La cybersécurité est un enjeu crucial pour la protection des données et des systèmes informatiques. La sensibilisation à la cybersécurité a pour objectif d’informer vos collaborateurs sur les risques, et mettre en place des mesures pour les prévenir. Cependant, vous pouvez faire face à des objections telles que l’inconscience, minimisation du problème ou la complexité du sujet. Il faut donc appréhender ces freins afin de les surmonter et de garantir une sensibilisation à la cybersécurité optimale.

« Je ne vois pas l’intérêt »

La cybersécurité est un sujet de plus en plus évoqué dans les médias, notamment avec la hausse des attaques et des nouvelles menaces que l’on peut rencontrer. Cependant, même s’il s’agit d’un sujet indispensable et important, il n’est pas pour autant forcément acquis par tous. La première objection que vous pouvez donc rencontrer est l’ignorance des menaces qui nous entourent. Le collaborateur peut savoir dans les grandes lignes ce qu’est la cybersécurité, mais sans réellement avoir conscience de l’ampleur et des réelles attentes.

 

Ainsi, il est important dans votre discours de rappeler l’impact des potentielles menaces sur l’entreprise et son activité :

  • Perte des données
  • Violation des informations privées
  • Interrompt l’activité partiellement, réduisant ainsi la productivité
  • Perte de chiffre d’affaires
  • Mauvaise image et perte de confiance client/partenaire

Il faut donc faire prendre conscience du risque, en informant précisément, avec des illustrations claires et précises. Par exemple, en utilisant des récentes attaques qu’il y a pu avoir et les conséquences qu’elles ont eues.

Impact des attaques sur l'entreprise (1)

« Je ne suis pas la cible »

On peut penser que seules les grandes entreprises sont les cibles des cyberattaques. Or, ce n’est pas le cas ! De nombreuses TPE et PME en sont également victimes. D’après l’étude Verizon, 43% des cyberattaques visaient des PME en 2021. Les pirates informatiques s’y intéressent car elles ne disposent pas des mêmes dispositifs de sécurité que les grandes entreprises. Elles sont souvent moins bien protégées et il est donc plus facile d’hacker leurs systèmes informatiques.

Comme les accidents quotidiens, tant qu’on n’est pas victime d’une cyberattaque, on ne prend pas réellement conscience des risques auxquelles on s’expose. On peut penser que ça n’arrive qu’aux autres, ce qui est une grave erreur. Toute entreprise et tout utilisateur sont des victimes potentielles pour un hackeur.

Certains collaborateurs peuvent également ne pas y prêter d’importance car ils n’ont pas un accès aux données sensibles de l’entreprise. Or, même s’ils n’ont pas un accès direct, ils restent une porte d’entrée pour les hackeurs. En effet, ils sont connectés sur le même réseau que leurs collègues qui eux peuvent avoir accès aux données confidentielles et sensibles de l’entreprise.

De ce fait, dans votre campagne de sensibilisation, il est important de rappeler que tout le monde est concerné par les attaques. Chaque collaborateur, quel que soit son niveau hiérarchique, son métier ou le service dans lequel il travaille, doit être impliqué dans la cybersécurité de son entreprise.

« C’est une perte de temps et ça nuit à ma productivité »

Vos collaborateurs peuvent être réticent à la sensibilisation à la cybersécurité car ils pensent que cela prendrait trop de temps et que ça alourdirait leur planning déjà bien chargé. Aujourd’hui, les méthodes de sensibilisation sont beaucoup plus accessibles et s’intègrent mieux aux emplois du temps de chacun. Avec les e-learning ou les tests phishing, vos équipes pourront se former efficacement à la cybersécurité grâce à des formats courts sans surcharge d’information.

Certains utilisateurs également trouvent les règles trop contraignantes. Pour eux, la vigilance et les étapes de surveillance entraînent une perte de temps et ralentit leur productivité.

Il faut l’accorder, la sécurité demande un effort supplémentaire à fournir, mais un effort nécessaire. Vos collaborateurs prendront plus de temps à faire une tâche. Cependant, il faut rappeler que toutes ses règles sont mises en place pour éviter un arrêt partiel ou total d’activité en cas de cyberattaques. C’est un mal pour un bien. En étant plus vigilants et en appliquant les bonnes pratiques au quotidien,  on évite un arrêt partiel ou total qui lui nous fera perdre de précieuses minutes et de l’argent.

«Personne ne le fait réellement, pourquoi je m’embêterais ?»

Parfois, un collaborateur se permet de faire l’impasse sur une vérification ou sur une pratique de sécurité en partant du principe que ce n’est qu’une fois, et puis que « personne ne fait réellement toujours ce qu’il faut faire ».

D’après le baromètre de la cybersécurité 2022 du Cesin, uniquement 60% des collaborateurs respectent les règlementations. Rappelons que les utilisateurs sont la cause première des brèches de cybersécurité.  D’après le rapport d’enquête 2022 de Verizon, ils sont impliqués dans plus de 82 % des violations de sécurité. Selon Google, 4,2 % des e-mails de phishing sont ouverts par leurs destinataires et 12,4 % des liens sont utilisés**. Une personne sur huit qui reçoit un mail de phishing clique sur le lien malveillant qu’il contient.

C’est pour cette raison qu’il faut insister sur la mobilisation et la vigilance de TOUS, qu’il s’agit de règles de sécurité collectives ou individuelles. Il est important que tout le monde face de son mieux pour les respecter.  Si une personne s’octroie le droit d’en faire l’impasse, elle peut pénaliser l’ensemble d’une équipe en cas d’attaque.

En cybersécurité, vos collaborateurs doivent donc comprendre leur rôle à jouer dans la stratégie de cyberdéfense de l’entreprise, et ne pas le sous-estimer.

« C’est trop complexe pour moi »

La cybersécurité et tout ce qui l’entoure, peuvent sembler très techniques et hors de portée. Les personnes qui ne sont pas friand d’informatique peuvent penser que ce n’est pas dans leur capacité.

Pour cela, il existe désormais des méthodes de sensibilisation très interactives et ludiques, permettant de poser toutes les questions possibles. Elles amènent à la discussion et permettent de décomplexifier le sujet, afin qu’il soit bien compris par tous.

Vos équipes apprendront des gestes basiques, facile à adopter au quotidien, formant une réelle sécurité pour votre entreprise.

Quelques exemples de bonnes pratiques :

  • Mot de passe fort : éviter les suites de chiffres facilement retrouvables, 1234, date d’anniversaires…
  • Double authentification : en plus d’un mot de passe fort, vous pouvez mettre en place une double sécurité, avec par exemple la demande d’un code que vous recevez par sms ou mail
  • Faire des sauvegardes régulièrement et sur différents supports, notamment sur le Cloud par exemple, afin d’éviter en cas d’attaques une perte totale des données.
  • Effectuer les mises à jour à temps car celle-ci viennent renforcer des failles de la version précédente
  • Faire preuve de vigilance, par exemple sur les mails. Faire attention à l’émetteur, à la conception du mail, pour repérer toutes potentielles attaques.

« J’ai déjà les équipements de sécurité »

Les différentes solutions matériels ou logiciels de sécurité sont là pour protéger au mieux votre système d’information. Cependant, les attaques évoluent continuellement et leur but premier est de détourner ces protections. Pour rappel, les équipements de cybersécurité ne vous protégeront jamais à 100%.  Baser sa stratégie de cyberdéfense uniquement sur ces solutions de sécurité est vivement déconseillé.

Vos collaborateurs étant une cible de choix pour les cybercriminels, vous avez tout intérêt à mobiliser des ressources afin de les sensibiliser efficacement sur le sujet. Ainsi, ils deviendront un véritable rempart et non plus une porte ouverte à toute cyberattaque. Les solutions matérielles de sécurité sont certes indispensables, mais le comportement des utilisateurs face aux cybermenace est tout aussi important. C’est en ayant les deux acteurs solides que votre sécurité sera renforcée.