Le Guide du directeur informatique qui donne des conseils sur la sécurité aux employés

Le Guide du directeur informatique qui donne des conseils sur la sécurité aux employés

En tant que directeur informatique, la sécurité figurera parmi les principales priorités de votre organisation.

S'assurer que tout ce que vous faites est à l'abri des pirates informatiques et que les informations sensibles ne sont pas violées est une lutte constante. En cas de violation de la sécurité, vous devez pouvoir gérer rapidement la situation et réduire les dommages qui en résultent.

Rien ne peut être plus frustrant que de constater que la complaisance d'un employé est responsable d'une violation de la sécurité. Avec le nombre d'e-mails de rançonnage en hausse, il est plus important que jamais de sensibiliser vos employés sur la façon dont ils peuvent être protégés.

Souligner l'importance de leur rôle en tant qu'employé

Les professionnels de l'informatique doivent savoir que l'erreur humaine peut grandement contribuer aux violations de la sécurité dans les organisations.

62 % des fuites de données entre janvier et avril 2016 ont été causées par une erreur humaine. - Journaliste économique

Cette information doit être transmise à vos employés afin qu'ils sachent dans quelle mesure leur manque de sécurité peut affecter toute l'entreprise.

De plus, enfreindre sciemment la politique informatique ou la politique d'utilisation acceptable de la société pourrait être considéré comme une faute grave.

Présenter les mauvaises pratiques courantes

En plus de souligner l'importance de l'impact individuel, assurez-vous de leur apprendre les mauvaises pratiques. Ouvrir des pièces jointes dans des e-mails malveillants et réutiliser des mots de passe professionnels pour des comptes personnels à plusieurs endroits sur le Web ne sont que deux exemples pouvant entraîner une grave violation des données.

63 % des violations confirmées de données ont impliqué l'utilisation de mots de passe faibles, par défaut ou volés. - Verizon, Rapport d'enquêtes sur les violations de données en 2016

Organiser une séance de formation

Si vous avez essayé d'envoyer un e-mail à vos employés, mais que vous découvrez que de mauvaises pratiques se retrouvent dans les habitudes quotidiennes, essayez d'organiser une séance de formation, ou engagez une société tierce qui pourra venir et le faire pour vous. La formation peut être longue ou courte, selon que vous le jugez nécessaire, pour que les employés prennent en compte ce que vous dites. Vous pouvez même élaborer ensemble un guide sur la façon d'être en sécurité en ligne, en mettant l'accent sur la cybersécurité sur le lieu de travail.

Se rendre accessible

Certaines des violations de données qui provoquent le plus de dommages sont celles que vous n'avez pas connaissance.

Il a fallu des mois ou des années pour découvrir que 70 % des violations impliquaient une utilisation abusive par un adepte. - Verizon, Rapport d'enquêtes sur les violations de données en 2016

Un employé a peut-être fait sciemment quelque chose, mais il est trop intimidé pour vous en parler et admettre ce qui s'est passé. Encouragez un dialogue ouvert et mettez l'accent sur l'importance de parler, malgré la gravité de la situation qui pourrait avoir un impact sur l'entreprise. Au bout du compte, il est plus important de connaître les violations potentielles dans la cybersécurité que de les laisser passer inaperçues.

Expliquer ce qu'est le ransomware

Considéré comme l'un des programmes malveillants les plus populaires utilisés lors d'un piratage, il est plus fréquent de recevoir des e-mails de rançonnage arrive au sein des entreprises. L'attaque WannaCry en est un exemple qui aurait infecté « jusqu'à 40 hôpitaux britanniques » le vendredi 12 mai.

Cette attaque a mis la sécurité interne au premier plan des priorités de la sécurité informatique et a souligné l'importance de sensibiliser les employés sur ce qu'est le ransomware et sur ce qu'ils doivent faire dans le cas où leur ordinateur aurait été pris en otage par la réception d'un e-mail de rançonnage.

Expliquer ce qu'est l'hameçonnage

Une autre pratique courante pour obtenir des informations sensibles est l'hameçonnage. Les employés non informés peuvent souvent être pris par l'hameçonnage. Il est donc important d'expliquer exactement ce qu'est l'hameçonnage et à quoi il ressemble ou de préparer un guide auquel les employés peuvent se référer quand ils ont des doutes. Gardez à l'esprit qu'un guide à lui seul ne suffit pas, car il n'y a aucune garantie que les employés l'aient lu.

En ce qui concerne la cybersécurité, vous ne pouvez pas être trop prudent. Nous avons dressé une liste des meilleurs conseils que vous pouvez inclure lors de la formation de vos employés sur la façon d'être sécurisé en ligne :

  • N'ouvrez jamais un formulaire en pièce jointe d'un expéditeur, d'une adresse électronique que vous ne connaissez pas ou d'un nom de fichier inhabituel.
  • Soyez vigilant lorsque vous suivez les liens dans les e-mails ; survoler le lien avec la souris avant de cliquer dévoilera le véritable lien URL.
  • Méfiez-vous des demandes ou d'un langage inhabituels d'un collègue dans un e-mail ; en cas de doute, appelez-les pour confirmer. 
  • Ne répondez jamais au courrier indésirable / spam ; vous et votre société pourriez être ciblés avec des efforts accrus.
  • Faites attention à la quantité d'informations personnelles disponibles sur vous dans le domaine public, et assurez-vous de supprimer tout ancien compte de réseau social et autres comptes que vous n'utilisez plus.
  • Ne réutilisez pas vos mots de passe, car compromettre un seul compte les compromet tous.

Astuce supplémentaire : Recommandez aux employés de vérifier si leurs comptes en ligne ont été violés sur : https://haveibeenpwned.com/

Bien que ces conseils contribuent largement à assurer la sécurité de vos employés, ces bonnes pratiques seules ne suffiront pas. Il est donc important de toujours disposer de mesures de sécurité suffisantes, telles qu'un antivirus à jour, des systèmes mis à jour, un pare-feu matériel, des points de terminaison restreints de sécurité, etc.

Insights for Professionals vous propose un accès gratuit aux thought leadership les plus récents de marques présentes à échelle mondiale. Nos abonnés bénéficient de contenu spécialisé de haute qualité créé ou regroupé pour les professionnels chevronnés. Pour consulter plus de contenu Informatique, cliquer ici.

Insights for Professionals