Au cours de l’année écoulée, près de 87 % des entreprises ont subi au moins une intrusion pouvant être attribuée au déficit de compétences cyber, et 51 % des dirigeants ont subi des sanctions financières directes à la suite d’une cyberattaque. Ces conséquences montrent qu’il est plus important que jamais de disposer des bonnes compétences et de proposer une formation adéquate aux dirigeants et aux employés. 60 % des chefs d’entreprise déclarent qu’ils aimeraient introduire une telle formation sur le lieu de travail.

Les cybermenaces devenant de plus en plus sophistiquées, il n’est pas surprenant que, selon l’étude Fortinet 2024 Cybersecurity Skills Gap Report, 87 % des entreprises ont subi au moins une intrusion l’année dernière due à un manque de compétences en cybersécurité. Les chefs d’entreprise craignent également à juste titre que ces tactiques d’attaque émergentes, en particulier celles qui font appel à l’IA, soient plus difficiles à repérer et à bloquer que les cyberattaques « traditionnelles ». C’est ce que montre aussi l’enquête annuelle de la Fédération des entreprises de Belgique (FEB) et du groupe d’assurance Ageas.

En matière de cyber incidents, les enjeux sont de plus en plus importants. Les brèches consomment du temps et de l’argent, et les dirigeants d’entreprise sont plus souvent tenus pour responsables lorsque des attaques se produisent. 51 % des personnes interrogées indiquent que des directeurs ou cadres dirigeants ont subi des sanctions financières, des peines de prison ou une perte de poste à la suite d’une cyberattaque. Au niveau du conseil d’administration, cela signifie qu’une plus grande attention est accordée à la cybersécurité, 72 % des personnes interrogées déclarant que les dirigeants sont plus attentifs à la cybersécurité que l’année précédente. Les équipes de sécurité subissant plus de pressions internes et externes, les entreprises doivent impérativement adopter une approche globale de la gestion des risques.

Les employés comme première ligne de défense

Une équipe de professionnels compétents et les technologies de sécurité appropriées sont des aspects essentiels de la protection de toute entreprise. Cependant, le Mois de la sensibilisation à la cybersécurité rappelle aux organisations que la cybersécurité est l’affaire de tous sur le lieu de travail, et pas seulement de l’équipe de sécurité. L’une des meilleures défenses contre les cybercriminels reste les employés eux-mêmes. Après tout, la solidité d’un système de sécurité dépend de celle de son maillon le plus faible. Lorsque les employés possèdent les connaissances nécessaires, ils constituent une solide première ligne de défense contre la cybercriminalité. L’année dernière, 80 % des organisations ont été confrontées à des attaques variées telles que des logiciels malveillants, du phishing et des attaques par mot de passe ciblant directement les utilisateurs ; il est donc essentiel de sensibiliser les employés. Selon une étude de Febelfin, la fédération du secteur financier belge, les criminels ont pu à nouveau s’emparer d’environ 40 millions d’euros par le biais du phishing en 2023.

La formation de sensibilisation à la cybersécurité devrait faire partie de la stratégie de gestion des risques de chaque entreprise. La bonne nouvelle, c’est que 60 % des dirigeants déclarent vouloir mettre en place des programmes de formation à cet effet.

Caractéristiques d’une stratégie de sécurité solide

Qu’il s’agisse d’élaborer un programme de formation à la cybersécurité pour la première fois ou de réorganiser une initiative existante, il convient de commencer par définir les objectifs, puis le format et son calendrier. Partager ses idées avec les équipes est un excellent moyen d’affiner le plan et d’identifier les personnes des différents services qui peuvent devenir les champions de l’effort dans l’ensemble de l’organisation. Chaque programme de sensibilisation à la cybersécurité doit être unique avec un contenu adapté aux besoins de l’entreprise en question. Cependant, il existe des connaissances élémentaires en matière de cybersécurité que chaque personne doit posséder, quel que soit son secteur d’activité ou son organisation. Des sujets essentiels qui devraient être abordés lors de la formation comprennent l’utilisation de mots de passe forts, l’authentification multifactorielle, la sensibilisation à l’hameçonnage et l’importance des mises à jour logicielles.

Une culture d’entreprise consciente de la cybersécurité

Les initiatives de formation et de sensibilisation à la sécurité jouent un rôle primordial dans la lutte contre la cybercriminalité. Elles aident à créer une culture de la cyber dans laquelle les employés sont plus à même de reconnaître les attaques et d’éviter de s’y laisser prendre. Certaines entreprises choisissent de développer des formations de sensibilisation à la sécurité en interne, mais pour celles qui ne disposent pas des ressources nécessaires, il existe des offres SaaS de grande qualité qui proposent un programme complet et clé en main.

Alors que le paysage des menaces s’intensifie, il n’y a pas de meilleur moment pour créer ou réévaluer votre programme de sensibilisation et de formation à la cybersécurité. L’implication de l’ensemble des membres de l’entreprise en ce sens est nécessaire et bénéfique pour tous.

Auteur : Filip Savat, Regional Director BeLux chez Fortinet