Titre: Sensibilisation à la cyber-sécurité : qu'est-ce que c'est et qu'est-ce qui fonctionne le mieux ? Une explication d’ESET (08/06/2022 Par cda)
En cyber-sécurité, le maillon faible de la chaîne est l'être humain. C’est de plus en plus vrai, car les cybercriminels rivalisent pour exploiter les travailleurs crédules ou négligents. Il est cependant possible de transformer ce maillon faible en une super première ligne de défense. La clé en est dans le déploiement d'un programme efficace de sensibilisation à la sécurité (security awareness training program).
La recherche démontrent que 82 % des violations de données analysées en 2021 impliquaient un «élément humain». C'est un fait incontournable des cyber-menaces actuelles que les employés sont une cible de choix pour les attaques. Mais donnez-leur les connaissances nécessaires pour reconnaître et comprendre les signes avant-coureurs d'une attaque, lorsqu’ils risquent de compromettre des données sensibles, et cela se transforme en une belle occasion d'étendre leurs efforts pour limiter les risques.
Qu'est-ce qu'une formation de sensibilisation à la sécurité ?
La formation de sensibilisation n'est pas le meilleur nom pour ce que les responsables de l'informatique et de la sécurité désirent que leurs programmes atteignent. En générale, l'objectif est de modifier les comportements grâce à une meilleure formation en ce qui concerne les principaux cyber-risques et les meilleures pratiques simples pouvant être apprises pour les atténuer. C'est un processus qui devrait couvrir un éventail de sujets et de techniques pour permettre aux employés de prendre les bonnes décisions. Il peut être considéré comme un pilier fondamental pour les organisations qui souhaitent créer une culture d'entreprise basée sur la sécurité (security-by-design).
Pourquoi une formation de sensibilisation à la sécurité est-elle nécessaire ?
Comme pour tout programme de formation, l'objectif est de faire de chaque individu un meilleur employé. Ici, l'amélioration de la sensibilisation à la sécurité aidera non seulement l'individu à naviguer dans diverses tâches, mais réduira le risque d'une faille de sécurité potentiellement dangereuse.
Les utilisateurs professionnels forment le cœur de toute organisation. S'ils peuvent être piratés, c'est aussi le cas pour l'organisation. Leur accès aux données sensibles et aux systèmes informatiques augmente le risque de problèmes qui pourraient avoir un impact négatif sur l'entreprise.
Plusieurs tendances soulignent le besoin en programmes de sensibilisation à la sécurité :
Mots de passe : Les informations d'identification statiques existent depuis aussi longtemps que les systèmes informatiques. Malgré les avertissements des experts en sécurité, ils restent la méthode d'authentification la plus populaire. La raison : les gens savent instinctivement comment les utiliser. Le défi est qu'ils sont également une super cible pour les pirates. Si l’on parvient à pousser un employé à les transmettre, ou si on les devine, alors plus rien ne s'oppose à un accès complet au réseau.
On estime que plus de la moitié des employés américains ont leurs mots de passe écrits sur papier. De mauvaises pratiques (Poor password practices) ouvrent la porte aux pirates. Et à mesure qu’augmente le nombre d'informations d'identification dont les employés doivent se souvenir, le potentiel d'abus augmente également

Ingénierie sociale : Les humains sont des êtres sociaux. Cela nous rend sensibles à la persuasion. Nous voulons croire les histoires qu'on nous raconte et la personne qui les raconte. L'ingénierie sociale fonctionne : l'utilisation, par les cybercriminels, de techniques persuasives telles que la pression temporelle et la personnification pour tromper la victime et faire ce qu'ils veulent. Le meilleur exemple est un mail de phishing, un SMS (smishing) ou un appel téléphonique (vishing), mais il est également utilisé dans les attaques de compromis de messagerie professionnelle (business email compromise (BEC) attacks) (BEC) et d'autres escroqueries.
L'économie de la cybercriminalité : aujourd'hui, ces cybercriminels disposent d'un réseau underground complexe et sophistiqué de dark sites pour acheter et vendre des données et des services, allant de l'hébergement à l'épreuve des balles au ransomware-as-a-service. Il vaut des milliards, dit-on (said to be worth trillions). Cette ‘professionnalisation’ de l'industrie de la cybercriminalité a conduit ses auteurs à concentrer leurs efforts là où le retour sur investissement est le plus élevé. Cela signifie souvent que pression est miss sur les utilisateurs: les employés de l'entreprise et les consommateurs.
Travail hybride : les télétravailleurs seraient plus susceptibles de cliquer sur des liens de phishing et d'adopter des comportements à risque, comme l'utilisation d'équipements de travail à des fins personnelles. L'émergence d'une nouvelle ère pour le travail hybride a ouvert la porte aux attaques sur les utilisateurs professionnels lorsqu'ils sont les plus vulnérables. Sans oublier que les réseaux et les ordinateurs domestiques peuvent être moins bien protégés que leurs équivalents au bureau.
Pourquoi une formation est-elle importante ?
Une violation grave de la sécurité, suite à une attaque de tiers ou à une divulgation accidentelle de données, peut entraîner des dommages financiers et de réputation importants. Des recherches récentes montrent que 20 % des entreprises touchées par une telle violation ont couru le risque de faire faillite. Des recherches séparées (Separate research) affirme que le coût moyen d'une violation de données dans le monde d’aujourd’hui est plus élevé que jamais : plus de 4,2 millions de dollars.
Pour les employeurs, il ne s'agit pas uniquement d'un calcul de coûts. De nombreuses réglementations, telles que HIPAA, PCI DSS et Sarbanes-Oxley (SOX) exigent que les organisations se conforment et instaurent des programmes de sensibilisation à la sécurité pour les employés.
Comment fonctionnent les programmes de sensibilisation ?
Le "pourquoi" a été expliqué, mais qu'en est-il du "comment" ? Les RSSI doivent commencer par consulter les équipes RH, qui gèrent les programmes de formation de l'entreprise. Ils peuvent être en mesure de fournir des conseils ad hoc ou un soutien plus coordonné.
Les sujets à couvrir sont :
• L’ingénierie sociale et le hameçonnage/vishing/smishing
• La dispersion accidentellement par e-mail
• La sécurité Web (recherche sécurisée et utilisation du Wi-Fi public)
• Les meilleures pratiques pour les mots de passe et l'authentification multifacteur
• Le télétravail et travail à domicile en toute sécurité
• Comment reconnaître les menaces de l'intérieur.

Les cours doivent être :
• Amusants et ludiques (pensez à des messages positifs plutôt que basés sur la peur)
• Basés sur des exercices de simulation en situation réelle
• En sessions courtes, toute l'année (10-15 minutes)
• Pour chaque membre du personnel, y compris les cadres, les employés à temps partiel et les indépendants
•Générateurs de résultats pouvant être utilisés pour adapter les programmes aux besoins individuels
• Sur mesure pour différents emplois.

Une fois la décision prise, il est important de trouver le bon formateur. Aujourd’hui, il existe de nombreuses options en ligne dans différentes gammes de prix, y compris des outils gratuits. En raison du paysage actuel en ce qui concerne les menaces, ne rien faire n'est pas une option.
ENCORE CECI:
Five ways to strengthen employee cybersecurity awareness
Cybersecurity training still neglected by many employers
Retour