La sécurité de l’information est aujourd’hui une question de grande préoccupation pour les organisations de toutes natures. Le Forum économique mondial classe la cybersécurité parmi les risques les plus élevés en estimant que son paysage est en constante évolution.
Cependant les incidents de cybersécurité sont souvent causés par des humains. Selon une étude de The Psychology of Human Error, 43 % des employés sont « très » ou « plutôt » certains d’avoir commis une erreur au travail ayant des répercussions sur la sécurité.
Les organisations doivent donc impérativement intégrer la sensibilisation, la prévention et les meilleures pratiques de sécurité dans leur culture. La clause 7.3 de la norme ISO 27001 sur la sécurité de l’information prévoit les exigences auxquelles les organisations doivent se conformer en matière de sensibilisation.
Cet article aborde les exigences de la clause 7.3 sur la sensibilisation du personnel à la cybersécurité, l’importance de celle-ci pour les organisations et les étapes pour mettre en place un programme de sensibilisation efficace.
Table des matières
Aperçu de la clause 7.3 de la Norme ISO 27001 sur la sensibilisation
Dans nombre d’entreprises, l’employé ne réalise souvent pas la quintessence de la sécurité de l’information. Cela résulte du fait qu’ils ont une connaissance vague de la sécurité de l’information et de ses objectifs.
Source : googleusercontent
Cela implique que les organisations ne doivent pas s’arrêter à définir et à envoyer à leur liste de distribution interne, la “bonne” politique de sécurité et des procédures “parfaites”.
Les organisations doivent expliquer à leur personnel le bien-fondé de la sécurité de l’information pour le bon fonctionnement de l’organisation et la manière de réaliser certaines tâches. C’est en cela que constitue le principal objectif de la sensibilisation.
Source : bsigroup
La clause 7.3 de la norme ISO 27001 complète les clauses 7.1 et 7.2 respectivement sur les ressources et les compétences essentielles au bon fonctionnement du Système de Gestion de la Sécurité de l’Information. Elle est aussi étroitement liée à la clause 7.4 qui définit les exigences de la norme ISO 27001 en matière de communication.
Les exigences de la clause 7.3 de la norme ISO 27001 en matière de sensibilisation
Cette clause exige que les organisations définissent une sorte de programme de sensibilisation régulière afin de s’assurer que les employés d’une organisation soient conscients :
- De la politique de sécurité ;
- De leurs contributions à l’efficacité du SGSI ;
- Des conséquences en cas de non-conformité à la norme ISO 27001 d’une manière générale ;
- Des avantages d’une amélioration des performances de sécurité de l’information.
Source : slidesharecdn
À travers cette clause, la norme ISO 27001 cherche à confirmer que les parties impliquées dans le SGSI maîtrisent :
- Les contenus de la politique de sécurité ;
- Leurs rôles dans l’atteinte des objectifs de sécurité ;
- Ce que l’amélioration des performances personnelles signifie pour le SGSI ;
- Ce qui se passe lorsque le SGSI ne fonctionne pas correctement et lorsqu’il n’est pas conforme aux exigences.
La sensibilisation des personnes impliquées dans le SGSI
Dans le cadre de la mise en œuvre du SGSI, il est souhaitable que les personnes qui effectuent un travail au sein de l’organisation participent à l’élaboration de la politique de sécurité de l’information. Ceci leur permet d’avoir une meilleure compréhension d’abord de la politique, et ensuite de leur rôle.
Source : wistia
Les parties externes impliquées dans le SGSI notamment les fournisseurs et les sous-traitants doivent être aussi conscientes des éléments ci-après :
- L’organisation a un SGSI et pourquoi elle en a ;
- L’organisation a une politique de sécurité et quels éléments de celle-ci les concernent ;
- Comment peuvent-ils contribuer à la protection des informations précieuses de l’organisation ;
- Comment doivent-ils procéder pour contribuer à l’atteinte des objectifs de cybersécurité de l’organisation ;
- Quels politiques, procédures et contrôles les concernent et quels sont les impacts de leur non-respect.
Source : recordedfuture
La communication de ces informations peut s’effectuer à travers de nombreux processus et documents existants comme :
- Les initiations ;
- Les contrats de travail ;
- Les discussions sur la boîte à outils ;
- Les accords avec les fournisseurs ;
- Les briefings des employés ou les mises à jour.
De plus, le personnel et les autres parties impliquées dans le SGSI doivent recevoir une formation de sensibilisation adaptée et des mises à jour régulières sur les politiques ainsi que sur les procédures. La clause 8.2 approfondit les exigences de la norme ISO 27001 en ce qui concerne la formation de sensibilisation à la sécurité de l’information.
Les étapes pour mettre en place un programme de sensibilisation à la cybersécurité
Les organisations doivent mettre en place un solide programme de sensibilisation de leur personnel et des autres parties impliquées dans la sécurité de l’information.
Identifier les risques
Cette première étape consiste à avoir une vision actualisée des principales menaces auxquelles l’organisation est exposée en termes de cybersécurité. La connaissance des risques et de leurs implications permet d’élaborer correctement votre campagne de sensibilisation ainsi que de cibler la formation adéquate qui doit être dispensée à toutes les personnes concernées.
Modifier les comportements
La pandémie de Covid 19 a imposé beaucoup de changement aux organisations notamment le télétravail et ses nombreux risques. En effet, le travailleur à distance reste une cible des cybercriminels.
Source : aha
Les connaissances et les comportements antérieurs ne sont peut-être plus solides pour couvrir toutes les vulnérabilités. Le moyen efficace pour transformer les comportements et rester en phase avec les nouveaux défis est de veiller à ce que la sensibilisation à la cybersécurité soit dispensée de manière personnalisée, ciblée ainsi que succincte.
Pour y arriver, les organisations doivent se servir d’une variété d’outils et de techniques comme :
- Des vidéos captivantes ;
- Des scénarios réalistes ;
- Des quiz ;
- Des politiques ;
- Des tests de simulation de phishing dans le monde réel.
- Des affiches de sensibilisation ;
- Des études de cas réels pour renforcer les messages clés.
Planifier des formations durant toute l’année
Les organisations doivent planifier l’organisation des formations de sensibilisation à intervalles réguliers sur toute l’année à mesure que le paysage des risques évolue et que de nouvelles technologies sont mises en ligne.
Les cybercriminels lancent également des attaques généralement au cours des événements mondiaux ou saisonniers. C’est le cas avec COVID-19 où le nombre de cyber attaques par phishing sur le thème est astronomique.
Source : proofpoint
Les employés ne seront pas capables d’identifier les attaques ou de réagir de manière appropriée lorsqu’elles ne reçoivent pas une formation de sensibilisation tout au long de l’année.
Tester l’efficacité de la formation de sensibilisation
Il s’agit de procéder à des simulations de phishing et de divers tests de sécurité afin de déterminer la réaction des employés. Ces tests aident les employés à identifier, éviter et signaler les menaces qui pourraient mettre en péril la sécurité de l’organisation.
Source : cofense
Suivre des mesures
Les organisations doivent établir des mesures de réussite afin de déterminer si la campagne de sensibilisation est efficace. Il s’agit des indicateurs de succès qui permettront d’identifier les domaines dans lesquels les employés ont des difficultés et qui nécessitent des formations avancées.
Pourquoi la conformité à la clause 7.3 sur la sensibilisation est-elle importante ?
La norme ISO 27001 exige que les organismes traitent fréquemment et en profondeur les questions de sécurité de l’information à tous les niveaux. La sensibilisation à la sécurité de l’information apparaît donc incontournable aux organisations.
Source : metacompliance
Amélioration du SGSI
Le premier avantage de la sensibilisation provient des améliorations qui peuvent résulter de l’assimilation de la politique de sécurité par le personnel et la prise de conscience sur leurs responsabilités.
Amélioration de la réputation grâce à la fiabilité
La confiance est cruciale à la réputation et aux marques d’une organisation. Lorsque la plupart des employés sont sensibilisés à la sécurité de l’information, les visiteurs estiment que l’organisation prend clairement au sérieux la sécurité et la confidentialité.
Responsabiliser le personnel
La sensibilisation des employés à leurs responsabilités est essentielle pour qu’ils mettent en pratique les meilleures approches et se conforment aux exigences en termes de sécurité. Par ailleurs, investir dans une technologie coûteuse ne servira pas à grand-chose lorsque le personnel ne connaît pas ou ne comprend pas ses responsabilités.
Source : slideplayer
Mise à jour de la connaissance
La sensibilisation rafraîchit la connaissance des employés et des parties impliquées dans le SGSI. Les organisations peuvent donc adopter un programme de sensibilisation continu.
Démontrer la conformité
La sensibilisation du personnel entre dans le cadre de la conformité à la norme ISO 27001 d’autant que le personnel reçoive une formation de sensibilisation appropriée et que tout le monde ait le même niveau ainsi que la même qualité de formation.
Réduction de la résistance à la cybersécurité
Source : invensislearning
La sensibilisation signifie que le personnel comprend le bien-fondé de la sécurité de l’information. Lorsqu’elle est satisfaisante, le personnel utilise efficacement les contrôles de sécurité. À titre d’exemple, comprendre la nécessité d’avoir un mot de passe et comment choisir un bon mot de passe facilite la sécurité.
Réduction des incidents de sécurité de l’information
Les employés des organisations qui savent à quoi s’en tenir sont moins susceptibles d’exposer les actifs informationnels à l’insécurité ou d’ignorer les premiers signes de problèmes. Les personnes sensibilisées et guidées par des professionnels de la sécurité hautement qualifiés font preuve de compétence et de prudence lorsque cela est nécessaire.
Comment identifier les lacunes de non-conformité à la clause 7.3
Protectam vous aide à identifier d’éventuelles non-conformités à la clause 7.3. Pour y arriver, nous effectuons une série d’entretiens avec le personnel et nous posons généralement trois questions.
- Quelle est leur connaissance de la politique de sécurité ?
- Quel est leur rôle dans le SGSI ?
- Quelle est leur importance pour le SGSI ?
À travers ces questions, nous parvenons à identifier grâce à nos nombreuses années d’expériences et de savoir-faire, toutes les lacunes d’une organisation en matière de conformité.
Nous vous aidons ensuite à mettre en place un programme de sensibilisation et de formation appropriée aux spécificités de la norme ISO 27001. Nos formations aux sensibilisations sont développées par des spécialistes de la sécurité de l’information.
Conclusion
Au terme de cet article, il convient de retenir que la sensibilisation à la cybersécurité concerne toutes les personnes impliquées dans le SGSI. Elle vise l’appréhension de la politique de la sécurité de l’organisation par ces personnes, leurs rôles et les implications en cas de non-conformité. La sensibilisation améliore par ailleurs la performance du SGSI et permet de réduire les risques de sécurité liés à l’être humain.
Commentaires récents