Saviez-vous que vous devez faire appel à un expert en ressources humaines pour lutter efficacement contre les cybermenaces ? Cela vous surprend ? Cela ne devrait pas. Bien sûr, il existe des experts techniques qui sont responsables de la cybersécurité au niveau des serveurs, des ordinateurs et des logiciels. Mais la sécurité de l’entreprise ne peut être assurée uniquement par des mesures techniques ; des mesures organisationnelles sont également nécessaires. Quelqu’un doit notamment former les employés à reconnaître les astuces des cybercriminels et à les contrer C’est là que l’expérience et les compétences des spécialistes en ressources humaines peuvent s’avérer utiles.
Pourquoi les mesures purement techniques ne sont pas suffisantes
Certains diront peut-être : » C’est à ça que servent les spécialistes de l’informatique et de l’Infosec servent ! « . Et c’est vrai. Partiellement. Le département informatique ou de sécurité fait probablement tout ce qu’il peut pour réduire le risque d’une attaque et en atténuer les conséquences éventuelles. Cependant, une seule erreur humaine peut réduire à néant la plupart de leurs efforts. En fait, tous les employés devraient garder à l’esprit les questions de cybersécurité. N’importe lequel d’entre eux pourrait involontairement porter un coup à la réputation et aux finances de l’entreprise. Il lui suffit d’ouvrir une pièce jointe malveillante ou de croire à un » message du patron » l’invitant à transférer de l’argent sur un compte inconnu.
Ces dernières années, les cybercriminels ont plus que jamais fait appel aux erreurs des employés et à leur manque de sensibilisation. Le hameçonnage est devenu le moyen le plus populaire pour mettre la main sur des données confidentielles, ce qui implique des tentatives de duper les gens pour qu’ils divulguent des informations en utilisant l’ingénierie sociale, des e-mails frauduleux ou de faux sites web. À notre époque, la sécurité de l’entreprise dépend de chaque employé, et l’entreprise doit informer chacun d’entre eux des règles de sécurité au travail.
Pourquoi les départements IT et Infosec ont-ils besoin d’aide pour éduquer le personnel ?
C’est l’aspect technique qu’ils maîtrisent ; travailler avec les personnes n’est généralement pas un rôle central dans leur description de poste, et encore moins l’éducation des autres employés. Si vous êtes bon dans ce que vous faites, cela ne signifie pas nécessairement que vous pouvez expliquer comment vous le faites, surtout à des personnes extérieures au domaine. Ce qui semble évident pour un expert en sécurité peut ne pas être du tout familier à un directeur des ventes. C’est pourquoi les instructions et les exposés d’un spécialiste sont souvent trop difficiles à comprendre et ne produisent pas les résultats escomptés.
De plus, une conférence n’est généralement pas le format le plus optimal pour l’apprentissage. Comme le montre notre expérience, peu de personnes assimilent réellement les informations présentées de cette manière. C’est comme la formation à la sécurité incendie : elle semble être vitale, mais la plupart des gens la perçoivent comme une formalité. Même si une personne écoute vraiment le conférencier, dans le meilleur des cas, elle oublie probablement environ 70 % de ce qui a été dit en quelques jours. Il est toujours préférable qu’une formation soit menée par un employé des RH qui sait comment transmettre les informations au salarié de la bonne manière.
Sans compter que les équipes informatiques et de sécurité informatique ont tendance à être surchargées par les problèmes de routine, qu’il s’agisse de mots de passe oubliés ou de centaines de notifications provenant de solutions de sécurité, chacune pouvant être le signe d’une attaque. Cela veut dire qu’il n’y a tout simplement pas assez de ressources pour les tâches stratégiques peu familières telles que la formation à la sensibilisation à la sécurité.
Votre entreprise a besoin d’un nouveau héros
Vous l’avez sans doute compris, maintenant les spécialistes des ressources humaines sont indispensables dans la lutte contre les cybermenaces. Un expert en RH connaît tous les tenants et aboutissants de la formation en entreprise. Alors, qui serait plus à même de communiquer l’importance de cette mission à la direction ?
Et nous sommes, pour notre part, prêts à fournir toutes les ressources et les moyens nécessaires. Dans le cadre du service Kaspersky Security Awareness, nous avons rassemblé une variété de formations et de programmes éducatifs pour les spécialistes et les entreprises de différents niveaux et expériences, des bases aux simulations interactives hautement spécialisées..
Bien qu’il ne s’agisse pas d’un sujet simple, il n’est pas nécessaire d’être un expert en cybersécurité pour organiser des formations. Nos spécialistes ont préparé et systématisé toutes les informations nécessaires, et même une personne sans expérience dans le domaine de la sécurité de l’information peut gérer le processus.
Notre blog peut servir de source d’information supplémentaire pour aider les spécialistes des ressources humaines à s’informer sur les dernières cybermenaces et les approches modernes pour former les autres employés à se protéger contre ces menaces dans des termes simples. Nous publions de temps à autre des articles pertinents à l’intention des professionnels des ressources humaines, et nous prévoyons également de publier des documents supplémentaires qui peuvent aider les ressources humaines à présenter des arguments convaincants à leur direction et à obtenir le soutien du département d’informatique.