usecure Blog

12 sujets essentiels de formation à la sensibilisation à la sécurité pour 2021

Rédigé par Alex Legeay | 3 mars 2021 15:31

En 2021, il est plus important que jamais d'éduquer et de former les utilisateurs finaux aux meilleures pratiques en matière de cybersécurité sur le lieu de travail. Nous avons énuméré ci-dessous les 12 sujets à surveiller. Face à des menaces numériques de plus en plus sophistiquées, la formation de votre personnel numérique aux meilleures pratiques en matière de cybersécurité est le moyen le plus efficace de gagner du temps et de prévenir les brèches de sécurité. 

Beaucoup de choses ont été accomplies en 2020, malgré des circonstances difficiles. La plus évidente a été la façon dont les personnes et les entreprises se sont adaptées pour faire face aux environnements de travail à distance. Cela a entraîné d'énormes défis. Les risques tels que le phishing, les logiciels malveillants et le stockage de données n'ont fait que s'accentuer, associés à des tactiques plus agressives de la part des pirates informatiques que ce que nous avons connu par le passé, soit une hausse de X %. 

Dans cette optique, nous avons actualisé notre liste de 12 sujets à surveiller en 2021.

Quels sont les sujets de sensibilisation à la sécurité que je devrais aborder ?

La plupart des entreprises consacrent beaucoup de temps et de moyens financiers à la mise en œuvre de logiciels pour protéger leurs informations de sécurité, la moyenne des budgets informatiques consacrés à la sécurité se situant autour de 10 %. Cependant, l'élément humain est sans doute l'élément le plus vulnérable de toute entreprise et les entreprises devraient privilégier la prévention plutôt que la guérison.

L'erreur humaine est la cause de jusqu'à 95 % des brèches de cybersécurité, et avec de simples cours de sensibilisation, ce nombre peut être réduit de façon spectaculaire. Selon des estimations récentes, à peine la moitié des employés ne reçoivent une formation qu'une fois par an.

Des PME aux grandes entreprises, l'employé est la dernière ligne de défense de la sécurité de l'entreprise, le « pare-feu humain ». Quels sont donc les principaux sujets de formation en matière de sensibilisation à la sécurité pour votre personnel ?

Quels sont les sujets de formation les plus importants en matière de sensibilisation à la sécurité ?

Nous avons identifié les formations de sensibilisation à la cybersécurité les plus pertinentes pour les employés en 2021 :

Les 12 principaux sujets de formation pour la sensibilisation à la cybersécurité :

  1. Attaques de phishing
  2. Supports amovibles
  3. Mots de passe et authentification
  4. Sécurité physique
  5. Sécurité des appareils portables
  6. Travail à distance
  7. Wi-Fi public
  8. Sécurité dans le Cloud
  9. Utilisation des réseaux sociaux
  10. Utilisation de l'internet et de l'e-mail
  11. Ingénierie sociale
  12. Sécurité à domicile
Sensibilisez vos utilisateurs à tous ces sujets avec uLearn. Essayer gratuitement »

1. Attaques de phishing

Au cours de l'année dernière, nous avons constaté une forte augmentation des attaques de phishing. Il y a eu notamment l'énorme quantité d'e-mails de phishing liés à la pandémie. Le groupe d'analyse des menaces de Google a signalé à la mi-avril qu'il bloquait chaque jour 18 millions d'e-mails de phishing et de malwares sur le thème du COVID-19.

Les attaques de phishing restent la cause la plus fréquente des brèches de cybersécurité. Les chiffres actuels reflètent clairement le besoin de sensibilisation aux attaques de phishing. Les recherches indiquent que 91 % des cyber-attaques réussies sont le résultat d'une escroquerie de phishing..

Bien que les entreprises soient de plus en plus conscientes de l'existence du phishing, celui-ci constitue toujours une menace croissante en 2021, en partie en raison du manque de sensibilisation des employés. En intégrant la formation à la sécurité dans la philosophie de l'entreprise par le biais de formations récurrentes de sensibilisation à la sécurité, ce nombre peut être considérablement réduit au fil du temps.

Le « spearphishing » est une forme d'attaque plus sophistiquée et plus ciblée, qui utilise des employés d'une entreprise spécifique pour légitimer un e-mail destiné à un groupe spécifique d'utilisateurs finaux. Un e-mail se faisant passer pour le PDG, par exemple, est susceptible d'être cliqué par la plupart des employés et pourrait contenir une pièce jointe malveillante. L'efficacité de ces attaques a entraîné des développements plus récents et plus sophistiqués, tels que le phishing vocal et le phishing par SMS.

Vous pouvez réduire considérablement cette menace en formant vos utilisateurs finaux à reconnaître les e-mails potentiellement dangereux et à signaler les e-mails suspects. En proposant des cours de formation à la cybersécurité, la sensibilisation des employés à ces attaques peut être considérablement améliorée grâce à une formation cohérente. Des simulations d'attaques de phishing peuvent démontrer le risque potentiel de telles attaques pour votre entreprise.

2. Supports amovibles

Un autre sujet de sensibilisation à la sécurité utilisé au quotidien par les entreprises est celui des supports amovibles. Le support amovible est le support de stockage portable qui permet aux utilisateurs de copier des données sur l'appareil et de les retirer ensuite de l'appareil pour les transférer sur un autre et inversement. Les périphériques USB contenant des malwares peuvent être laissés à la disposition de l'utilisateur final, pour qu'il les trouve et les branche sur son appareil.

 

Les chercheurs ont déposé près de 300 clés USB sur le campus de l'université de l'Illinois à Urbana-Champaign. 98% de ces clés ont été ramassées ! En outre, 45 % de ces clés ont été non seulement ramassées, mais des individus ont cliqué sur les fichiers qu'ils contenaient

 

Au-delà de la compréhension des risques, vos employés doivent savoir comment utiliser ces appareils de manière sûre et responsable dans votre entreprise. Il existe de nombreuses raisons pour lesquelles une entreprise déciderait d'utiliser des supports amovibles dans son environnement. Cependant, avec toutes les technologies, il y aura toujours des risques potentiels. En plus des appareils eux-mêmes, il est important que vos employés protègent les données contenues sur ces appareils. Qu'elles soient personnelles ou professionnelles, toutes les données possèdent une certaine forme de valeur.

Voici quelques exemples courants de supports amovibles que vous et vos employés pourriez utiliser sur le lieu de travail :

  • Clés USB
  • Cartes SD
  • CDs
  • Smartphones
Ce sujet de sensibilisation à la sécurité doit être inclus dans votre formation et aborder des exemples de supports amovibles, la raison pour laquelle ils sont utilisés dans les entreprises, ainsi que la manière dont vos employés peuvent prévenir les risques tels que la perte ou le vol de supports amovibles, les infections par des malwares et la violation des droits d'auteur.


Téléchargement gratuit

Le guide de lancement d'une formation efficace à la
sensibilisation à la cybersécurité



3. Mots de passe et authentification

Un élément très simple mais souvent négligé qui peut aider à la sécurité de votre entreprise est la sécurité des mots de passe. Les mots de passe souvent utilisés couramment seront devinés par des acteurs malveillants dans l'espoir d'accéder à vos comptes. L'utilisation de mots de passe simples, ou le fait d'avoir des modèles de mots de passe reconnaissables pour les employés peut permettre aux cybercriminels d'accéder facilement à un large éventail de comptes. Une fois ces informations volées, elles peuvent être rendues publiques ou vendues à profit sur le Deep Web.

La mise en place de mots de passe aléatoires peut rendre beaucoup plus difficile l'accès des acteurs malveillants à toute une série de comptes. D'autres mesures, telles que l'authentification à deux facteurs, fournissent des niveaux de sécurité supplémentaires qui protègent l'intégrité du compte.

4. Sécurité physique

Si vous faites partie de ces personnes qui laissent leurs mots de passe sur des post-it sur leur bureau, il se peut que vous vouliez les jeter. Bien que de nombreuses attaques soient susceptibles de se produire par le biais de supports numériques, la sécurisation des documents physiques sensibles est vitale pour l'intégrité du système de sécurité de votre entreprise.

La simple prise de conscience des risques liés au fait de laisser des documents, des ordinateurs sans surveillance et des mots de passe dans l'espace de travail ou à la maison peut réduire le risque de sécurité. La mise en œuvre d'une politique de « mise en sécurité de documents » permet de réduire considérablement le risque que des documents non surveillés soient volés ou copiés.

5. Sécurité des appareils mobiles

L'évolution des technologies informatiques a permis d'améliorer la flexibilité des environnements de travail et, par conséquent, de sophistiquer les attaques de sécurité. Étant donné que de nombreuses personnes ont désormais la possibilité de travailler en déplacement à l'aide d'appareils mobiles, cette connectivité accrue s'accompagne d'un risque de brèches de sécurité. Pour les petites entreprises, cela peut être un moyen efficace de faire des économies, mais la responsabilisation des utilisateurs est un aspect de plus en plus important de la formation en 2021, en particulier pour les travailleurs itinérants ou à distance. L'avènement des applications mobiles malveillantes a augmenté le risque que les téléphones portables contiennent des malwares susceptibles de provoquer une brèche de sécurité.

Les cours en ligne sur les meilleures pratiques pour les travailleurs utilisant des appareils mobiles peuvent contribuer à apprendre aux employés à éviter les risques, sans protocoles de sécurité coûteux. Les appareils mobiles doivent toujours contenir des informations sensibles protégées par un mot de passe, cryptées ou avec une authentification biométrique en cas de perte ou de vol de l'appareil. L'utilisation sûre des appareils personnels est une formation nécessaire pour tous les employés qui travaillent avec leurs propres appareils.

La meilleure pratique communautaire consiste à s'assurer que les travailleurs doivent adhérer à une politique en matière de sécurité mobile.

6. Travail à distance

En 2021, le besoin évident de travail à distance, combiné à l'adoption croissante de ce mode de travail, a conduit de nombreuses entreprises à prendre des mesures drastiques en faveur du travail à temps plein à domicile. Le travail à distance peut être positif pour les entreprises et renforcer l'autonomie des employés en favorisant une productivité accrue et un meilleur équilibre entre vie professionnelle et vie privée. Cette tendance constitue toutefois une menace accrue pour les brèches de sécurité lorsqu'on n'est pas sensibilisé aux risques du travail à distance. Les appareils personnels utilisés à des fins professionnelles doivent rester verrouillés lorsqu'ils sont laissés sans surveillance et être équipés d'un logiciel antivirus. Si une entreprise souhaite offrir cette incitation, elle doit s'attacher à sensibiliser les employés travaillant à distance aux pratiques de travail sûres

Il est probable que cette tendance se poursuive en 2021. Bien que nous espérions voir la réouverture des bureaux et le retour à une vie professionnelle normale, les entreprises ont de plus en plus souvent embauché des travailleurs à distance, et ceux qui se sont adaptés au mode de vie du travail à domicile préféreront peut-être travailler de cette manière. La nécessité de former les employés à comprendre et à gérer leur propre cyber-sécurité est évidente. Comme nous l'avons vu, ces personnes font l'objet d'une menace croissante. Veiller à ce qu'ils gardent la sécurité à l'esprit est un thème clé de 2021.

7. Wi-Fi public

Certains employés qui doivent travailler à distance, voyager en train et travailler en déplacement peuvent avoir besoin d'une formation supplémentaire pour comprendre comment utiliser les services Wi-Fi publics en toute sécurité. Les faux réseaux Wi-Fi publics, qui se font souvent passer dans les cafés pour du Wi-Fi gratuit, peuvent rendre les utilisateurs finaux vulnérables à la saisie d'informations sur des serveurs publics non sécurisés.

En informant vos utilisateurs sur l'utilisation sûre du Wi-Fi public et sur les signes communs permettant de repérer une escroquerie potentielle, vous sensibiliserez les entreprises et minimiserez les risques. 

8. Sécurité dans le Cloud

Le cloud computing a révolutionné les entreprises, la façon dont les données sont stockées et accessibles. Ces applications numériques transforment les entreprises, mais le stockage à distance de grandes quantités de données privées comporte le risque de piratage à grande échelle. De nombreuses grandes entreprises travaillent à la protection des données, mais en choisissant le bon fournisseur de services dans le Cloud, le stockage dans le Cloud peut être un moyen beaucoup plus sûr et rentable de stocker les données de votre entreprise.

Comme pour les autres sujets mentionnés, le piratage interne est une menace bien plus importante pour les entreprises du Cloud à grande échelle. Gartner prédit que d'ici à l'année prochaine, 99 % de tous les incidents de sécurité dans le Cloud seront imputables à l'utilisateur final. Par conséquent, une formation de sensibilisation à la cybersécurité peut aider à guider les employés dans l'utilisation sécurisée des applications basées sur le cloud. 

9. Usage des réseaux sociaux

Tout le monde partage une grande partie de sa vie sur les réseaux sociaux : des vacances aux événements et au travail. Mais un partage excessif peut conduire à la mise à disposition d'informations sensibles, ce qui permet à un acteur malveillant de se faire passer pour une source fiable (voir : ingénierie sociale).

Sensibiliser les employés à la protection des paramètres de confidentialité de leurs comptes de réseaux sociaux, et empêcher la diffusion d'informations publiques sur votre entreprise réduira le risque de l'effet de levier potentiel que les pirates informatiques peuvent tirer de cet accès à votre réseau personnel.

10. Utilisation de l'internet et de l'e-mail

Il se peut que certains employés aient déjà été exposés à des brèches dans les données, en utilisant des e-mails simples ou répétés pour plusieurs comptes. Une étude a montré que 59 % des utilisateurs finaux utilisent le même mot de passe pour chaque compte. Cela signifie que si un compte est compromis, un pirate informatique peut utiliser ce mot de passe sur les comptes de travail et de réseaux sociaux pour accéder à toutes les informations de l'utilisateur sur ces comptes.

Souvent, les sites web proposent des logiciels gratuits infectés par des malwares. Le téléchargement d'applications provenant uniquement de sources fiables est le meilleur moyen de protéger votre ordinateur contre l'installation de tout logiciel malveillant. La formation des employés à des habitudes de sécurité sur Internet devrait être un élément clé de toute initiation aux technologies de l'information. Bien que certains puissent considérer cette formation comme évidente, elle est un élément clé de la sécurité de tout programme de sécurité.

De nombreux grands sites web ont connu d'importantes brèches dans les données ces dernières années. Si vos informations ont été saisies sur ces sites, elles auraient pu être rendues publiques et exposer vos informations privées.

11. Ingénierie sociale

L'ingénierie sociale est une technique courante que les acteurs malveillants utilisent pour gagner la confiance des employés, en offrant des leurres précieux ou en utilisant l'usurpation d'identité pour accéder à des informations personnelles précieuses. Pour lutter contre ces menaces, les employés doivent être sensibilisés aux questions de sécurité qui abordent les techniques d'ingénierie sociale les plus courantes et la psychologie de l'influence (par exemple : la rareté, l'urgence et la réciprocité).

Par exemple, en se faisant passer pour un client viable ou en offrant des incitations, des informations privées peuvent être involontairement transmises à ces acteurs malveillants. Pour réduire le risque d'ingénierie sociale, il est essentiel de sensibiliser les employés à la menace que représentent ces usurpations d'identité.

12. Sécurité à domicile

Malheureusement, la menace des acteurs malveillants ne s'arrête pas lorsque vous quittez votre lieu de travail. De nombreuses entreprises permettent à leurs employés d'utiliser leurs appareils personnels, ce qui constitue une méthode très économique et permet un travail flexible, mais cela comporte des risques. Les applications téléchargées involontairement par des logiciels malveillants sur des appareils personnels peuvent mettre en danger l'intégrité du réseau de l'entreprise si, par exemple, les données de connexion sont exposées.

En outre, le réseau croissant de ressources numériques à la disposition des travailleurs et des entreprises a permis d'accroître la connectivité et la productivité. Cependant, ces applications présentent également un risque pour l'utilisateur. Une étude réalisée par Propeller a révélé que les campagnes de phishing ciblant « dropbox » avaient un taux de clics de 13,6 %. L'amélioration des connaissances des employés, le partage de fichiers cryptés et l'authentification des téléchargements permettront de réduire le risque.

Autres thèmes de formation à la sensibilisation à la sécurité informatique

En plus de la formation des employés sur les sujets de sensibilisation à la sécurité, à mesure que de nouvelles réglementations sont imposées, des cours de conformité sont de plus en plus nécessaires pour les employés. La mise en conformité avec le RGPD dans l'UE a conduit à de nouvelles réglementations concernant l'e-mail, qui peuvent nécessiter une nouvelle formation pour de nombreux employés. Les brèches dans ces règles peuvent entraîner de lourdes amendes, notamment pour les hôtels BA et Marriott.

Les employés doivent également être conscients des changements de la réglementation financière, de la protection des données, de la fiscalité, etc. En vous inscrivant à des plateformes automatisées en ligne pour la gestion des chartes informatiques, vous pouvez tenir vos employés au courant des derniers changements des chartes et vous assurer qu'ils restent informés.

Bien sensibiliser les utilisateurs finaux à la sécurité

Toutes les entreprises ont des exigences différentes. Il est donc essentiel d'assurer un cours de sensibilisation à la cybersécurité flexible et adapté aux objectifs de votre organisation pour que votre personnel reçoive la bonne formation. 

En promouvant une culture de conversation et de sensibilisation dans votre entreprise sur une base régulière par le biais de formations de sensibilisation à la sécurité des utilisateurs finaux, vous pouvez tenir vos employés au courant des exigences en matière de sécurité de leurs informations personnelles et professionnelles.

Lancez votre programme de formation à la sensibilisation à la sécurité

Fournir une vidéo de taille réduite et une formation interactive, adaptée aux risques uniques de chaque utilisateur et réalisée grâce à une automatisation intelligente.