Du 1er au 31 octobre, chaque année, la France participe au Mois européen de la cybersécurité (Cybermois), une campagne pilotée au niveau européen par l’ENISA et coordonnée en France par Cybermalveillance.gouv.fr, en lien étroit avec l’ANSSI. L’objectif est de sensibiliser massivement les citoyens, les entreprises et les collectivités à adopter les bons réflexes face aux menaces numériques.
Selon une enquête Ipsos pour Cybermalveillance.gouv.fr (le dispositif national d’assistance aux victimes de cybermalveillance et de sensibilisation aux risques numériques), 58 % des Français estiment être suffisamment informés sur les risques liés à l’utilisation d’internet.

Intensifier les communications
Bien entendu, l’entreprise ne doit surtout pas attendre le mois d’octobre pour sensibiliser ses employés aux bonnes pratiques de cybersécurité et d’hygiène informatique. Cependant, il faut profiter de ce mois dédié au niveau européen pour intensifier les actions de sensibilisation dont la communication. En effet, un utilisateur non averti des risques de cybersécurité auxquels il est sujet (phishing, arnaque au président, corruption, etc.) sera plus à même de tomber dans le piège d’un cyberattaquant.

Organiser une journée d’activités de sensibilisation
Investir dans la sensibilisation de ses employés, c’est investir dans la cybersécurité de son entreprise. C’est pourquoi dédier une journée au sein de son entreprise avec des activités rapides autour de la cybersécurité est essentiel. Ces activités permettront à chaque employé de venir entre deux réunions assister à une courte démonstration de hack technique en direct ou de présentation des bonnes pratiques de cybersécurité. Ces présentations permettent également de rappeler les processus internes de l’entreprise concernant la cybersécurité (signalement, bons réflexes…).

Tester les réflexes de cybersécurité
Sensibiliser à la cybersécurité générale les employés de son entreprise est une étape primordiale. Mais il faut aussi vérifier l’efficacité en conditions réelles. 

Communications

• E-mail : Parution sous le format de mini-article concernant un sujet en particulier en cybersécurité qui a beaucoup touché l’entreprise. Rappel des processus internes de l’entreprise avec les actions à effectuer dans le cas d’une suspicion d’attaque.
• Post Teams/Slack/Viva Engage : Quels que soient les moyens de communications instantanées utilisés dans l’entreprise, effectuer des rappels de bons réflexes de cybersécurité et des ressources documentaires utiles (Cybermalveillance.gouv.fr).
• Bannière intranet : Communication sur le Cybermois.

Journée de sensibilisation

• Atelier « Phishing » : Présentation des différentes techniques d’hameçonnage avec les réflexes à avoir pour les détecter et les signaler au sein de votre entreprise.
• Atelier « Sensibilisation cyber » : Présentation des bonnes pratiques de cybersécurité, des processus internes de l’entreprise et comment adopter une hygiène informatique au bureau comme à la maison.
• Atelier « Hack » : Proposer la démonstration de techniques avancées de hacking utilisées par le cyberattaquant : Rubber Ducky, Flipper Zero, etc.

Indicateurs

• Audience : Quel était le taux de participation aux sessions de sensibilisation lors du Cybermois (ou de l’année) ?
• Engagement : Combien de personnes ont suivi les cours en ligne et complété les quiz sur la cybersécurité générale ?
• Réflexes : Pourcentage de signalements des mails douteux lors de campagnes internes de phishing.

• Kit de communication pour le Cybermois (Cybermalveillance.gouv.fr)
• Kit de sensibilisation aux risques numériques (Cybermalveillance.gouv.fr)
• Ressources pour créer votre évènement cyber (Cybermalveillance.gouv.fr)
• E-sensibilisation SensCyber : Apprendre et tester vos connaissances (Cybermalveillance.gouv.fr)
• Sensibiliser, développer ses compétences et s’entrainer (ANSSI)

Vous l’aurez compris, la réponse efficace pour sensibiliser les utilisateurs de son entreprise c’est de mettre en place tout au long de l’année des périodes de sensibilisation à la cybersécurité générale, avec :

• Des supports en ligne (exemple : MOOC);
• Des journées dédiées avec des activités autour de la cybersécurité;
• Des communications internes.

Une fois les sensibilisations délivrées, il faut vérifier leur efficacité avec des quiz de cybersécurité et des campagnes internes de phishing.