Alors que les Fêtes pourraient sembler un peu différentes cette année (merci pandémie), il y a des traditions qui ne changent pas. Donner des cadeaux, jouer avec les jouets technos, avoir des conversations bizarres avec des parents éloignés et boire un peu trop de lait de poule, voilà des activités fréquentes, peu importe les mesures de santé et sécurité qu’on a mises en place.
Il y a une autre tradition des Fêtes qui devient de plus en plus fréquente : les cyberattaques.
Les Fêtes représentent pour bien des raisons une période de prédilection pour les cybercriminels. Les employés sont occupés et distraits. Les boîtes de réception de courriels débordent de messages de commerçants agressifs et de membres de la famille à la fois passifs et agressifs. Les gens cliquent ici et là sur l’Internet pour tenter de dénicher le cadeau parfait. Ils participent à des appels sur Zoom et jouent en ligne avec des membres de la famille et des amis. Cette période déborde de distractions.
Un sondage que la Banque Scotia a réalisé l’an dernier a permis de constater que 60 % des Canadiens craignaient d’être victimes de fraude pendant la saison des Fêtes de 2019. Aux États-Unis, environ 1 courriel sur 11 000 est un courriel d’hameçonnage, mais lorsqu’on arrive en novembre, ce nombre augmente à près de 1 courriel sur 800 pour la saison des Fêtes.
Même si on ne connaît toujours pas les statistiques pour 2020, nous savons que la COVID-19 a donné lieu de façon générale à une augmentation du nombre de cyberattaques et de tentatives d’hameçonnage; par exemple, notre sondage annuel sur la cybersécurité nous a permis de constater qu’un peu plus de 1 organisation canadienne sur 4 a été la cible d’un incident de cybersécurité ayant la COVID-19 pour thème. Lorsqu’on considère que 48 % des Canadiens prévoient faire la plupart, sinon tous leurs achats en ligne cette année, nous ne pouvons que présumer que le nombre d’arnaques et de fraudes en cette saison des Fêtes sera parmi les plus élevés que nous ayons vus.
Pour les équipes de TI et de cybersécurité, cela signifie que les mois de novembre et décembre représentent une occasion en or de diffuser une campagne de sensibilisation au sein de leur organisation en priorisant les risques spécifiques qui augmentent pendant la saison des Fêtes, comme les voyages, l’utilisation des appareils personnels et les arnaques d’hameçonnage qui concernent spécifiquement le magasinage et les offres des Fêtes.
Dans ce message, nous aborderons plusieurs des gestes que vous pouvez poser pour impliquer vos employés dans une campagne de sensibilisation à thématique des Fêtes au cours des prochaines semaines afin de vous protéger, ainsi que pour protéger votre organisation.
Annoncez votre campagne au cours d’une assemblée générale ou d’une réunion regroupant l’ensemble des employés
Chaque campagne de sensibilisation doit faire l’objet d’un lancement pour intéresser les gens et créer un engouement.
Si vous organisez une réunion périodique au sein de l’entreprise, comme une assemblée générale, demandez qu’on vous laisse 15 minutes pour parler de la cybersécurité pendant la période des Fêtes.
Si vous n’avez pas accès à une telle réunion, enregistrez-vous sur une vidéo que vous partagerez par courriel ou dans votre outil de messagerie interne.
Il est important de donner un visage à vos programmes, si possible. Même si cela peut sembler intimidant au départ, les gens qui vous verront parler de votre campagne de sensibilisation seront incités à vraiment participer et sentiront que cette campagne a été conçue précisément à leur intention et pour votre organisation.
Au cours de votre lancement, vous devriez aborder de front le problème que vous tentez de résoudre dans un langage facile à comprendre et qui n’est pas intimidant pour les employés non techniques. Pour cette campagne, vous allez vouloir parler de certaines des menaces importantes qui sont spécifiques aux Fêtes (comme celles dont on fait mention ci-dessus), de ce qui peut arriver si un criminel réussit une de ces attaques et, surtout, de la façon dont vous allez former vos employés au cours des prochaines semaines. Le but, c’est de les sensibiliser et non de les punir.
Vous n’êtes pas obligé de vous occuper seul de cet aspect. Nous recommandons fortement que les équipes du marketing, des communications ou des RH participent à tous les programmes de sensibilisation à la cybersécurité, puisqu’ils ont l’habitude de s’adresser aux gens. Ils peuvent vous aider à élaborer des présentations, des courriels et des vidéos pour attirer l’attention de vos employés et même vous aider à faire en sorte que votre campagne soit amusante.
Offrez un cours supplémentaire de formation de sensibilisation
Vous n’êtes pas obligé d’offrir un cours portant spécifiquement sur la « cybersécurité pendant les Fêtes » – mais si vous avez accès à un tel cours, il pourrait être intéressant de l’offrir.
Au moment de choisir le cours que vous donnerez, vous devriez prioriser une formation portant sur les principales menaces qui, d’après vous, représentent un risque pour votre organisation. Si vous croyez que l’utilisation des appareils personnels représente le principal risque pour votre organisation, il pourrait s’agir là un principal sujet que vous aborderez tout au long de votre campagne, entre autres, en donnant un cours consacré à ce sujet.
S’il n’y a aucune menace particulière dont vous souhaitez parler, il existe plusieurs sujets formidables sur lesquels il est plus important de se concentrer pendant les Fêtes :
- La sécurité du réseau à domicile
- Les appareils de l’Internet des objets (IdO)
- L’ingénierie sociale et les arnaques d’hameçonnage
- Le télétravail
Au moment de donner votre cours, prenez le temps d’énoncer les raisons pour lesquelles vous donnez ce cours en particulier. Par exemple, vous pourriez souhaiter parler de l’augmentation du nombre d’arnaques d’hameçonnage pendant les Fêtes, alors que les criminels essaient de se faire passer pour des détaillants ou des membres de votre famille. Grâce à ce contenu additionnel, votre formation semblera plus pertinente aux yeux de vos employés.
Si vous êtes incapable de donner un cours avant les Fêtes, ne vous en faites pas – la nouvelle année représente une occasion unique pour donner un cours de recyclage annuel sur la cybersécurité à tous vos employés.
Procédez à une tentative d’hameçonnage ayant pour thème le magasinage ou les Fêtes
Votre didacticiel et vos communiqués n’ont aucune utilité, à moins que vos employés n’apprennent concrètement en recevant un courriel d’hameçonnage dans leur boîte de réception.
Si vous procédez déjà à des essais d’hameçonnage mensuels ou périodiques, cette étape est facile; remplacez simplement votre modèle d’hameçonnage générique par un autre qui évoque les menaces liées aux Fêtes dont vous parlez.
Il existe plusieurs modèles que vous pouvez utiliser pour commencer :
- Avis de livraison
- Bulletins de mise en marché d’un détaillant
- Organisme de bienfaisance demandant un don
- Cartes-cadeaux
- Échange de cadeaux avec des collègues ou des membres de la famille
Si vous utilisez un outil d’essai d’hameçonnage qui est sophistiqué, vous pouvez même adapter ces modèles pour leur donner une tournure festive. Évitez que vos essais soient trop compliqués, parce que vous risqueriez de frustrer vos employés plutôt que de leur offrir une formation efficace.
Pour ceux qui ne procèdent habituellement pas à des essais d’hameçonnage, c’est l’occasion idéale de commencer. Vous pouvez insinuer dans vos messages de lancement que vous procéderez à un essai d’hameçonnage dans le cadre de cette campagne en vous assurant de réserver un certain temps pour expliquer ce qu’est un essai d’hameçonnage et la façon dont vos employés peuvent signaler un courriel suspect – véritable ou simulé – que votre équipe devra examiner.
Déployez facilement des tests de hameçonnage automatisés mensuels à tous vos employés grâce à la formation de sensibilisation à la cybersécurité de CIRA
Envoyez un bulletin hebdomadaire
Tout au long de votre campagne, vous devriez envoyer un bulletin hebdomadaire comportant des conseils, des pratiques exemplaires, des nouvelles, des ressources et des messages de blogue portant sur les différentes menaces qui existent à l’occasion des Fêtes.
Si possible, essayez d’établir un lien entre les courriels que vous rédigez et les politiques de l’organisation. Par exemple, si vous partagez un message de blogue sur la façon d’utiliser vos appareils personnels de manière sécuritaire lorsque vous travaillez à distance, inscrivez un lien additionnel menant à la politique de votre organisation au sujet des appareils.
Vous pouvez également utiliser ce bulletin pour expliquer les étapes suivantes ou les paramètres de votre campagne de sensibilisation. Par exemple, si vous procédez à un essai d’hameçonnage ayant les Fêtes pour thème, partagez ces résultats dans votre bulletin afin que les gens sachent comment l’organisation s’en est sortie de manière générale.
Il existe de nombreux outils gratuits qui vous aideront à créer facilement de jolis courriels. Il s’agit là d’un domaine clé où un collègue du marketing ou des communications peut vous prêter main-forte. Si vous êtes incapable de créer un courriel qui se démarque, un courriel ordinaire agrémenté de quelques photos fera l’affaire.
Parlez de la façon de protéger vos familles pendant les Fêtes
Il arrive qu’il soit difficile d’amener les gens qui vous tiennent à cœur à s’intéresser à la cybersécurité. Une façon d’attirer l’attention des gens consiste à décrire la façon dont l’éducation que vous transmettez peut aider à les protéger et à mettre leur famille à l’abri à l’extérieur du travail.
C’est encore plus important alors que nous prenons tous une pause à l’occasion des Fêtes et réservons un temps pour visiter la famille et ajouter de nouveaux jouets et appareils à leurs réseaux à domicile.
La formation de sensibilisation sur la cybersécurité vise généralement à amener vos employés à s’intéresser un peu plus à la cybersécurité en général. Même s’ils ignorent tout de la façon de se protéger au travail, mais s’ils posent des gestes positifs afin de se protéger à la maison, vous devriez quand même considérer qu’il s’agit là d’un pas dans la bonne direction. Plusieurs de ces comportements auront éventuellement des répercussions au sein de votre organisation!
Amusez-vous et donnez des incitatifs
Mais surtout : C’est la période des Fêtes. Alors, amusez-vous au cours de votre campagne de sensibilisation!
Il n’est pas nécessaire que la formation de sensibilisation à la cybersécurité soit ennuyante et, une fois de plus, il s’agit vraiment de l’occasion où votre équipe des communications peut vous aider à créer une campagne divertissante qui rallie les employés et qui fait en sorte que votre campagne porte fruit.
Par exemple, si vous enregistrez une vidéo de lancement pour votre campagne, déguisez-vous. Insérez des photos de bas de Noël dans vos bulletins par courriel ou dans vos cours. Demandez à votre service de la TI de faire parvenir à tous vos employés des cartes comportant un poème sur la cybersécurité. Cela peut sembler ridicule, mais il peut s’agir d’un moyen efficace de prendre une pause au travail et de bien faire comprendre vos messages de formation.
Comme c’est toujours le cas, tenez compte de ce qui convient pour votre organisation. Restez professionnel, utilisez un langage approprié et veillez à ce que vos références aux Fêtes restent neutres dans la mesure du possible.
Enfin, vous pouvez utiliser des incitatifs en guise de renforcement positif à l’intention des employés qui participent à votre campagne de formation de sensibilisation. Par exemple, vous pouvez inscrire le nom des employés qui ont suivi vos cours sur la cybersécurité à un tirage d’un panier-cadeau des Fêtes rempli de gâteries provenant des entreprises locales.
Peu importe les activités que vous prévoyez, assurez-vous que votre campagne est positive et soulignez-en les résultats. Les Fêtes peuvent être propices aux incidents de cybersécurité et aux arnaques, de sorte que vous ne devriez pas essayer d’augmenter le sentiment de peur et l’obligation de conformité en ces temps déjà difficiles. Amusez-vous, récompensez les comportements positifs et voyez tout ça comme une occasion d’apprendre. Si vous faites ces choses, vous terminerez l’année avec une campagne de sensibilisation à thématique des Fêtes invitante et couronnée de succès qui fera apparaître un sourire chez vos employés et qui leur enseignera une chose ou deux sur la façon de se protéger.
Allez au-delà des vacances et éduquez votre personnel toute l’année avec la formation de sensibilisation à la cybersécurité de CIRA
Jon champions the people-side of cybersecurity as the marketing lead for CIRA’s cybersecurity awareness training platform. His background in enterprise data marketing and teaching organizational behaviour at the university level allows him to develop resources for Canadian businesses to help them engage their employees and empower them to reduce their cyber risk.
