Comment sensibiliser vos collaborateurs aux enjeux de la cybersécurité ?

Mailinblack livre ses recommandations pour sensibiliser efficacement vos collaborateurs aux problématiques de cybersécurité. Et ainsi les protéger contre les diverses tactiques prisées par les cyberattaquants.

Étienne Caillebotte
Publié le /
cybersecurite-conseils-mailinblack
La prise de décision d'un collaborateur peut être faussée par un biais cognitif. © kunakorn - stock.adobe.com

Les chiffres sont éloquents et soulignent l’urgence d’intégrer des programmes de sensibilisation à la cybersécurité au sein des entreprises. En juin 2023, un rapport du cabinet Asteres évaluait à 2 milliards d’euros le coût des cyberattaques subies par les entreprises françaises lors de l’année précédente, en tenant compte des pertes de productivité, des paiements de rançons, des interruptions de service et des millions d’heures de travail perdues.

Un coût exorbitant, particulièrement pour les PME, qui sont des cibles privilégiées par les cybercriminels, avec 330 000 attaques recensées au cours de l’année étudiée. Et qui pourrait, surtout, être évité. Les erreurs humaines, telles que la saisie d’informations personnelles après avoir cliqué sur un lien de phishing ou l’ouverture d’une pièce jointe vérolée, sont responsables de 90 % des cyberattaques, d’après Mailinblack. « Sensibiliser et former l’humain est la clé de voûte d’une cybersécurité forte et renforcée », souligne l’éditeur de solutions de cybersécurité, basé à Marseille, qui a développé une série d’outils pour prévenir le « cyber risque humain »  (voir plus bas). Dans le cadre de notre semaine consacrée à la cybersécurité, Mailinblack examine, pour BDM, les biais cognitifs et stratagèmes couramment employés par les cyberattaquants, tout en livrant ses conseils pour s’en protéger.

Comment les hackeurs trompent-ils la vigilance des collaborateurs ?

Malgré les alertes répétées et la documentation des menaces par de nombreux acteurs privés ou publics, dont l’Agence nationale de la sécurité des systèmes d’information (ANSSI), certaines méthodes, comme le phishing, se révèlent particulièrement efficaces pour tromper la vigilance des collaborateurs. Dans son Baromètre Cyber 2024, une étude réalisée entre janvier et décembre 2023 sur un échantillon de 5,9 milliards d’emails, Mailinblack rapporte avoir bloqué plus de 143 millions d’attaques, dont 77 % étaient des tentatives de phishing. Selon l’entreprise, certaines usurpaient l’identité de solutions en ligne, comme WeTransfer, ou de grands groupes comme Amazon ou Google. Mais elles pouvaient aussi exploiter d’autres failles, plus insidieuses. « C’est pour éviter ce type de scénario que la formation en cybersécurité dans l’entreprise joue un rôle fondamental », rappelle l’entreprise.

cybermenaces-facteur-humain
9 attaques sur 10 aboutissent grâce à une erreur humaine. © Mailinblack

Les thématiques qui piègent le plus de collaborateurs

Pour duper un nombre croissant de professionnels, notamment au sein de PME qui sont « dotées de systèmes informatiques moins sécurisés et d’une compréhension moindre des sujets cyber », rappelle Mailinblack, les cyberattaquants favorisent habituellement plusieurs thématiques qu’ils jugent particulièrement efficaces :

  • Promotions et événements spéciaux : l’email frauduleux incite l’utilisateur à cliquer sur un lien, en lui promettant une offre exclusive, une promotion ou un cadeau.
  • Facturation et paiements : cette technique alarmiste consiste à presser l’utilisateur de régler une facture ou une amende impayée, sous peine de pénalités.
  • Offres d’entreprise et bien-être : moins médiatisée, cette méthode invite l’utilisateur à découvrir des solutions pour améliorer son bien-être ou sa santé dans le cadre professionnel.
  • Logistique et livraison : l’email piégé demande à l’utilisateur de partager ses données personnelles pour récupérer un colis en attente, afin d’éviter de payer des frais supplémentaires.
  • Sécurité et authentification : en jouant sur l’urgence, cette technique invite l’utilisateur à effectuer une action rapide, comme fournir son numéro de téléphone dans le but de sécuriser un compte.

Les biais cognitifs qui font réagir les utilisateurs

Dans son Baromètre Cyber 2024, Mailinblack met en lumière un autre facteur, plus problématique, qui facilite la tâche des cyberattaquants : les biais cognitifs de l’utilisateur. En étudiant les simulations d’attaques envoyées par Cyber Coach, sa solution de sensibilisation et d’entraînement à la cybersécurité, l’entreprise s’est aperçue que certains biais cognitifs faussaient la prise de décision, et jouaient en faveur des cybercriminels :

  • Le stress : les emails jouant sur le stress « font prendre des décisions précipitées et risquées », estime Mailinblack. Un contenu de phishing, qu’il soit angoissant ou alarmiste, fera davantage réagir les destinataires, avec un taux de clic de 12,4 % et un taux d’hameçonnage de 6,3 %.
  • La curiosité : sans surprise, il s’agit du principal facteur « influençant le téléchargement de pièces jointes dans les emails associées aux ransomwares », note l’entreprise marseillaise. En prétendant contenir des informations confidentielles, comme la grille salariale ou le business plan d’une société, ce type d’email frauduleux est « particulièrement efficace pour attirer l’attention des utilisateurs ».
  • Le gain : selon Mailinblack, les « personnes motivées par le gain sont particulièrement vulnérables au spearphishing ». Une technique se démarquant par un degré de personnalisation plus élevée, puisqu’elle se base sur l’usurpation de l’identité d’une personne bien réelle et proche de l’utilisateur (patron d’entreprise, gérant d’association, membre de la famille, etc.). Lors de ses simulations d’attaque, le taux de clic atteignait 21,8 % et le taux d’hameçonnage culminait à 12,9 %.

Les conseils de Mailinblack pour sensibiliser vos collaborateurs à la cybersécurité

Pour se protéger contre toutes ces menaces en ligne, il est indispensable de mettre en place un processus de sensibilisation sur la cybersécurité, s’étendant de l’onboarding de l’employé jusqu’à son départ de l’entreprise. L’objectif, selon Mailinblack ? Créer « un environnement où la cybersécurité est considérée comme une priorité absolue, encourageant ainsi une vigilance constante et une réactivité accrue face aux menaces potentielles ». Voici les cinq conseils de l’éditeur pour sensibiliser vos collaborateurs à ces questions :

  1. Faire de la pédagogie et créer une culture cyber : pour que vos salariés adoptent le bon comportement dans une situation à risque, la première étape consiste à vulgariser les différents types d’attaques (malware, ransomwares, phishing, etc.) et à expliquer leur fonctionnement. Il est recommandé de fournir des exemples concrets.
  2. S’adresser à l’ensemble des services de l’entreprise : chaque collaborateur dispose d’un poste de travail, d’un identifiant et d’une adresse email. S’il ne maîtrise pas ces outils, il court le risque d’être négligent et d’offrir un accès aux cybercriminels. « Il faut faire participer chaque membre de l’entreprise à la mise en œuvre du programme de cybersécurité », souligne Mailinblack.
  3. Personnaliser la formation pour chaque collaborateur : chaque employé assimile et intègre les informations de manière différente. Il est donc nécessaire d’adapter le contenu de la formation à l’apprenant, tout comme la fréquence des sessions.
  4. Utiliser la gamification : pour stimuler l’intérêt et favoriser l’apprentissage par l’action, Mailinblack recommande d’intégrer des éléments ludiques aux formations, notamment des mécanismes compétitifs et des systèmes de récompense.
  5. Intégrer la sensibilisation à la cybersécurité dans l’onboarding : dès l’intégration de l’employé, les problématiques liées à la cybersécurité doivent être abordées. « Il ne faut pas vous contenter de rappeler les règles de cybersécurité, mais expliquer pourquoi ces bonnes pratiques sont si importantes », complète Mailinblack.

Pour sensibiliser, il est aussi possible d’exploiter les bons outils. Mailinblack, convaincu que la cybersécurité « doit être intégrée au cœur de la culture de l’entreprise« , a conçu, ces dernières années, de nombreuses solutions pour accompagner les structures de toutes tailles. Des outils qui sont désormais regroupés au sein de U-Cyber 360° : une plateforme complète qui « analyse et réduit le cyber risque humain ». En pratique, U-Cyber 360° regroupe une multitude d’outils avancés, et notamment de sensibilisation, au sein d’une interface centralisée. L’offre inclut Cyber Academy, une plateforme d’e-learning dédiée à la cybersécurité, Cyber Coach, une solution de sensibilisation qui simule des attaques, ainsi qu’un gestionnaire de mots de passe (Sikker) et un système de protection de messagerie (Protect). Pour en savoir plus, cliquez sur le lien ci-dessous.

En savoir plus sur U-Cyber 360°

Semaine de la cybersécurité 2024
Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

Visuel enquête Visuel enquête

Community managers : découvrez les résultats de notre enquête 2025

Réseaux, missions, salaire... Un webinar pour tout savoir sur les CM, lundi 29 septembre à 11h !

Je m'inscris
BDM / Articles / Tech / Comment sensibiliser vos collaborateurs aux enjeux de la cybersécurité ?

Sur le même thème

Cybersécurité

Cybersécurité : 5 chiffres clés qui démontrent l’impact majeur d’une faille
Cybersécurité

Attaque DDoS contre votre entreprise : comment réagir ?
Cybersécurité

Violations de données : la France est le 2e pays le plus ciblé, derrière les États-Unis
Cybersécurité

5 questions pour comprendre le Cyber Resilience Act
Données personnelles

Comment se protéger face aux fuites de données : les conseils de la CNIL
Interviews

Cyberattaques : comment les TPE, PME et ETI sont devenues des cibles privilégiées