On pense généralement que les cyberattaques les plus sophistiquées et complexes constituent la plus grande menace pour une entreprise.
En réalité, cependant, la plus grande menace de cybersécurité pour de nombreuses entreprises réside dans leurs propres employés. En fait, quatre des cinq principales causes de violation de données sont dues à une erreur humaine ou à une erreur de process. Cela inclut la perte ou le vol de documents, l’envoi de données par email au mauvais destinataire et des pages Web non sécurisées.
Dans un monde digital first en constante évolution, où les cyberattaques sont de plus en plus sophistiquées, se tenir au courant des méthodes utilisées par les cybercriminels et veiller à ce que les employés soient conscients des dangers constituent désormais un défi majeur.
Dans ce blog, nous vous donnons trois conseils de formation en cybersécurité à l’intention des entreprises qui souhaitent sensibiliser leurs employés et protéger leurs informations.
Mettre à jour les politiques et procédures de cybersécurité et éduquer les employés
Les employés qui ne sont pas au courant de leurs obligations en matière de cybersécurité sont plus susceptibles d’ignorer les politiques et les procédures en vigueur, ce qui pourrait entraîner la divulgation non intentionnelle de données ou la réussite de cyberattaques.
La question fondamentale ici est que les politiques et les procédures ne sont jamais réellement enseignées, montrées ou fournies dans leur contexte. Au lieu de montrer comment ces politiques et procédures protègent l’entreprise dans un scénario réel, les employés se voient remettre le manuel ou la fiche de conseils sur la cybersécurité de l’entreprise et sont priés de s’en souvenir, souvent parallèlement aux autres règles de l’entreprise (horaires de travail, protocole de vacances, code vestimentaire, avantages, etc.). Les politiques et les procédures peuvent souvent être compliquées et confuses, ne pas avoir été mises à jour correctement et être difficiles à appliquer.
Du coup, les entreprises doivent revoir attentivement leurs politiques et procédures en matière de cybersécurité afin de s’assurer qu’elles sont non seulement faciles à comprendre et à appliquer, mais également à jour. Par exemple, si une culture BYOD existe au sein de l’organisation et que les stratégies de cybersécurité n’ont pas été mises à jour pour en tenir compte, des failles de sécurité sont inévitables.
De même, si ces règles ne régissent pas le mode d’utilisation des appareils (téléphones, ordinateurs, etc.) appartenant à l’entreprise, c’est-à-dire s’ils ne doivent être utilisés que pour travailler, les employés les utiliseront naturellement pour leurs activités personnelles et exposeront potentiellement des informations cruciales aux cybercriminels.
La dernière chose que les entreprises doivent faire pour s’assurer que leurs employés sont bien informés est d’organiser des formations régulières sur la cybersécurité. Montrez aux employés comment ces politiques et procédures protègent l’entreprise et demandez aux principaux membres du personnel de les défendre et de les mettre en valeur. Cela garantira le développement d’une culture de la cybersécurité à tous les niveaux de l’entreprise.
Souligner l’importance de la gestion des mots de passe
Selon une étude réalisée par OneLogin en 2017, moins d’un tiers (31%) des responsables informatiques exigent que les employés changent de mot de passe chaque mois.
À l’évidence, la gestion des mots de passe est un problème et donc un défi majeur pour les entreprises en matière de cybersécurité. Les employés ignorant la gestion de base des mots de passe et les responsables informatiques ne le rappelant pas à ces employés, un changement radical d’attitude est nécessaire pour que les entreprises améliorent leurs pratiques en matière de cybersécurité.
Les entreprises doivent adopter une approche plus positive du processus de gestion des mots de passe. Ils doivent non seulement implémenter des outils de gestion de mot de passe plus avancés – authentification multifactorielle ou même authentification PKI – mais également récompenser les employés qui respectent les procédures de mot de passe décrites dans leurs stratégies de cybersécurité.
Dans le même temps, les employés doivent également assumer leurs responsabilités dans le processus – et cela commence par les membres dirigeants de l’entreprise et les cadres supérieurs en expliquant l’importance de cette démarche au reste des employés. À chaque étape, ils doivent se regrouper avec les employés et leur expliquer les avantages commerciaux d’avoir une sécurité par mot de passe d’une manière que ces employés puissent comprendre. Fournir des exemples concrets tels que le vol d’identité et le vol de données, par exemple, peut aider à faire s’impliquer les employés.
Aider les employés à comprendre le phishing
L’hameçonnage est à la hausse et les cybercriminels s’améliorent de plus en plus. Plus de 2 500 plaintes ont récemment été déposées concernant de faux courriels de licences de télévision, tandis qu’une université américaine a été victime d’un piratage après que deux étudiants soient tombés sous le coup d’une arnaque par phishing.
Les cybercriminels ont reconnu l’inutilité de cibler d’autres vecteurs d’attaque en raison de la sophistication des solutions actuelles. Au lieu d’attaquer les logiciels, les cybercriminels s’attaquent aux individus et ciblent les terminaux (tels que les téléphones portables et les ordinateurs portables) pour obtenir un accès au réseau plus large d’une entreprise.
Le défi est d’éduquer les employés sur les attaques de phishing afin qu’ils puissent identifier un email piégé – en particulier s’ils utilisent un téléphone ou un ordinateur portable – et qu’ils puissent le signaler.
Sur cette base, les services informatiques doivent expliquer aux employés comment détecter un email de phishing. Quelques-unes des choses à surveiller sont :
L’adresse email
Les cybercriminels ont de bonnes méthodes pour dissimuler de faux courriels et savent comment tromper les victimes en leur faisant croire qu’un expéditeur est légitime. Les entreprises doivent mettre en place un processus ou une solution permettant de mettre en évidence les expéditeurs inconnus et de bloquer les emails frauduleux connus. Si les employés repèrent une adresse électronique non autorisée, ils doivent la signaler à leur service informatique avant de continuer.
Salutations dans l’email
Les emails de phishing sont souvent automatisés et manquent de salutations personnalisées. Ces emails contiennent des termes génériques tels que « client », « employé » ou « cher monsieur / madame », sans nom de destinataire. Les employés doivent être prudents avec ces emails, surtout s’ils demandent des informations personnelles.
Grammaire et style
De nombreuses attaques de phishing proviennent d’autres pays. Ces emails sont donc souvent écrits par des non-francophones. Ils incluent généralement des fautes de grammaire et de style. Si un email provient d’une marque ou d’une entreprise réputée, mais comporte des fautes d’orthographe et de grammaire, il s’agit probablement d’une arnaque.
Lien de destination
Avant de cliquer sur les liens dans les emails, les employés doivent les survoler pour vérifier la destination du lien. Si l’URL du site web semble suspect ou différent de la marque ou de l’entreprise supposées envoyer l’email – les employés doivent être prudents, les vérifier en ligne ou les signaler.
Call to Action
Les emails exigeant une action ou une réponse immédiate (et comportant un certain nombre des problèmes mentionnés ci-dessus) sont très probablement des arnaques. Ces emails sont conçus de manière à dissuader les gens de prendre des mesures et/ou à les forcer à donner rapidement des informations confidentielles.
Images et logos
Ne faites pas confiance aux images et aux logos. Ils peuvent facilement être téléchargés et répliqués. Les cybercriminels peuvent insérer n’importe quel type de contenu visuel dans les emails pour convaincre les victimes qu’ils sont légitimes. Prenez-les avec des pincettes.
Amener les employés à faire attention à tout ce dont nous avons parlé ci-dessus aidera les entreprises à les protéger eux et leurs données. En règle générale, si vous n’êtes pas sûr de la légitimité d’un email, signalez-le.
Une formation régulière sur la cybersécurité et la révision des politiques et procédures aideront à créer une culture de la cybersécurité au sein d’une entreprise. Au fur et à mesure que les employés prennent conscience de son importance, ils suivront le processus dans tout ce qu’ils font – et enseigneront la même chose aux nouveaux employés.