Le nombre d’attaques de ransomware contre les entreprises a considérablement augmenté pendant la pandémie. Alors que de plus en plus de personnes travaillent à domicile et que les organisations se précipitent pour mettre à jour leur infrastructure pour s’adapter au travail à distance, il y a souvent des failles de sécurité. Les entreprises sont plus vulnérables aux cyberattaques et, selon KPMG, les chances de réussite d’une attaque de ransomware sont beaucoup plus élevées lorsque les personnes travaillent à distance. L’attaque contre la Colonial Pipeline Company aux États-Unis, la rançon de 50 millions de dollars exigée du fabricant d’ordinateurs Acer et d’autres attaques de ransomware très médiatisées ont clairement montré que les entreprises doivent agir. Si les attaques de ransomware réussissent mieux avec le travail à distance, c’est en partie parce que les systèmes informatiques domestiques sont moins sécurisés, mais c’est aussi en grande partie parce que les personnes sont vulnérables. Les attaquants de ransomware profitent de l’anxiété liée à la crise du Covid pour inciter les employés sans méfiance à cliquer sur des liens et à utiliser des logiciels malveillants nuisibles. En utilisant des informations sur les vaccins, les masques et les désinfectants pour les mains, les acteurs malveillants sont en mesure d’inciter les employés à prendre les mesures souhaitées. La meilleure façon de se protéger contre de telles attaques est d’éduquer et de responsabiliser les employés. C’est pourquoi les entreprises doivent investir dans la formation de sensibilisation à la cybersécurité pour leurs employés.
Voir aussi : « Groupe de travail sur les ransomwares » formé pour faire face aux attaques croissantes
La nécessité d’une sensibilisation à la cybersécurité
La cybersécurité d’une organisation repose sur trois éléments principaux : les technologies, les protocoles/politiques et les personnes. Les technologies de sécurité évoluent au rythme des menaces. En mettant en place les politiques et les protocoles de sécurité appropriés, les organisations peuvent prévenir les cyberattaques et minimiser les dommages causés par les violations réussies. Les éléments humains de la cybersécurité sont peut-être les plus importants et, paradoxalement, les plus souvent négligés. Les meilleures technologies et politiques de sécurité échoueront si les personnes qui travaillent dans une organisation ne sont pas correctement formées et conscientes des risques pour la cybersécurité. Un fort peut avoir les meilleures défenses comme une porte solide et un fossé rempli de crocodiles, mais cela ne servira à rien si les soldats de garde abaissent sans le savoir le pont-levis et laissent entrer les attaquants. Il est essentiel de comprendre le comportement humain pour comprendre la nécessité de la sensibilisation. Les êtres humains peuvent être négligents et imprudents. Ils seront particulièrement vulnérables s’ils ne savent pas à quoi pourrait ressembler une attaque et s’ils ne disposent pas d’informations sur le paysage des menaces. C’est pourquoi les organisations doivent créer une formation de sensibilisation à la cybersécurité pour les employés qui se concentre sur la manière dont les employés peuvent avoir un impact sur la sécurité de l’entreprise et sur les risques contre lesquels ils doivent se protéger.
Bonnes pratiques en matière de formation à la sensibilisation à la sécurité
1. Continuez à apprendre par petites bouchées
Lors de la conception du programme de formation, divisez les sujets en morceaux. Dans chaque morceau, créez un contenu de la taille d'une bouchée facile à assimiler. Cela rendra la formation plus efficace. Diviser les informations en petits morceaux évitera aux employés de se sentir dépassés. Des études montrent qu'au bout d'une heure, les gens ne retiennent que la moitié des informations qui leur ont été présentées [1]. Vous pouvez augmenter la rétention et la mémorisation en renforçant la formation. Des informations de la taille d'une bouchée peuvent être consommées plusieurs fois sans que les employés aient besoin d'investir beaucoup de temps. Prenons l'exemple des e-mails de phishing : vous pouvez commencer votre formation par une simple vidéo expliquant le concept et les dangers potentiels, partagée avec tous les employés. Après un certain temps, vous pouvez envoyer de faux e-mails de phishing à vos employés et voir qui fait l'erreur de cliquer sur les liens. Vous pouvez fournir une formation plus détaillée aux personnes qui en ont besoin, puis répéter l'opération. De cette façon, vous ne donnez aux employés que la quantité de formation dont ils ont besoin. Si un employé retient les informations partagées dans la vidéo et ne tombe pas dans le piège du courrier électronique de phishing, il n’a pas besoin d’investir plus de temps dans une formation détaillée.
2. Le risque le plus élevé pour la récompense la plus élevée
Concentrez-vous sur les plus grands risques pour votre cybersécurité. Il existe de nombreux malwares, ransomwares et menaces différents. Quels sont ceux auxquels votre entreprise est la plus vulnérable ? Quels sont ceux qui auraient le plus d'impact ? Quels employés présentent le plus grand risque pour la cybersécurité ? Répondre à ces questions vous permettra de créer un programme de formation offrant le meilleur retour sur investissement. Lorsqu'il s'agit de formation à l'échelle de l'organisation, votre objectif doit être de partager les objectifs et la vision de votre entreprise avec les employés et d'encourager un comportement conçu. N'oubliez pas que tout le monde n'a pas besoin d'être formé sur tout.
3. Ne soyez pas répétitif
Il n’y a rien de plus frustrant et ennuyeux pour les employés que de suivre une formation sur des sujets qu’ils connaissent déjà. Souvent, les entreprises répètent leur formation par crainte de perdre des connaissances et de ne pas les mémoriser. Une bonne façon de résoudre ce problème est de tester les connaissances des employés. Les employés qui obtiennent de bons résultats au test n’ont pas besoin de suivre à nouveau le programme de formation. Pour un programme de formation complexe ou long, vous pouvez effectuer une évaluation par sections et les employés n’auront besoin d’assister qu’aux parties du programme dans lesquelles ils ont eu de mauvais résultats. C’est un bon moyen d’améliorer l’efficacité et l’efficience de vos programmes de formation. Les tests peuvent également créer un sentiment de compétition interne entre les employés et les inciter à retenir ce qu’ils ont appris afin de ne pas avoir à répéter le programme.
4. Stockage des mots de passe
Les données des clients, les données des employés et les détails des projets sont toutes des informations sensibles qui doivent être protégées pour qu'une organisation réussisse. L'utilisation de mots de passe forts et sécurisés est essentielle à cet égard. De bons mots de passe empêcheront tout accès non autorisé aux appareils et aux informations. Parfois, les organisations négligent l'hygiène des mots de passe lorsqu'il s'agit de formation à la sensibilisation à la sécurité, car elles supposent que les employés créent des mots de passe forts conformément aux instructions de l'outil ou de la plateforme qu'ils utilisent, alors que ce n'est pas forcément le cas. Il est important de former les employés à l'hygiène des mots de passe. Parfois, les employés font l'erreur d'écrire leurs mots de passe et de laisser les informations sans surveillance. Ou ils peuvent enregistrer tous leurs mots de passe dans un fichier non sécurisé sur leur ordinateur de bureau. Ce sont des oublis dont les pirates peuvent profiter pour accéder à un système.
5. La formation continue est essentielle
Le paysage des menaces en matière de cybersécurité évolue en permanence et il est donc important de mettre en place une formation continue en matière de sensibilisation à la sécurité. À mesure que de nouvelles menaces et attaques sont identifiées, les employés doivent être formés à identifier et à se protéger contre ces menaces. Les organisations doivent régulièrement tester leurs employés pour voir quelles sont les informations qu'ils connaissent et si des programmes de recyclage doivent être mis en place. Étant donné que de nombreux employés travaillent à domicile, les entreprises doivent mettre à jour leurs programmes existants afin de pouvoir proposer une formation en ligne de sensibilisation à la sécurité à leurs employés. Si possible, travaillez avec un concepteur pédagogique pour créer un programme complet mais concis.
L'état actuel de la cybersécurité et de la formation
95 % des failles de cybersécurité sont dues à des erreurs humaines[2]. L’intelligence et la compréhension humaines sont la meilleure défense contre les attaques de phishing les plus courantes. Les travailleurs à distance continueront d’être une cible pour les pirates informatiques en 2021, et l’augmentation du travail à distance entraînera une augmentation des risques de failles de sécurité dans le cloud. Récemment, le nombre de cyberattaques contre les petites entreprises a augmenté. Ce n’est plus un problème dont seules les grandes organisations doivent se soucier. Le coût d’une attaque réussie peut être dévastateur pour les entreprises qui n’investissent pas dans leur cybersécurité. 45 % des employés ne reçoivent aucune formation en cybersécurité de la part de leur employeur[3]. Il s’agit d’un oubli flagrant, car la plupart des attaques de ransomware réussies sont le résultat d’escroqueries par phishing qui peuvent être évitées en sensibilisant les employés.
De nombreux dirigeants ne savent pas quoi faire en cas d'incident de sécurité, car l'entreprise n'a pas mis en place de politiques. Il est impératif pour les entreprises de créer ces politiques et de les communiquer à tous les employés. Ces politiques doivent être facilement disponibles pour référence sur plusieurs canaux, comme le manuel de l'employé, l'outil de communication interne de l'entreprise, etc. Les politiques sont un excellent moyen d'informer les employés des règles d'hygiène de base requises en matière de sécurité. Par exemple, elles peuvent être utilisées pour informer les employés qu'ils ne doivent ouvrir aucun lien envoyé à partir d'identifiants inconnus, et que toute demande inhabituelle des responsables hiérarchiques doit être signalée à l'équipe informatique. Une réponse rapide est essentielle lorsque des pirates informatiques accèdent aux systèmes d'une entreprise. En formant vos employés, vous augmentez les chances que les attaques de sécurité soient évitées et, dans le pire des cas, rapidement signalées à votre équipe de sécurité afin qu'elle puisse prendre les contre-mesures nécessaires.
Lors de la conception d'une formation à la cybersécurité pour les employés, ne vous limitez pas à la sensibilisation. Il est important que les employés mettent également en pratique ce qu'ils ont appris. Par conséquent, les programmes doivent également comporter des tests et des éléments pratiques. Rendez le programme attrayant et récompensez les employés qui réussissent bien aux tests. L'objectif doit être que les employés cessent de considérer la formation comme une obligation ou une nuisance. La sécurité doit faire partie de la culture de votre organisation et tous les employés doivent comprendre le rôle qu'ils jouent dans la protection contre les menaces. L'intelligence humaine reste la meilleure protection dont disposent les entreprises contre les cyberattaques.
Abonnez-vous à whitepapers.online pour des livres blancs, des livres électroniques et une couverture d'actualité de qualité du monde de la technologie.
Image en vedette : Photo d'arrière-plan créée par rawpixel.com - www.freepik.com
Sources:
1. Juin 2017, M. Bingham, « 10 statistiques sur la rétention des apprentissages que vous voudrez oublier », Bridge, [disponible en ligne] disponible à l'adresse :https://www.getbridge.com/en_gb/blog/10-stats-about-learning-retention-youll-want-forget/ [consulté en mai 2021]
2. Décembre 2020, D. Milkovich, « 15 faits et statistiques alarmants sur la cybersécurité », Cybint, [disponible en ligne] disponible sur : https://www.cybintsolutions.com/cyber-security-facts-stats/ [consulté en mai 2021]
3. Mai 2018, M. Williams, « Infographie : 10 statistiques qui montrent pourquoi la formation est la clé d'une bonne protection des données et de la cybersécurité », Pensar, [disponible en ligne] disponible sur : https://www.pensar.co.uk/blog/cybersecurity-infographic [consulté en mai 2021]