Attaque de TV5Monde : sensibilisez vos collaborateurs !

co-écrit par Florian.

Dans la nuit du 8 au 9 avril dernier, TV5Monde a été victime d’une attaque informatique. Les pirates se sont tout d’abord attaqués aux serveurs, puis ont pris le contrôle des comptes Facebook et Twitter, ainsi que du site Internet de l’entreprise. 

Les dernières informations à propos de cette attaque indiquent que les pirates se seraient introduits dans le système d’information de la chaîne de télévision par le biais de l’ingénierie sociale : l’abus de confiance et l’exploitation de failles humaines pour arriver à ses fins. En effet, en janvier dernier, tous les journalistes de la chaîne avaient reçu un mail de phishing (ou « hameçonnage »), et trois d’entre eux ont ouvert la pièce jointe au mail, ce qui a eu pour effet d’installer un cheval de Troie sur leur machine.

Un incident similaire à celui de TV5Monde pourrait se produire dans votre entreprise. Alors pourquoi ne pas profiter de cette occasion pour débuter une campagne de sensibilisation qui saura toucher vos collaborateurs ?

Comment mettre en place une campagne de sensibilisation et faire en sorte qu’elle soit un succès ?

 

Comment préparer ma campagne de sensibilisation ?

  • Définissez les sujets prioritaires à adresser, qu’il s’agisse de bonnes pratiques ou de scénarios fréquents d’attaque : choix du mot de passe, prêt de session, ingénierie sociale… ou tout autre sujet spécifique à votre métier. Votre campagne de sensibilisation sera d’autant plus efficace qu’elle sera adaptée aux différents utilisateurs : on aborde des sujets différents avec des approches différentes selon que l’on a affaire à des équipes d’architectes ou au département des achats.
  • Rapprochez-vous du département de communication pour communiquer selon les codes de votre entreprise, soyez créatifs et positionnez-vous sur des canaux et des formats originaux.
  • Définissez les actions nécessaires pour mesurer le niveau de connaissance des utilisateurs sur ces points prioritaires : envoyez des mails piégés et relevez la proportion d’utilisateurs qui ouvrent la pièce jointe, simulez une contamination des PC et voyez en combien de temps les utilisateurs signalent l’incident au helpdesk…
  • Démarrez votre campagne de sensibilisation en mesurant le niveau de connaissance actuel des utilisateurs cible : cela vous permettra par la suite de suivre l’évolution des comportements au fil de la campagne.

Comment faire de ma campagne un succès ?

Impliquez les collaborateurs et adoptez des supports ludiques (quiz, concours…) pour assurer l’adhésion tout au long de votre campagne :

  • Lancez vos actions de sensibilisation en marquant les esprits: faites le « buzz » ! Pendant un mois, menez de nombreuses actions et martelez les esprits. Organisez des « stands sécurité », mettez des affiches dans les lieux de passage, distribuez des goodies, diffusez des vidéos, animez les pauses déjeuner de la cantine avec des discours sécurité, organisez des jeux-concours… soyez créatif !
  • Lancez ensuite vos actions de fond, celles qui seront récurrentes et qui vont « entretenir les mémoires » : organisez par exemple « les sessions de la sécurité »  2 à 3 fois par an pour chaque profil identifié, diffusez une newsletter pour partager l’actualité de la cybersécurité et rappeler les bonnes pratiques…

N’oubliez pas de mesurer régulièrement l’évolution des comportements!

L’efficacité des campagnes de mesure garantiront la pertinence de votre campagne de sensibilisation. L’exploitation et la comparaison des résultats de deux mesures sont en effet un moyen de détecter les lacunes des collaborateurs et de faire un focus sur les sujets mal maîtrisés lors des prochaines sessions de sensibilisation.