La pandémie de Covid-19 a posé de nombreux défis en matière de sécurité. Les entreprises du monde entier se sont adaptées au travail à domicile et à la distanciation sociale, tout en faisant face aux nouvelles menaces posées par les cybercriminels qui exploitent la peur et la curiosité humaine.La prévention de l'erreur humaine doit être la clé de la cybersécurité des entreprises. Dans ce guide, nous examinons les meilleurs moyens d'y parvenir.
Parmi les principales cybermenaces, les logiciels malveillants restent un danger important. L'attaque de WannaCry de 2017, qui a coûté jusqu'à 4 milliards de dollars aux entreprises du monde entier, est encore dans les mémoires, et d'autres nouvelles souches de logiciels malveillants sont découvertes quotidiennement. Le phishing a également connu une résurgence ces dernières années, avec de nombreuses nouvelles escroqueries inventées pour profiter d'entreprises peu méfiantes. Une seule variante, l'escroquerie par e-mail de CEO Fraud, a coûté aux seules entreprises britanniques 14,8 millions de livres sterling en 2018.
Le personnel travaillant à domicile n'est pas sous la surveillance directe des équipes informatique et a souvent du mal à faire face aux cybermenaces et à protéger correctement les informations de l'entreprise. L'absence de mise à jour des logiciels et des systèmes d'exploitation, l'envoi de données sur des réseaux non sécurisés et la dépendance croissante à l'égard du courrier électronique et de la messagerie en ligne ont rendu les employés beaucoup plus vulnérables aux menaces allant des logiciels malveillants au phishing.
Si les solutions techniques telles que les filtres anti-spam et les systèmes de gestion des appareils mobiles sont importantes pour protéger les utilisateurs finaux, compte tenu du nombre de menaces et de la multitude de systèmes et de communications par lesquels le personnel effectue son travail, le seul facteur de risque unifié à prendre en compte pour améliorer fondamentalement la sécurité est le rôle de l'erreur humaine.
Presque toutes les brèches informatiques réussies ont une variable en commun : l'erreur humaine. L'erreur humaine peut se manifester de multiples façons : de l'absence d'installation des mises à jour de sécurité des logiciels à la faiblesse des mots de passe, en passant par la communication d'informations sensibles dans des e-mails de phishing.
Même si les logiciels modernes de détection des menaces et de lutte contre les logiciels malveillants sont de plus en plus sophistiqués, les cybercriminels savent que l'efficacité des mesures de sécurité techniques ne va pas au-delà de leur utilisation correcte par les humains. Si un cybercriminel parvient à deviner le mot de passe d'un portail d'entreprise en ligne ou utilise l'ingénierie sociale pour amener un employé à effectuer un paiement sur un compte bancaire contrôlé par le cybercriminel, les solutions techniques ne peuvent rien faire pour empêcher cette intrusion.
Accèder dès aujourd'hui à notre guide de formation à la sécurité informatique ! [ebook Gratuit] →
En 2014, IBM a mené une étude sur les brèches survenues chez des milliers de leurs clients dans plus de 130 pays. Cette étude était l'examen le plus approfondi des causes de brèches qui avait été réalisé à ce moment-là, mais ses résultats ont depuis été corroborés par des études similaires.
L'erreur humaine était la cause majeure de plus de 95 % des brèches.
Rapport de IBM Cyber Security Intelligence Index
L'une des principales conclusions de l'étude d'IBM est que l'erreur humaine est une cause majeure de 95 % des brèches. En d'autres termes, si l'erreur humaine n'avait pas été un facteur, il y a de fortes chances que 19 des 20 brèches analysées dans l'étude n'auraient jamais eu lieu.
L'erreur humaine jouant un rôle très important dans les brèches, il est essentiel de la combattre pour réduire les risques que votre entreprise soit prise pour cible. Elle vous permet également de protéger votre entreprise contre un éventail de menaces bien plus large que ne pourrait le faire une solution technique unique - et peut potentiellement donner à votre personnel les moyens de rechercher activement et de signaler les nouvelles menaces qu'il pourrait rencontrer. L'atténuation de l'erreur humaine doit être la clé de la cybersécurité des entreprises en 2021 - et dans la prochaine section, nous examinerons les meilleurs moyens d'y parvenir.
Deux facteurs doivent être présents pour que l'erreur humaine se manifeste :
L'opportunité signifie qu'il existe une situation dans laquelle un humain est autorisé à commettre une erreur : par exemple, laisser les utilisateurs finaux gérer les mises à jour logicielles plutôt que de forcer les mises à jour de sécurité avec la gestion des correctifs. La décision est l'action de l'individu : dans ce cas, le manque d'action dans l'installation des mises à jour de sécurité lorsqu'elles sont disponibles.
Un effort d'atténuation complet consiste à réduire les risques d'erreur et à améliorer les décisions prises par les utilisateurs finaux. Il est essentiel de prendre des mesures dans les deux domaines pour s'assurer que l'erreur humaine est traitée en profondeur.
Dans le cas de l'application de correctifs, par exemple, une mesure technique telle que l'introduction de la gestion des correctifs peut réduire au minimum les risques d'erreur humaine dans la plupart des cas - mais il est toujours essentiel de tenir compte des situations où les solutions techniques sont temporairement obsolètes, ou si une nouvelle situation telle qu'une charte BYOD où les utilisateurs sont autorisés à utiliser leurs propres appareils sans gestion des correctifs est introduite.
Dans d'autres cas, comme celui des e-mails de phishing, les mesures techniques telles que les filtres anti-spam et les logiciels de détection de brèches ont un effet très limité pour réduire les possibilités d'erreur face à une attaque ciblée. Dans ces cas, la seule façon efficace de limiter l'erreur humaine est d'apprendre aux utilisateurs finaux à prendre de meilleures décisions.
Pour que les utilisateurs finaux puissent faire le bon choix dans une situation de sécurité, quatre facteurs différents doivent être présents.
4 piliers pour réduire l'erreur humaine : |
|
Le 1er est assez simple : l'utilisateur doit reconnaître qu'il se trouve dans une situation où la sécurité est potentiellement en jeu. Sans reconnaître la situation en tant que telle, l'utilisateur peut ne pas se rendre compte qu'il prend une décision par son inaction.
Deuxièmement, l'utilisateur doit savoir quelle est la marche à suivre. Pour cela, il n'est pas nécessaire que l'utilisateur comprenne parfaitement la menace, mais il suffit souvent de signaler la situation à une personne du service informatique ou de sécurité qui pourra l'examiner.
Troisièmement, l'utilisateur doit savoir pourquoi la sécurité est importante, afin qu'il comprenne l'importance de ne pas ignorer les procédures de sécurité et qu'il soit conscient des implications potentielles d'une brèche. Si ces trois facteurs sont tous essentiels pour améliorer les résultats en matière de sécurité, c'est sur ce point crucial que les entreprises échouent souvent.
Des problèmes tels que la faiblesse de la sécurité des mots de passe et l'absence de correctifs logiciels persistent dans les organisations du monde entier, bien que de nombreux utilisateurs d'ordinateurs comprennent pourquoi ces questions sont essentielles à la sécurité. La raison pour laquelle aucune mesure n'est prise malgré les connaissances est souvent par flemme. Un mot de passe unique et fort demande plus de temps à créer et plus d'efforts à retenir qu'un mot de passe court, faible ou réutilisé.
Accèder dès aujourd'hui à notre guide de formation à la sécurité informatique ! [ebook Gratuit] →
Même si l'utilisateur est bien informé, cette "fainéantise" causée par la création d'un mot de passe fort est souvent assez forte pour l'inciter à aller à l'encontre de son meilleur jugement. Cette situation est aggravée par le fait que, même si de nombreux utilisateurs prennent les bonnes mesures dans des circonstances optimales, les situations de travail urgentes et chargées ainsi que le stress peuvent rendre les mesures de sécurité encore plus " contraignantes " pour les utilisateurs.
Les mesures techniques telles que les gestionnaires de mots de passe sont essentielles à cet égard, car elles facilitent grandement l'adoption d'un comportement sûr : si les employés n'ont pas à créer ou à mémoriser leurs propres mots de passe, ils n'ont aucune raison de ne pas en utiliser de sûrs. Simultanément, le seuil d'exécution de l'action correcte doit être abaissé par un changement culturel. Cela signifie qu'il faut mettre la sécurité au premier plan de la prise de décision et veiller à ce que les utilisateurs n'aient jamais l'impression de "perdre du temps" en prenant les précautions de sécurité appropriées.
La sécurité doit faire l'objet de discussions entre les employés, et les questions et points soulevés par les utilisateurs finaux sur les problèmes de sécurité dans leur propre rôle doivent être pris en compte et récompensés. Ainsi, les utilisateurs ont le sentiment que la sécurité n'est pas une simple réflexion après coup, mais qu'elle mérite qu'on y consacre du temps.
Une formation efficace de sensibilisation à la sécurité ne porte pas sur un seul de ces facteurs, mais sur les quatre.
Une formation efficace de sensibilisation à la sécurité ne porte pas sur un seul de ces facteurs, mais sur les quatre. Il s'agit d'identifier les situations où les données ou les systèmes pourraient être compromis, de comprendre les meilleures pratiques, de connaître les conséquences potentielles des brèches et, enfin, de contribuer à un changement culturel pour créer un environnement où les considérations de sécurité sont toujours prises en compte dans la prise de décision.
La réponse mondiale à la pandémie de Covid-19 a entraîné de nombreux changements sur les lieux de travail. Le changement qui a eu l'impact le plus significatif sur la sécurité a été la transformation de nombreuses entreprises qui ont vu la plupart ou la totalité de leur personnel passer au travail à domicile dans un court laps de temps, ce qui a entraîné un risque accru pour de nombreux utilisateurs finaux de succomber à des menaces en ligne.
Les employés qui n'avaient pas l'habitude de travailler à domicile avant la pandémie ont rapidement découvert certains des problèmes que cela pouvait entraîner : devoir s'occuper des enfants et des animaux domestiques, faire face à une mauvaise connexion Internet et supporter toutes les autres perturbations qui peuvent survenir à la maison. Au milieu de tous ces nouveaux changements de l'environnement de travail, la sécurité est trop souvent passée au second plan dans la liste des priorités des utilisateurs.
Les utilisateurs finaux qui travaillent à domicile ne sont pas sous la surveillance du service informatique et peuvent avoir du mal à résoudre des problèmes techniques simples. En outre, des tâches de sécurité essentielles, comme la mise à jour des logiciels et des systèmes d'exploitation, la mise à jour du micrologiciel des routeurs et la sécurisation du réseau, ont soudainement été placées entre les mains des utilisateurs finaux. Il n'est pas étonnant que les cybercriminels n'aient pas perdu une seconde pour exploiter les circonstances de la pandémie afin de mettre au point de nouvelles formes d'escroquerie et de cybercriminalité.
L'équipe informatique ne peut pas se rendre au domicile de chaque utilisateur final, c'est pourquoi il est essentiel de s'assurer qu'en plus de disposer du bon équipement, les utilisateurs finaux sont conscients de leurs responsabilités individuelles dans le maintien de la sécurité. Les utilisateurs finaux doivent savoir qu'il leur incombe de s'assurer qu'ils n'accèdent aux informations et aux réseaux de l'entreprise que sur des appareils et des réseaux à jour et sécurisés.
La formation à la sensibilisation à la sécurité est essentielle pour que les utilisateurs finaux sachent comment assurer la sécurité. Il est préférable de diviser la formation en petits éléments digestes, afin que les utilisateurs ne soient pas submergés. La formation doit également avoir lieu régulièrement - une fois par mois, au minimum - pour s'assurer que les connaissances clés sont retenues et que les utilisateurs n'oublient pas la sécurité dès que le prochain projet de travail vient bousculer la liste des priorités. Enfin, il est important de tester les utilisateurs finaux. Il convient de préciser qu'il ne s'agit pas de juger ou de pénaliser les utilisateurs qui ont des difficultés avec leur formation, mais plutôt d'identifier les principales lacunes en matière de sécurité au sein du personnel et de les combler avant qu'elles ne puissent être exploitées par des cybercriminels.
Les formations de sensibilisation à la sécurité ne sont pas toutes identiques. La manière dont la formation est réalisée, structurée et présentée aura un effet majeur sur son efficacité à améliorer réellement les résultats en matière de sécurité dans votre organisation. Dans cette section, nous allons voir quelle est la meilleure façon d'organiser une formation de sensibilisation à la sécurité pour vos utilisateurs finaux.
Autrefois, la formation à la sensibilisation à la sécurité consistait à faire assister les utilisateurs finaux à une session annuelle composée d'heures de cours et de diaporamas. L'idée était que les utilisateurs se souviennent de ce qu'ils avaient vu et entendu et, dans le pire des cas, que la case "éducation des utilisateurs" soit cochée. Mais qu'en est-il de l'amélioration réelle des résultats en matière de sécurité ? Ça n'a pas marché, et tout le monde l'a détesté.
Il existe un certain nombre de raisons pour lesquelles ce type de formation annuelle basée sur des cours magistraux n'est pas efficace. La première est que, lors d'une session de formation annuelle, il y aura tout simplement trop d'informations à la fois pour qu'un employé puisse les assimiler et les retenir. Même si les utilisateurs reçoivent du matériel d'apprentissage à emporter avec eux ou reçoivent des rappels occasionnels, il y a de fortes chances pour que la majeure partie du matériel de la session de formation entre par une oreille et sorte par l'autre - oubliée en quelques instants.
Les conférences et les diaporamas ne sont tout simplement pas des formats d'apprentissage attrayants pour les utilisateurs finaux.
Les conférences et les diaporamas ne sont tout simplement pas des formats attrayants pour l'apprentissage des utilisateurs finaux. Ils ne suscitent pas l'intérêt des employés comme le font la vidéo et le contenu interactif, et sont trop souvent remplis d'informations inutiles qui ne sont pas pertinentes pour chaque utilisateur final. Les diapositives remplies à ras bord de petits textes sont sûres de faire s'endormir n'importe quel employé à la moitié de la session.
La dernière raison majeure pour laquelle la formation traditionnelle n'est pas efficace est qu'elle ne fait pas appel à l'apprentissage par la répétition. S'il s'écoule une année entre les sessions de formation, les utilisateurs ne se souviendront tout simplement pas de ce qu'ils ont appris - et la sensibilisation aux questions de sécurité en général s'effondrera dans les jours et les semaines qui suivent la formation. Pour être efficace, la sécurité ne doit pas être une affaire d'une seule fois, mais doit se faire tout au long de l'année.
La formation à la sensibilisation à la sécurité s'oriente de plus en plus vers des solutions en ligne de type "software-as-a-service". La formation en ligne offre des avantages immédiats par rapport aux méthodes traditionnelles, mais elle ne constitue pas nécessairement la réponse ultime à la sensibilisation à la sécurité, à moins qu'elle ne soit efficace dans certains domaines essentiels pour améliorer véritablement les résultats en matière de sécurité.
Il est possible de mettre en place un programme de formation à la sensibilisation à la sécurité réellement efficace, mais vous devez respecter certains critères importants pour susciter l'intérêt de vos utilisateurs.
7 étapes pour réussir une formation de sensibilisation à la sécurité : |
|
La quantité d'informations qu'une personne peut absorber est limitée. Cela est particulièrement vrai lorsqu'il s'agit de sujets sur lesquels la plupart des employés n'ont pas beaucoup de connaissances préalables. Pour que la quantité de matériel d'apprentissage ne submerge pas les utilisateurs finaux, elle doit être divisée de manière appropriée en segments, chacun ayant son propre message clair et simple, présenté aux utilisateurs de manière facilement compréhensible.
Un autre avantage de la répartition des informations est qu'elle permet de rendre facilement l'apprentissage continu, plutôt que ponctuel. La répartition du contenu en plusieurs parties permet d'envoyer ces sections régulièrement tout au long de l'année, ce qui contribue à maintenir la sensibilisation à la sécurité dans l'esprit des utilisateurs finaux. La répétition étant la clé de l'apprentissage, cette méthode est cruciale pour garantir que les utilisateurs se souviennent réellement de ce qu'ils ont appris.
Il est essentiel de veiller à ce que le contenu d'apprentissage soit pertinent pour les utilisateurs finaux afin de s'assurer qu'ils restent engagés. Lorsqu'un utilisateur final se voit présenter des informations qui ne lui semblent pas pertinentes, il commence rapidement à se désintéresser et à prêter moins d'attention. Le matériel didactique doit non seulement éviter le jargon et les termes techniques, mais aussi être conçu en tenant compte des situations réelles que l'utilisateur final moyen rencontre dans sa vie professionnelle quotidienne. Par exemple, la plupart des employés n'ont pas besoin de connaître les détails de la réglementation ou des attaques de logiciels malveillants, mais simplement de savoir comment se comporter de manière à réduire ces risques - et comment signaler de manière appropriée les risques qu'ils peuvent rencontrer.
C'est bien beau d'enseigner aux employés les risques existants et la manière de les contrer, mais l'essentiel est que les employés quittent la formation avec des mesures concrètes en tête qu'ils peuvent mettre en œuvre immédiatement dans leurs activités professionnelles quotidiennes. Donner aux employés la possibilité de mettre leur formation à l'épreuve immédiatement contribue également à renforcer la mémoire - et cela peut être réalisé à l'aide d'outils tels que la simulation de phishing.
Tous les contenus ne se valent pas. Le contenu textuel lasse rapidement les utilisateurs et ne doit être utilisé que s'il est complété par un contenu visuel plus attrayant. Les vidéos sont parfaites pour divertir les utilisateurs, à condition qu'elles soient de bonne qualité et agréables à regarder. L'humour peut être utilisé à bon escient pour rendre les vidéos de sensibilisation à la sécurité plus attrayantes pour les utilisateurs finaux. Le contenu interactif est également un excellent moyen de faire participer les utilisateurs. Nombreux sont ceux qui apprennent par la pratique - en répondant à des questions ou en prenant part à leur apprentissage - et le contenu interactif peut également donner aux utilisateurs le sentiment d'avoir réussi à suivre un cours.
Il est essentiel qu'après les sessions de formation, les utilisateurs soient testés sur ce qu'ils ont appris. Cela vous permet de savoir que les utilisateurs ont appris les points clés et qu'ils repartent en ayant appris quelque chose, mais aussi de faciliter le processus d'apprentissage des utilisateurs, car ils se rappellent les informations qu'ils viennent d'apprendre dans leur propre mémoire.
La partie la plus essentielle de l'efficacité d'un programme de formation à la sensibilisation à la sécurité a cependant autant à voir avec des facteurs extérieurs à la formation qu'avec la formation elle-même. Pour que la formation soit efficace, elle doit s'inscrire dans une culture de la sécurité où celle-ci est toujours prise en compte et où les utilisateurs sont activement encouragés à faire part de leurs préoccupations et à poser des questions. Un bon programme de sensibilisation à la sécurité y contribue en présentant la sécurité comme quelque chose de continu et d'actif, plutôt que ponctuel et passif - mais il est essentiel que l'organisation soutienne également cet effort en dehors de la formation.
Accèder dès aujourd'hui à notre guide de formation à la sécurité informatique ! [ebook Gratuit] →
La formation à la sensibilisation à la sécurité ne sera pas efficace pour améliorer les résultats en matière de sécurité si elle ne s'accompagne pas d'un changement culturel. Une formation complète apprendra aux utilisateurs finaux à reconnaître les situations où la sécurité est menacée et à y faire face de manière appropriée, mais ces connaissances ne seront pas mises en pratique si l'utilisateur ne sent pas que la sécurité est valorisée dans sa culture.
La formation à la sensibilisation à la sécurité ne sera pas efficace si elle ne s'accompagne pas d'un changement culturel.
Avec le nombre croissant de menaces présentes, ainsi que la complexité grandissante des services d'entreprise et l'accès aux données et aux systèmes à partir de dispositifs mobiles, il est impossible de savoir où pourrait apparaître la prochaine menace ou fuite accidentelle pour votre entreprise. C'est pourquoi la sécurité ne devrait pas consister à s'assurer que vos utilisateurs finaux choisissent des mots de passe forts ou suivent d'autres étapes spécifiques, mais plutôt à leur donner les moyens d'être les gardiens actifs de votre entreprise, de ses systèmes, de ses appareils et de ses données.
La culture est une question de valeurs. Pour que les employés se soucient de la sécurité, celle-ci doit être mise en avant comme une valeur dans toute l'entreprise. Cela signifie qu'il faut veiller à ce que la sécurité ne soit pas considérée comme la responsabilité de l'équipe informatique, mais comme une responsabilité partagée par tous les employés.
Le changement culturel et les valeurs de l'entreprise doivent venir du haut. La direction a un rôle important à jouer en soulignant le rôle de la sécurité dans l'entreprise, mais il est essentiel qu'elle développe la nouvelle culture plutôt que de la dicter. Cela signifie qu'il faut encourager les employés à jouer un rôle actif en leur demandant d'évoquer les préoccupations liées à leur propre rôle et en les incitant à poser des questions et à s'impliquer dans les problèmes de sécurité.
Ainsi, les utilisateurs ont le sentiment d'être impliqués dans le processus de sécurité et commencent à réfléchir activement aux considérations de sécurité dans leur propre rôle. Il est possible qu'un responsable ou un membre du service informatique ne connaisse pas parfaitement tous les processus du flux de travail d'un employé. C'est pourquoi il est essentiel que les utilisateurs eux-mêmes comprennent qu'ils doivent prendre des mesures pour assurer la sécurité des données et des systèmes.
La direction générale a également un rôle à jouer dans l'établissement des priorités de l'entreprise. Quiconque travaille pour une compagnie aérienne vous dira que la sécurité est toujours, sans exception, la priorité absolue. Tout le reste vient en second. Si, dans la plupart des autres entreprises, la sécurité n'est pas une question de vie ou de mort, il est important de se rappeler à quel point toute brèche peut être dommageable pour une entreprise.
Si les clients n'ont plus le sentiment qu'ils peuvent faire confiance à une organisation pour leurs informations personnelles ou leurs affaires, cela peut signifier la fin de l'entreprise. Il faut faire comprendre à tous les employés que la sécurité passe toujours en premier et qu'il vaut mieux demander et s'assurer que l'on ne regrette rien après coup.
En ce qui concerne les mesures physiques, des éléments tels que les affiches peuvent contribuer à l'instauration d'une culture de la sécurité et constituent également des rappels utiles sur des sujets tels que la force des mots de passe. Il est important de se rappeler que le simple fait de coller une affiche sur un mur n'apporte rien en soi, mais qu'elle doit être utilisée comme point de départ d'une discussion, ou servir de complément au matériel de formation que les utilisateurs utilisent déjà.
Enfin, il est important de s'assurer que les employés sentent que leurs contributions à la sécurité sont valorisées. Lorsque les employés posent des questions, il faut toujours leur accorder du temps et de la considération, et s'assurer qu'ils comprennent parfaitement la réponse et pourquoi elle est importante pour la sécurité. Lorsque les utilisateurs signalent des problèmes de sécurité, ils doivent toujours être récompensés pour leur attention et leur contribution à la sécurité de l'entreprise.
Ce n'est pas seulement le format de la formation à la sensibilisation à la sécurité qui importe, mais aussi ce que vous y incluez. La formation doit aborder tous les sujets essentiels, sans être trop lourde pour les utilisateurs. Bien que chaque organisation et chaque fonction ait des exigences différentes, il existe des domaines essentiels qui méritent d'être connus de chaque utilisateur final, même brièvement.
Le top 12 de usecure : |
|
Nous pensons que vos utilisateurs finaux ne sont pas votre maillon faible, mais votre première ligne de défense.
usecure propose des formations de sensibilisation à la sécurité de courtes, conçues pour maintenir l'intérêt de vos utilisateurs.
Des vidéos divertissantes et un contenu interactif garantissent que les utilisateurs finaux attendent toujours avec impatience le prochain module de formation, tandis que l'automatisation intelligente au cœur de la plateforme usecure réduit au minimum le temps d'administration.
Accèder dès aujourd'hui à notre guide de formation à la sécurité informatique ! [ebook Gratuit]→