Formation de sensibilisation à la cybersécurité : qu'est-ce que c'est et qu'est-ce qui fonctionne le mieux ?

Il existe un vieil adage en cybersécurité selon lequel les humains sont le maillon le plus faible de la chaîne de sécurité. C'est de plus en plus vrai, car les acteurs de la menace se font concurrence pour exploiter les employés crédules ou négligents. Mais il est également possible de transformer ce maillon faible en une formidable première ligne de défense. La clé est de déployer un outil efficace programme de formation de sensibilisation à la sécurité.

La recherche révèle que 82 % des violations de données analysées en 2021 impliquaient un « élément humain ». C'est un fait incontournable des cybermenaces modernes que les employés représentent une cible prioritaire pour les attaques. Mais donnez-leur les connaissances nécessaires pour repérer les signes avant-coureurs d'une attaque et pour comprendre quand ils peuvent mettre en danger des données sensibles, et il y a une énorme opportunité de faire progresser les efforts d'atténuation des risques.

Qu'est-ce qu'une formation de sensibilisation à la sécurité ?

La formation de sensibilisation n'est peut-être pas le meilleur surnom pour ce que les responsables de l'informatique et de la sécurité veulent réaliser dans leurs programmes. En réalité, l'objectif est de changer les comportements grâce à une meilleure éducation sur les principaux cyber-risques et sur les meilleures pratiques simples à apprendre pour les atténuer. Il s'agit d'un processus formalisé qui devrait idéalement couvrir une gamme de sujets et de techniques pour permettre aux employés de prendre les bonnes décisions. En tant que tel, il peut être considéré comme un pilier fondamental pour les organisations souhaitant créer un sécurité dès la conception culture d'entreprise.

Pourquoi une formation de sensibilisation à la sécurité est-elle nécessaire ?

Comme tout type de programme de formation, l'idée est d'améliorer les compétences de l'individu pour en faire un meilleur employé. Dans ce cas, améliorer leur sensibilisation à la sécurité sera non seulement très utile à l'individu alors qu'il navigue dans divers rôles, mais cela réduira le risque d'un faille de sécurité préjudiciable.

La vérité est que les utilisateurs professionnels sont au cœur de toute organisation. S’ils peuvent être piratés, l’organisation le peut aussi. De la même manière, l’accès dont ils disposent à des données sensibles et à des systèmes informatiques augmente le risque d’accidents qui pourraient également avoir un impact négatif sur l’entreprise.

Plusieurs tendances soulignent le besoin urgent de programmes de formation en sensibilisation à la sécurité :

Mots de passe Les informations d'identification statiques existent depuis aussi longtemps que les systèmes informatiques. Et malgré les plaidoyers des experts en sécurité au fil des ans, ils restent la méthode d'authentification des utilisateurs la plus populaire. La raison est simple : les gens savent instinctivement comment les utiliser. Le défi est qu'ils sont aussi un énorme cible pour les pirates. Parvenez à inciter un employé à les remettre, ou même à les deviner, et souvent rien d'autre ne s'oppose à un accès complet au réseau.

Plus de la moitié des employés américains ont écrit des mots de passe sur papier et stylo, selon une estimation. Mauvaises pratiques de mot de passe ouvrir la porte aux pirates. Et à mesure que le nombre d'informations d'identification dont les employés doivent se souvenir augmente, la probabilité d'utilisation abusive augmente également.

Ingénierie sociale: Les êtres humains sont des créatures sociables. Cela nous rend sensibles à la persuasion. Nous voulons croire les histoires qu'on nous raconte et la personne qui les raconte. C'est pourquoi l'ingénierie sociale fonctionne: l'utilisation par les auteurs de menaces de techniques persuasives telles que la pression temporelle et l'usurpation d'identité pour inciter la victime à exécuter ses ordres. Les meilleurs exemples sont phishing e-mails, SMS (alias effrayer) et les appels téléphoniques (alias vishing), mais il est également utilisé dans Attaques de compromission des e-mails professionnels (BEC) et autres arnaques.

L'économie de la cybercriminalité : Aujourd'hui, ces acteurs de la menace disposent d'un réseau souterrain complexe et sophistiqué de sites Web sombres via lesquels acheter et vendre des données et des services - tout, de l'hébergement à l'épreuve des balles au ransomware-as-a-service. C'est dit qu'il vaut des billions. Cette « professionnalisation » de l'industrie de la cybercriminalité a naturellement conduit les acteurs de la menace à concentrer leurs efforts là où le retour sur investissement est le plus élevé. Dans de nombreux cas, cela signifie cibler les utilisateurs eux-mêmes : les employés de l'entreprise et les consommateurs.

Fonctionnement hybride : Les travailleurs à domicile sont pensé être plus susceptibles de cliquer sur des liens de phishing et d'adopter des comportements à risque, comme l'utilisation d'appareils professionnels à des fins personnelles. Ainsi, l'émergence d'une nouvelle ère de travail hybride a ouvert la porte aux attaquants pour cibler les utilisateurs de l'entreprise lorsqu'ils sont les plus vulnérables. Sans parler du fait que les réseaux domestiques et les ordinateurs peuvent être moins bien protégés que leurs équivalents au bureau.

Pourquoi la formation est-elle importante ?

En fin de compte, une violation grave de la sécurité, qu'elle résulte d'une attaque de tiers ou d'une divulgation accidentelle de données, pourrait entraîner des dommages financiers et de réputation importants. UN une étude récente a révélé que 20% des entreprises qui ont subi une telle violation ont failli faire faillite en conséquence. Recherche séparée affirme que le coût moyen d'une violation de données dans le monde est désormais plus élevé que jamais : plus de 4.2 millions de dollars.

Il ne s’agit pas seulement d’un calcul de coûts pour les employeurs. De nombreuses réglementations telles que HIPAA, PCI DSS et Sarbanes-Oxley (SOX) exigent que les organisations conformes mettent en œuvre des programmes de formation de sensibilisation à la sécurité de leurs employés.

Comment faire fonctionner les programmes de sensibilisation

Nous avons expliqué le « pourquoi », mais qu'en est-il du « comment » ? Les RSSI doivent commencer par consulter les équipes RH, qui dirigent normalement les programmes de formation de l'entreprise. Ils peuvent être en mesure de fournir des conseils ad hoc ou un soutien plus coordonné.

Parmi les domaines à couvrir pourraient figurer :

• Ingénierie sociale et hameçonnage/vishing/smishing
• Divulgation accidentelle par e-mail
• Protection Web (recherche sécurisée et utilisation du Wi-Fi public)
• Meilleures pratiques de mot de passe et authentification multifacteur
• Travail à distance et à domicile en toute sécurité
• Comment repérer les menaces internes

Avant tout, gardez à l'esprit que les cours doivent être :

• Amusant et gamifié (pensez au renforcement positif plutôt qu'aux messages basés sur la peur)
• Basé sur des exercices de simulation en situation réelle
• Courir en continu tout au long de l'année en cours courts (10-15 minutes)
• Incluant tous les membres du personnel, y compris les cadres, les employés à temps partiel et les sous-traitants
• Capable de générer des résultats qui peuvent être utilisés pour ajuster les programmes en fonction des besoins individuels
• Adapté aux différents rôles

Une fois tout cela décidé, il est important de trouver le bon prestataire de formation. La bonne nouvelle est qu'il existe de nombreuses options en ligne à différents prix, y compris des outils gratuits. Compte tenu du paysage actuel des menaces, l'inaction n'est pas une option.