Octobre approche à grands pas, ce qui signifie que pour de nombreuses entreprises, il est temps de se préparer pour Mois de Sensibilisation à la Cybersécurité – un mois reconnu dans le monde entier comme une occasion de redoubler d’efforts en matière de sensibilisation à la sécurité. Alors que de nombreuses organisations passent à une culture de travail à distance à long terme, il est plus important que jamais de donner à vos employés les outils et les ressources nécessaires pour être en sécurité en ligne dans leur vie personnelle comme au bureau à domicile. Comme beaucoup, vous vous demandez peut-être comment faire passer votre programme de sensibilisation à la sécurité au virtuel, d’une manière qui maintient l’engagement et l’information de vos employés.

Voici comment nous avons fait évoluer notre programme de sensibilisation à la sécurité afin de nous assurer que nous atteignons nos employés LogMeIn qui travaillent désormais à domicile.

Aligner les objectifs et les buts de l’entreprise

Bien comprendre les motivations commerciales de votre entreprise et les objectifs de votre équipe de sécurité est essentiel pour bâtir tout programme de sensibilisation à la sécurité. En construisant votre programme autour des objectifs de l’organisation, à long comme à court terme, vous donnez à vos dirigeants confiance dans vos messages et vos conseils lorsqu’ils communiquent avec les employés. De plus, si vous êtes aligné sur leurs objectifs, ainsi que sur ceux de l’organisation, il devient facile d’obtenir leur soutien et leur participation. La sécurité est la responsabilité de chacun et exige l’adhésion de toutes les parties, y compris des dirigeants, à cette démarche – c’est un effort collectif.

Définissez votre message

The National Cybersecurity Alliance et l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ont proposé le message clé de cette année : « Si vous le connectez, protégez-le. » Parce que le travail à distance a brouillé les frontières entre nos vies personnelles et professionnelles, il est particulièrement important cette année de donner aux employés le savoir-faire nécessaire pour protéger leurs appareils en toute sécurité. N’oubliez pas de solliciter les équipes Sécurité, Risques et IT au sujet des changements de comportement souhaités à intégrer à votre campagne. Votre entreprise constate-t-elle un taux de clics plus élevé sur les tentatives de phishing ou des téléchargements d’applications non vérifiées et risqués ? Comprendre le risque pour votre organisation vous aidera à formuler un message pertinent.

Communiquez via une variété de canaux

Les employés reçoivent en moyenne 120 e-mails par jour. Avec autant d’e-mails, vous pouvez imaginer à quel point votre message pourrait facilement se perdre dans le bruit. Par ailleurs, les gens assimilent l’information différemment, certains préférant les images et les vidéos à la lecture de longs e-mails. Assurez-vous d’exploiter la variété des canaux de communication à votre disposition. Exemples :

• Les canaux de chat internes comme Slack sont idéaux pour partager rapidement des conseils et/ou des extraits d’informations. Beaucoup de ces outils offrent des formats attrayants comme des GIF, des émojis, des options de sondage et d’enquête pour capter l’attention de vos employés.

• Les sites intranet de l’entreprise sont utiles pour collecter et stocker des vidéos de formation à la sécurité ainsi que d’autres ressources et informations auxquelles les employés pourront se référer après le Mois de sensibilisation à la cybersécurité.

• Organisez un webinaire ou une réunion plénière à l’aide d’outils de visioconférence à distance, comme GoToWebinar. C’est un excellent moyen de donner à vos employés la possibilité d’échanger directement avec des experts en sécurité et en informatique et d’obtenir des réponses à leurs questions. Conseil utile : si vous avez une base d’employés internationale, veillez soit à enregistrer la session, soit à la proposer à différents fuseaux horaires. Assurez-vous également de vérifier à l’avance la limite de participants de l’outil et de mettre en place une préinscription si nécessaire.

• Personnalisez les écrans de connexion des ordinateurs avec un visuel amusant ou un « Conseil de sécurité de la semaine ». Votre équipe informatique peut disposer des autorisations nécessaires pour mettre temporairement à jour les économiseurs d’écran et/ou les écrans de bureau des employés, et peut aussi vous donner un aperçu d’autres applications approuvées qui pourraient être utiles dans votre communication.

• Envoyez des objets promotionnels de sécurité aux employés. Selon les fonds dont vous disposez, vous pouvez envoyer aux employés de petits objets promotionnels liés à la sécurité, par exemple des caches pour webcam. Il existe des services de merchandising et de distribution directe de produits promotionnels qui expédieront les articles directement au domicile des employés.

Impliquez vos employés

Même si vous n’êtes pas dans un bureau en ce moment, il existe de nombreuses façons d’impliquer vos employés dans votre campagne virtuelle de sensibilisation à la sécurité. En leur offrant des possibilités de participer, vous renforcerez non seulement leurs apprentissages, mais vous contribuerez aussi à instaurer une culture de sécurité plus collaborative au sein de votre organisation.

• Lancez des concours en demandant aux employés d’ajouter une légende à un mème avec leur meilleur jargon de sécurité, de rédiger l’e-mail de phishing le plus crédible ou de réaliser une vidéo de formation à la sécurité maison et divertissante de 30 secondes. Vous pouvez désigner les gagnants par vote des pairs via les canaux de chat internes – cela encouragera aussi les autres à participer !

• Créez une chasse au trésor en ligne où les employés peuvent jouer les détectives et utiliser des indices pour trouver les réponses aux sujets liés à la sécurité sur lesquels vous souhaitez qu’ils en apprennent davantage. Les salles d’évasion virtuelles sur la cybersécurité constituent une autre expérience immersive et de cohésion d’équipe pour mobiliser votre personnel.

• Rendez les moments en famille amusants en donnant aux parents une activité à faire avec leurs enfants à la maison. De nombreux kits d’activités gratuits sont disponibles en ligne pour aider à enseigner aux enfants la sécurité en ligne.

• Organisez un Capture-the-Flag virtuel (CTF) pour faire passer la maturité de votre programme de sensibilisation à la sécurité à un niveau supérieur. Généralement destiné aux spécialistes de la sécurité et aux ingénieurs/développeurs, les CTF sont une forme d’apprentissage ludifié où l’on peut jouer au « hacker » de manière éthique pour améliorer ses compétences de défense et apprendre à écrire du code sécurisé.

• Utilisez un gestionnaire de mots de passe d’entreprise pour renforcer la sécurité globale des mots de passe de votre organisation et créer une compétition amicale entre les employés. Si vous utilisez LastPass, le tableau de bord d’administration fournit un score de sécurité à l’échelle de l’entreprise qui mesure la solidité des mots de passe individuels des employés de l’organisation. Vous pouvez créer une rivalité amusante et bienvenue entre des individus ou des équipes en rivalisant pour obtenir le meilleur score de sécurité LastPass. Vous pouvez lire comment LogMeIn a fait cela dans le cadre d’un effort visant à accroître l’adoption de LastPass pour le Mois de sensibilisation à la cybersécurité 2019 ici.

Mesurer le succès

La sensibilisation à la sécurité peut être difficile à quantifier, mais ce n’est pas impossible. Sollicitez les retours des employés sur ce qu’ils ont apprécié ou ce qui pourrait être amélioré, et travaillez avec votre équipe de sécurité pour identifier des indicateurs montrant si le risque lié à l’« erreur humaine » pour votre organisation est en baisse (par ex. davantage de problèmes de sécurité signalés, moins d’e-mails de phishing cliqués, des mots de passe plus forts et plus longs). Toutes ces informations peuvent vous donner une meilleure compréhension du succès de vos efforts pour le Mois de sensibilisation à la cybersécurité.

Créer et maintenir une culture de la sécurité au sein d’une main-d’œuvre mondiale, dispersée et diversifiée, est une mission en constante évolution. À mesure que votre programme de sécurité se développe, n’ayez pas peur de tester de nouvelles méthodes d’engagement des employés, de faire preuve de créativité dans vos idées et de vous amuser en mettant le tout en place.