Sensibiliser ses collaborateurs à la sécurité IT : vos priorités pour 2024

74% des violations de systèmes informatiques incluent un élément humain, selon une étude de Verizon. Traduction : l’erreur est humaine et les victimes de phishing ou d’ingénierie sociale peuvent conduire à la catastrophe. Comment éviter cette négligence ? Par des programmes de formation et un changement de comportement.

Les programmes de sensibilisation à la sécurité sont un outil important pour limiter ces risques, conclut Phil Muncaster, expert auprès de l’éditeur Eset.  Pour lui, il faut tout simplement « changer le comportement des utilisateurs sur le long terme ».

La solution à ce problème soulevé dans l’étude Verizon ? Organiser des formations par petites étapes, pour que les messages restent bien en mémoire et prévoir des exercices de simulation ou de gamification pour expliquer une menace particulière. Les formations peuvent même être personnalisées en fonction des tâches et des secteurs spécifiques, afin de les rendre plus pertinentes. Dans le domaine, les techniques de gamification sont un complément utile pour rendre la formation plus engageante et plus mémorisable.

Le maillon faible, c’est l’humain trop souvent. Trois conseils à l’adresse des DSI.

BEC et phishing

La fraude Business Email Compromise (BEC) utilise des messages de phishing ciblés, reste une des catégories de cybercriminalité les plus rémunératrices. Dans les cas signalés au FBI l’an dernier, les victimes ont perdu plus de 2,7 milliards de dollars. C’est un délit fondé sur l’ingénierie sociale, consistant à inciter la victime à approuver un transfert de fonds de l’entreprise vers un compte contrôlé par l’escroc.

Différentes méthodes permettent d’y parvenir, en se faisant passer pour un PDG ou un fournisseur, et celles-ci peuvent être intégrées dans des exercices de sensibilisation au phishing. Elles doivent être combinées avec des investissements en sécurité avancée pour la messagerie électronique, des processus de paiement robustes et une double vérification de toutes les demandes de paiement.

Le phishing existe depuis des décennies et reste un des principaux vecteurs d’accès aux réseaux d’entreprise. Grâce aux travailleurs distraits et au télétravail, les criminels ont encore plus de chances d’atteindre leurs buts. Mais dans de nombreux cas, les tactiques évoluent, tout comme les formations de sensibilisation au phishing. Ici, les simulations en direct peuvent réellement contribuer à modifier le comportement des utilisateurs.

Pour 2024, il faut inclure du contenu sur le phishing via des applis de SMS ou de messagerie (smishing), des appels vocaux (vishing) et de nouvelles techniques comme le contournement de l’authentification multifacteur (MFA). Les tactiques d’ingénierie sociale changeant très souvent, il vaut donc mieux travailler avec un formateur qui peut actualiser le contenu de ses cours.

Sécurisation du télétravail et du travail hybride

Depuis longtemps, les experts disent que les employés sont plus susceptibles d’ignorer les directives et les politiques de sécurité ou tout simplement de les oublier lorsqu’ils sont en télétravail.

Une étude démontre que 80 % des travailleurs admettent que le télétravail, le vendredi en été, les rend plus détendus et distraits. Cela peut les exposer à un risque de compromission élevé, en particulier si les réseaux et les appareils domestiques sont moins bien protégés que leurs équivalents en entreprise. Les programmes de formation doivent donc intervenir avec des conseils sur les mises à jour de la sécurité pour les laptops, la gestion des mots de passe et l’utilisation limitée aux appareils approuvés par l’entreprise. Et doit s’accompagner d’une formation de sensibilisation au phishing.

Protection des données

Revenons en Europe. Depuis que les régulateurs répriment la non-conformité, les amendes du RGPD ont augmenté de 168 % par an pour atteindre plus de 2,9 milliards d’euros l’an dernier. C’est un argument suffisamment solide pour que les organisations s’assurent que leur personnel respecte correctement les politiques de protection des données.

Une formation régulière est un des meilleurs moyens pour garder à l’esprit les meilleures pratiques en gestion des données. Cela veut dire l’utilisation d’un cryptage fort, une bonne gestion des mots de passe, la sécurité des appareils et le signalement immédiat, au contact concerné, de tout incident.

Le personnel peut aussi bénéficier d’une actualisation de l’utilisation de la copie carbone invisible (CCI-BCC), une erreur courante qui entraîne des fuites involontaires de données par courrier éléctronique ainsi que d’autres formations techniques. Ils devraient toujours se demander si ce qu’ils publient sur les réseaux sociaux ne devrait pas rester confidentiel.

Les cours de sensibilisation sont essentiels dans toute stratégie de sécurité. Mais ils ne peuvent pas fonctionner isolément. Les organisations doivent disposer de politiques de sécurité strictes, appliquées avec des contrôles et des outils stricts tels que la gestion des appareils mobiles. « Personnes, processus et technologie » est la base d’une culture d’entreprise plus cyber-sécurisée.