À quelle fréquence devez-vous former vos employés par rapport à la cybersécurité?

Vous venez de compléter votre formation annuelle sur le phishing. Cela inclut d’apprendre aux employés comment détecter les courriels de phishing. Jusqu’à 5-6 mois plus tard. Votre entreprise est victime d’une coûteuse infection par un ransomware en raison d’un clic sur un lien de phishing. 

Vous vous demandez pourquoi vous avez besoin de former les employés à chaque année sur les mêmes informations. Malgré tout, vous souffrez encore d’incidents de sécurité informatique. Le problème est que vous ne formez pas vos employés assez souvent. 

 Les gens ne peuvent pas changer leurs comportements s’ils ne reçoivent pas de formation de renforcement. Ils peuvent facilement oublier ce qu’ils ont appris après quelques mois seulement. 

 Donc, à quelle fréquence faut-il sensibiliser votre équipe à la cybersécurité? Il s’avère qu’une formation à chaque quatre mois est l’idéal. Chez Nexxo, nous avons compris qu’à cette fréquence, vous aurez des résultats constants dans votre sécurité informatique.  

Pourquoi une formation sur la cibersécurité est recommandée tous les 4 mois?

 Alors, d’où vient cette recommandation de 4 mois? Il y a eu une étude présentée récemment à la conférence sur la sécurité d’USENIX SOUPS. Ils ont vérifié l’habileté des utilisateurs à détecter les courriels de phishing versus la fréquence de formation. Ils ont vérifié la formation sur la sensibilisation au phishing et à la sécurité informatique.  

 Les employés ont passé des tests d’identification de phishing à plusieurs intervalles de temps : 

• 4 mois 
• 6 mois 

• 8 mois 
• 10 mois 
• 12 mois 

 L’étude a révélé que quatre mois après leur formation, les scores des employés étaient bons. Les employés étaient toujours en mesure d’identifier avec précision et d’éviter de cliquer sur les courriels de phishing. Mais après 6 mois, leurs scores ont commencé à empirer. Les scores ont continué à baisser au fil des mois qui se sont écoulés après leur formation initiale. 

 Pour que les employés soient bien préparés, ils ont besoin d’une formation et de remises à niveau sur la sensibilisation à la sécurité. Cela les aidera à agir comme un agent positif dans votre stratégie de cybersécurité.  

Conseils sur quoi et comment former les employés pour développer une culture de la cybersécurité 

 

Les standards optimaux pour la formation à la sensibilisation sécuritaire sont de développer une culture de cibersécurité. C’est là où tout le monde est conscient de la nécessité de protéger les données sensibles. En plus d’éviter les escroqueries par phishing et de garder les mots de passe sécurisés.  

 Ce n’est pas le cas dans la plupart des organisations, selon le rapport Sophos 2021 sur les menaces. Au Québec et ailleurs, l’une des plus grandes menaces pour la sécurité du réseau est le manque de bonnes pratiques de sécurité.   

Le rapport indique ce qui suit :  

 « Un manque d’attention d’un ou plusieurs aspects de l’hygiène de sécurité de base s’est avéré être la cause de bon nombre des attaques les plus dommageables sur lesquelles nous avons enquêté. » 

 

Des employés bien formés aident à réduire considérablement les risques au sein d’une entreprise. Ils réduisent le risque d’être victime d’un certain nombre de différentes cyberattaques. Être bien formé ne veut pas dire que vous devez mener une longue journée de formation en cybersécurité. Il vaut mieux mélanger les modes d’apprentissage.  

 Voici quelques exemples de façons engageantes de former les employés à la cybersécurité. Vous pouvez les inclure dans votre plan de formation: 

 

• Vidéos libre-service envoyées par courriel une fois par mois;
• Table ronde de discussion d’équipe;
• Infolettre sur la sécurité ou groupe de discussion par message du type « Truc de la semaine »; 
• Session de formation donnée par un professionnel de l’informatique;  
• Tests de simulation de phishing ;

• Affiches sur la cybersécurité; 
• Célébrez le mois de la cybersécurité en octobre  

 

 Lors de la formation, le sujet du phishing est très important à couvrir mais ce n’est pas le seul. Voici quelques sujets importants à inclure dans votre formation de sensibilisation à la cybersécurité.  

 

Phishing par courriel, SMS et réseaux sociaux

 Le phishing par courriel reste la forme la plus répandue, mais le phishing par SMS, « smishing » et le phishing par les réseaux sociaux sont tous deux en augmentation. Les employés doivent savoir comment les reconnaître afin d’éviter de tomber dans ces sinistres escroqueries. 

 

Sécurité des informations de connexion

 

Beaucoup d’entreprises ont déplacés la plupart de leurs données et processus sur des plateformes localisées sur le cloud. Cela a entraîné une forte augmentation du vol d’informations, car c’est le moyen le plus facile de violer les outils cloud Saas.  

 Le vol d’identifiants est maintenant la première cause de violation de données dans le monde. Nous pensons, chez Nexxo, que cela en fait un sujet essentiel à aborder avec votre équipe. Discutez du besoin de garder les mots de passe sécurisés et l’utilisation de mots de passes fort. De plus, aidez-les à apprendre certains outils, comme d’un gestionnaire de mots de passes, par exemple.  

 

Sécurité des appareils mobiles

 

À Montréal, les appareils mobiles sont maintenant utilisés pour une grande partie de la charge de travail au bureau. Ils sont pratiques pour lire et répondre à un courriel de n’importe où. La plupart des compagnies ne considèrent même pas l’utilisation d’un logiciel de nos jours s’il n’existe pas une excellente application mobile.

 Revoyez les besoins en matière de sécurité pour les employés qui accèdent aux données et applications de l’entreprise. Une bonne solution serait de sécuriser le téléphone avec un mot de passe et de le maintenir convenablement à jour.  

 

Sécurité des données

 Les réglementations sur la confidentialité des données est un autre sujet qui a gagné en ampleur au cours des années. La plupart des entreprises ont plus d’une régulation des données qui doit être respectées. 

Formez les employés sur la bonne marche à suivre concernant les procédures sécuritaires sur la gestion des données. Cela réduit le risque que vous soyez victime d’une fuite ou d’une violation de données pouvant entraîner une pénalité de conformité coûteuse. 

 

Besoin d’aide pour former votre équipe à la cybersécurité ?

 

Débarrassez-vous de la charge de la formation et formez votre équipe par des professionnels de la cybersécurité. Chez Nexxo, à Montréal, nous pouvons vous aider avec un programme de formation engageant. 

---

À Propos de Nexxo

Nexxo Solutions informatiques est une entreprise qui se spécialise dans la prestation de services informatiques et technologiques auprès des entreprises québécoises. Sa mission est d’offrir aux entreprises québécoises des services informatiques adaptés à leurs besoins. En agissant comme un département T.I. externe, elle prend en charge toutes les tâches informatiques d’une entreprise pour lui permettre de se concentrer sur ses activités d’affaires. Elle y arrive en collaborant étroitement avec ses clients et en mettant leurs intérêts au centre de ses préoccupations.