Sécurité d'entreprise

La connaissance est une arme puissante qui peut permettre à vos employés de devenir la première ligne de défense contre les menaces.

19 oct 2023  •  , 5 minute. lis

C'est à nouveau le Mois de la sensibilisation à la cybersécurité (CSAM) en octobre. Il s'agit d'une initiative de sensibilisation qui s'étend aussi bien au monde du consommateur qu'à celui de l'entreprise, même si les croisements sont nombreux : après tout, chaque collaborateur est aussi un consommateur. En fait, alors que nous travaillons de plus en plus à domicile ou depuis notre espace de travail distant préféré, les lignes n'ont jamais été aussi floues. Malheureusement, dans le même temps, les risques de compromis n’ont jamais été aussi aigus.

La construction d’un monde plus cyber-sécurisé commence ici. Alors, que devraient intégrer les responsables informatiques dans leurs programmes de sensibilisation à la sécurité, maintenant et en 2024 ? Il est important de vous assurer que vous faites face au les cybermenaces d'aujourd'hui et de demain, pas les risques d’antan.

Pourquoi la formation est importante

Selon Verizon, les trois quarts (74 %) de toutes les violations mondiales au cours de l'année écoulée incluent « l'élément humain », qui dans de nombreux cas signifiait une erreur, une négligence ou des utilisateurs. être victime d'un phishing et l'ingénierie sociale. Les programmes de formation et de sensibilisation à la sécurité constituent un moyen essentiel d’atténuer ces risques. Mais il n’existe pas de voie rapide et facile vers le succès. En fait, ce qu’il faut rechercher n’est pas tant la formation ou la sensibilisation, car les deux peuvent être oubliées avec le temps. Il s’agit de changer les comportements des utilisateurs sur le long terme.

Ceci ne peut qu'arriver si vous exécutez des programmes en continu, gardez les apprentissages en tête à tout moment. Et veillez à ce que personne ne soit laissé pour compte, y compris les intérimaires, les sous-traitants et les cadres supérieurs. N'importe qui peut être une cible, et il suffit d'une seule erreur pour laisser potentiellement entrer les méchants. Organisez également des sessions en petits morceaux, pour avoir une meilleure chance que les messages restent fidèles. Et si possible, incluez la simulation ou exercices de gamification pour donner vie à une menace particulière.

Comme nous l'avons mentionné précédemment, les cours peuvent même être personnalisés en fonction de rôles et de secteurs spécifiques, pour les rendre plus pertinents pour l'individu. Et les techniques de gamification peuvent être un complément utile pour rendre la formation plus collante et plus engageante.

3 domaines à inclure maintenant et en 2024

Alors que nous approchons de la fin de 2023, il est utile de réfléchir à ce qu’il faudra inclure dans les programmes de l’année prochaine. Considérer ce qui suit:

1) BEC et phishing

Compromis Courriel D'entreprise (BEC), qui exploite des messages de phishing ciblés, reste l'une des catégories de cybercriminalité les plus rémunératrices. Dans les cas signalé au FBI l’année dernière, les victimes ont perdu plus de 2.7 milliards de dollars. Il s’agit d’un crime fondamentalement fondé sur l’ingénierie sociale, consistant généralement à inciter la victime à approuver un transfert de fonds d’entreprise vers un compte sous le contrôle de l’escroc.

Il existe différentes méthodes par lesquelles ils y parviennent, par exemple en se faisant passer pour un PDG ou un fournisseur, et celles-ci peuvent être parfaitement intégrées dans exercices de sensibilisation au phishing. Ceux-ci doivent être combinés à des investissements dans une sécurité avancée de la messagerie électronique, des processus de paiement robustes et une double vérification de toutes les demandes de paiement.

Le phishing en tant que tel existe depuis des décennies, mais reste l'un des principaux vecteurs d'accès initial aux réseaux d'entreprise. Et grâce aux travailleurs distraits à domicile et mobiles, les méchants ont encore plus de chances d’atteindre leurs objectifs. Mais dans de nombreux cas, les tactiques changent, tout comme les exercices de sensibilisation au phishing. C’est là que les simulations en direct peuvent réellement contribuer à modifier les comportements des utilisateurs. Pour 2024, pensez à inclure du contenu sur le phishing via des applications de SMS ou de messagerie (effrayer), appels vocaux (vishing) et de nouvelles techniques comme le contournement de l'authentification multifacteur (MFA).

Les tactiques spécifiques d'ingénierie sociale changent extrêmement fréquemment, c'est donc une bonne idée de s'associer à un fournisseur de cours de formation qui peut mettre à jour son contenu en conséquence.

2) Sécurité du travail à distance et hybride

Les experts avertissent depuis longtemps que les employés sont plus susceptibles d’ignorer les directives/politiques de sécurité ou tout simplement de les oublier lorsqu’ils travaillent à domicile. Un étude ont constaté que 80 % des travailleurs admettent que travailler à domicile le vendredi en été les rend plus détendus et distraits, par exemple. Cela peut les exposer à un risque élevé de compromission, en particulier lorsque les réseaux et les appareils domestiques sont moins bien protégés que leurs équivalents d'entreprise. Et c'est là que les programmes de formation devraient intervenir avec des conseils sur les mises à jour de sécurité pour les ordinateurs portables, la gestion des mots de passe et l'utilisation uniquement d'appareils approuvés par l'entreprise. Cela devrait s’accompagner d’une formation de sensibilisation au phishing.

Par ailleurs, les le travail hybride est devenu la norme pour de nombreuses entreprises aujourd'hui. Un études prétend 53 % d'entre eux disposent désormais d'une police d'assurance, et ce chiffre est appelé à augmenter. Cependant, se rendre au bureau ou travailler depuis un lieu public comporte des risques. L’une concerne les menaces provenant des points d’accès Wi-Fi publics qui pourraient exposer les travailleurs mobiles à des attaques d’adversaire au milieu (AitM), où les pirates accèdent à un réseau et écoutent les données circulant entre les appareils connectés et le routeur, et les menaces « jumelles maléfiques ». où les criminels configurent un point d'accès Wi-Fi en double se faisant passer pour un point d'accès légitime dans un endroit spécifique. 

Il existe également moins de risques liés à la « haute technologie ». Les sessions de formation pourraient être une bonne occasion de rappeler au personnel les dangers de surf d'épaule.

3) Protection des données

Amendes RGPD increased 168 % par an pour atteindre plus de 2.9 milliards d’euros (3.1 milliards de dollars) en 2022, alors que les régulateurs répriment la non-conformité. Cela constitue un argument assez solide pour que les organisations s'assurent que leur personnel respecte correctement les politiques de protection des données.

Une formation régulière est l’un des meilleurs moyens de garder à l’esprit les meilleures pratiques en matière de gestion des données. Cela signifie des choses comme l'utilisation d'un cryptage fort, une bonne gestion des mots de passe, la sécurité des appareils et le signalement immédiat de tout incident au contact concerné.

Le personnel peut également bénéficier d'une actualisation de l'utilisation de la copie carbone invisible (CCI), une erreur courante qui entraîne des fuites involontaires de données de courrier électronique, ainsi que d'autres formations techniques. Et ils devraient toujours se demander si ce qu’ils publient sur les réseaux sociaux doit rester confidentiel.

Les cours de formation et de sensibilisation sont un élément essentiel de toute stratégie de sécurité. Mais ils ne peuvent pas travailler isolément. Les organisations doivent également disposer de politiques de sécurité strictes appliquées avec des contrôles et des outils stricts tels que la gestion des appareils mobiles. « Personnes, processus et technologie » est le mantra qui contribuera à construire une culture d'entreprise plus cybersécurisée.