Les collectivités sont particulièrement vulnérables aux cyberattaques car elles manquent souvent de moyens pour bien sécuriser leurs systèmes. Former les agents à la cybersécurité pour prévenir et réagir efficacement aux cyberattaques est la solution la plus efficace et abordable pour augmenter le niveau de sécurité.
Pourquoi former ses agents à la cybersécurité ?
Une collectivité peut décider de former ses agents à la cybersécurité afin de limiter la vulnérabilité de son système de sécurité numérique et permettre à chacun et chacune d’adopter les bons gestes et précautions. Des agents bien formés auront également la capacité de reconnaître une tentative d’attaque numérique. Enfin, ils sauront réagir lorsqu’une cyberattaque cible la collectivité.
Ces dernières années, de nombreuses collectivités ont été victimes de cyberattaques, entraînant la perte de milliers de fichiers confidentiels et de données stratégiques. Ces agressions n’entraînent pas seulement des fuites de données : elles engendrent aussi des coûts financiers considérables, des interruptions de service et des pertes de revenus pour les collectivités. Il est donc crucial que les agents soient pleinement formés pour les prévenir et limiter les risques et les conséquences qu’une cyberattaque peut provoquer.
Par ailleurs, en étant formés, les agents pourront maîtriser les bonnes pratiques de sécurité numérique, telles que la gestion des mots de passe, afin de réduire les risques de piratage. Plus les agents seront informés et sensibilisés, mieux ils adopteront les bons réflexes et réagiront avec efficacité en cas d’attaque, renforçant ainsi la sécurité globale.
Chaque agent a un rôle fondamental à jouer dans la protection numérique de sa collectivité. Élu, directeur de service, stagiaire… chacun peut être à l’origine d’une faille s’il ne prend pas les précautions nécessaires. C’est pourquoi la formation doit concerner l’ensemble du personnel, sans exception.
Qu’est-ce que le hameçonnage ou le rançongiciel ?
Mais d’où viennent ces attaques ? Dans la majorité des cas, l’origine est une erreur humaine : un clic malheureux sur un lien frauduleux dans un email suffit. Parmi les tentatives de cyberattaques les plus répandues figurent le hameçonnage ou le rançongiciel.
- Le hameçonnage (aussi appelé phishing) consiste à se faire passer pour une personne ou un groupe en vue de collecter et utiliser des données stratégiques et sensibles.
- De son côté, le rançongiciel (ou ransomware) est une technique qui consiste à prendre en otage des données stratégiques en échange d’une rançon. Les pirates bloquent l’accès à ces informations sensibles ou à un appareil électronique, puis exigent une somme d’argent pour rétablir l’accès ou éviter la divulgation des données. Une telle fuite place la collectivité en défaut face à ses responsabilités légales, notamment le RGPD, et porte atteinte à son image et à la confiance des citoyens.
Quels sont les bénéfices potentiels à la formation de ses agents ?
- Développer une vigilance accrue face aux tentatives de hameçonnage et de rançongiciel ;
- Sensibiliser les agents aux risques et aux impacts potentiels des cyberattaques ;
- Enseigner les bonnes pratiques de sécurité numérique ;
- Réduire les risques de cyberattaques tout en augmentant le niveau de sécurité.
Comment former les agents à la cybersécurité et aux bonnes pratiques ?
- Proposer une formation e-learning accessible à tous les agents ;
- Privilégier des cas pratiques et des supports visuels pour faciliter l’apprentissage ;
- Constituer et s’appuyer sur des ressources dédiées à la cybersécurité ;
- Établir un plan d’action et un calendrier précis pour la formation pour en assurer un suivi ;
- Mettre en place des tests interactifs pour évaluer l’acquisition des compétences ;
- Renouveler régulièrement les formations afin que les agents conservent les bons réflexes et se tiennent informés des nouvelles menaces.
Quelles sont les étapes de mise en œuvre ?
Étape 1 – Mettre le sujet à l’agenda de votre collectivité. La question de la cybersécurité et de la vulnérabilité des systèmes revient de façon récurrente dans l’actualité à l’occasion d’attaques d’entreprises privées, d’organismes publics et de particuliers. Vous pouvez vous appuyer sur ce contexte pour en faire une priorité haute et prendre des mesures.
Étape 2 – S’inspirer des expériences de collectivités comparables ayant mis en œuvre la proposition. Vous pouvez également vous rapprocher de votre CSIRT, de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ou de la CNIL pour recueillir des informations et conseils afin de mieux appréhender le risque cyber.
Étape 3 – Mettre en place un calendrier pour suivre le processus de formation. Vous pouvez diviser le calendrier par thématique : hameçonnage ; rançongiciel ; gestion de mots de passe, etc. et pour chaque thème mettre en place un processus d’apprentissage bien précis avec des vidéos, fiches, ateliers, puis un quizz pour valider les savoirs.
Étape 4 – Identifier les personnes et collecter les ressources pour animer vos formations. Différentes institutions proposent des formations e-learning ou des ressources sur les thématiques liées à la cybersécurité. Vous pouvez trouver des formations en ligne sur le site de l’ANSSI et de la CNIL. Les sites du gouvernement CyberMalveillance et de la CNIL mettent aussi à disposition un grand nombre de ressources (vidéos, fiches, quizz, etc.) pour se former sur la cybersécurité. Ils ont également un programme de sensibilisation en ligne appelé SensCyber.
Étape 5 – Identifier les personnes devant suivre la formation. On ne le répètera jamais assez : la cybersécurité est l’affaire de tous. Tous les agents qui travaillent pour la collectivité et qui ont accès depuis leur appareil à des données sensibles doivent être formés. La formation n’est pas seulement réservée aux directeurs de service.
Étape 6 – Identifier les financements éventuels auxquels votre territoire peut prétendre. Il existe différents moyens d’obtenir des aides financières pour les collectivités qui souhaitent renforcer leur sécurité numérique.
Étape 7 – Mise en œuvre de la formation en suivant votre calendrier et les ressources sélectionnées. Vous pouvez aussi choisir d’élaborer un plan de communication qui sensibilise les agents à la cybersécurité. Cela peut être via des campagnes d’email, de SMS, ou d’affichage, etc.
Comment mesurer la réussite de l’action ?
- Faire passer des tests théoriques et pratiques à ses agents tous les 6 mois ;
- Réaliser une simulation de cyberattaque.