S'abonner
Verrous
Apprentissage et formation

Former à la sensibilisation à la Cybersécurité : une priorité en 2025

La cybersécurité s'impose comme un enjeu quotidien pour les entreprises. Selon les dernières statistiques, 53% des entreprises françaises ont subi une attaque en 2022, contre 48% en 2021. Cette augmentation alarmante de 5 points en seulement un an souligne l'urgence de renforcer les défenses numériques pour assurer la sécurité des systèmes d’information. La formation des collaborateurs est indispensable : ce sont les premiers remparts contre ces menaces. C’est aussi pour cela que les métiers de la cybersécurité sont en plein essor.

Les conséquences dévastatrices d’une mauvaise cybersécurité

Les conséquences des cyberattaques vont bien au-delà des pertes financières immédiates. Elles engendrent une perte de confiance des clients, des interruptions d'activité et, dans les cas les plus graves, peuvent conduire à la faillite de l'entreprise. Le coût moyen d'une cyberattaque, bien que légèrement en baisse, reste élevé : environ 14 720€ en 2023, contre 15 640€ en 2022. Cependant, une entreprise sur huit rapporte des coûts dépassant les 230 000€, illustrant la gravité d’attaques plus dommageables.

Les collaborateurs : premier rempart face aux risques

Face à ces menaces et aux potentielles vulnérabilités, les entreprises doivent renforcer leur posture de sécurité. Le premier rempart contre les cyberattaques ? Les employés eux-mêmes. Une formation régulière est essentielle pour éviter les pièges tendus par les cybercriminels, notamment les attaques de phishing (ou hameçonnage).

Quelles sont les principales formes de cyberattaques ?

Les cyberattaques prennent diverses formes :

  • Hameçonnage (Phishing) : Les cybercriminels se font passer pour une entité de confiance pour obtenir des informations sensibles, souvent par le biais d’email.
  • Rançongiciels (Ransomwares) : Des logiciels qui chiffrent les données et exigent une rançon pour les déchiffrer.
  • Attaques par Déni de Service Distribué (DDoS) : Des attaques qui surchargent un service en ligne pour le rendre indisponible, le plus souvent en rendant un site Internet inaccessible.
  • Ingénierie Sociale : Des techniques de manipulation pour obtenir des informations confidentielles, comme dans le cas d’une prétendue demande urgente de virement de la part du directeur à son service comptabilité.

Quelles sont les situations à aborder pour la sensibilisation ? 

La plupart des attaques résultent d'erreurs humaines, comme le clic sur un lien malveillant ou l'utilisation de mots de passe faibles. La formation des employés est donc un pilier de la stratégie de cybersécurité. Elle doit inclure des sujets tels que :

  • Gestion des mots de passe : Utilisation de mots de passe complexes et changement régulier.
  • Mise à jour des logiciels : Importance de maintenir les systèmes à jour, pour limiter les failles de sécurité.
  • Vigilance sur les emails : Reconnaître les emails suspects.
  • Contrôle des accès : Verrouillage des sessions, lors d’une pause et gestion attentive des périphériques, comme les clés USB.

Quelles méthodes pédagogiques pour sensibiliser à la cybersécurité ?

Les sessions de formation en présentiel permettent des échanges interactifs et la clarification immédiate des doutes. L'e-learning, avec des modules en ligne, aborde des cas concrets comme l'utilisation sécurisée des réseaux sociaux et la gestion des mots de passe. Une approche en blended learning, combinant présentiel et e-learning, offre une solution complète pour renforcer la résilience des entreprises.

Les types de formation à la cybersécurité

En matière de cybersécurité, l’exemple est roi. Les formations comportent des :

  • Études de Cas : Exemples concrets, issus d’entreprises du même secteur ou de même taille.
  • Ateliers Pratiques : Reconnaissance d'emails frauduleux ou préconisation sur le choix des mots de passe.

Des tests de Phishing positionnés avant et après la formation peuvent venir compléter le temps de formation, servir d’évaluation et d’exemples concrets.  
En termes de contenus, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) partage de l’information et des données sur la cybersécurité en France. Ses vidéos et ses chiffres permettent d’illustrer les cas fréquents en entreprise en tenant compte de l’actualité de la cybercriminalité.  
Voici l’exemple d’une association sensibilisée à la cybersécurité après un test de phishing.

L’exemple d’un scénario 

A partir d’un email frauduleux, montrer les 5 points à vérifier : 

  • Nom de domaine : Exactitude du nom de domaine de l'expéditeur.
  • Urgence et menace : Messages créant un sentiment d'urgence.
  • URL : Survol des liens (sauf internes).
  • Erreurs de langue et autres : Présence de fautes d'orthographe.
  • Offre trop belle : Propositions trop alléchantes pour être vraies.

Il s’agit de montrer exactement les éléments et de sensibiliser tous les collaborateurs, y compris ceux qui sont peu familiers avec ce qu’est un nom de domaine ou qui ne connaissent pas le principe du survol d’un nom de domaine. 

L’objectif : une hygiène numérique générale

La formation à la cybersécurité est non seulement professionnelle mais elle fait aussi écho dans la vie personnelle. C’est tout l’intérêt de ces formations où il est possible de trouver des situations qui parlent à tous. La vigilance nécessaire lors de l’usage de réseaux Wi-Fi publics est nécessaire pour tous. C’est une bonne illustration d’un risque de cybersécurité qui touche le professionnel en déplacement comme n’importe quel individu dans une gare !

A quoi s’attendre en 2025 ?

Plusieurs tendances majeures se dessinent :

  • Exploitation de l'IA par les cybercriminels : Utilisation de l'intelligence artificielle pour des attaques plus sophistiquées, toujours plus réaliste.
  • Ciblage des chaînes d'approvisionnement de l'IA : Compromission des données sensibles des fournisseurs d'outils d'IA générative.
  • Augmentation des attaques sur les infrastructures critiques : Secteurs de l'énergie, de la santé et des télécommunications particulièrement visés.

En conclusion, la formation à la sensibilisation à la cybersécurité doit être une priorité pour les départements Learning & Development (L&D) en 2025. En investissant dans ces programmes de formation et en restant informées des tendances émergentes, les entreprises peuvent renforcer leur résilience face aux cybermenaces et se protéger des cyberattaques.

Pour aller plus loin :

fr-photo-formation-réglementaire-mode-emploi
Article
Formation réglementaire : mode d'emploi pour ne pas se perdre
Formations réglementairesExpertise interneDéveloppement des compétences
Lire l'article
Webinaire
Formation à la cybersécurité :Dites adieu à la faille humaine
Formations réglementairesFormation digitale
Regarder le webinaire
fr-photo-formation-reglementaire-escape-game
Article
Formation réglementaire : comment dépasser 92 % de taux de completion grâce à l'escape game ?
Formations réglementairesDigitalisationGamification
Lire l'article