisent cette nouvelle faille. Il s'agit donc d'adresser des messages plus courts et plus ludiques.
Le risque cyber est avant tout un risque humain, beaucoup d'utilisateurs n'ayant encore pas les bons réflexes. « Nous sommes encore dans une phase naissante de découverte. Et beaucoup de personnes apprennent à leurs dépens qu'un mot de passe peu sécurisé est facilement découvert... », indique Benoit Grunemwald, expert en cybersécurité chez Eset France.
A cet apprentissage des règles de bonne conduite en matière de cybersécurité s'ajoute un autre phénomène que les cybercriminels savent utiliser : la lassitude envers la sécurité. Autrement dit le fait que les collaborateurs se montent moins attentifs aux messages de sécurité, fatigués de devoir sans cesse se montrer prudents. « On a pu voir que certains cybercriminels harcèlent les utilisateurs pour les faire craquer et que, de guerre lasse, ils finissent par accepter leur proposition », rapporte Benoit Grunemwald.
Au sein des entreprises il s'agit donc d'enseigner les bonnes pratiques en matière de cybersécurité sans pour autant créer de lassitude. Un véritable jeu d'équilibriste.
Tous concernés !
Comment faire ? Premier conseil de Benoit Grunemwald : n'oublier personne, depuis le bas de l'organigramme jusqu'à sa tête. « La direction est souvent réfractaire à l'idée d'être inclue dans des programmes à destination de l'ensemble des employés alors qu'elle doit vraiment être sensibilisée car c'est elle qui possède des pouvoirs », insiste l'expert en cybersécurité.
De manière générale, il ne faut surtout pas oublier les personnes qui ont des pouvoirs au sein de l'entreprise : celles qui sont en capacité de faire des virements, celles qui ont des droits d'accès forts, celles qui peuvent modifier des coordonnées bancaires... Elles se nichent souvent au sein de la DSI ou de la direction financière et pensent ne pas avoir besoin de rappels en matière de sécurité. Et pourtant...
Messages de 10/15 minutes
Pour éviter la lassitude, Benoit Grunemwald conseille d'opter pour des messages simples et légers. Des jeux, comme des quiz, peuvent être appréciés. Il recommande surtout de ne pas être trop long et de ne pas partir sur des formations d'une heure. « Il vaut mieux diffuser des petits messages de 10/15 minutes de manière répétée », assure-t-il.
Autre aspect important : faire prendre conscience des enjeux aux collaborateurs. « L'être humain va mieux là où il doit aller s'il a compris pourquoi », souligne Benoit Grunemwald. Il invite pour cela à sensibiliser les employés aux risques qu'ils encourent dans leur vie personnelle pour ensuite faire le lien avec l'entreprise. « On peut par exemple leur parler de la perte de photos personnelles et ensuite faire le lien avec la perte de données en entreprise. Un tel exemple touche généralement », avance Benoit Grunemwald.
Adopter une telle approche permet de guider les collaborateurs vers des bonnes pratiques à la fois à la maison et en entreprise : on fait d'une pierre deux coups. Et on permet d'acquérir de bonnes pratiques sans pour autant se lasser de cybersécurité.