Qu'est-ce que la formation de sensibilisation à la sécurité et devriez-vous l'appliquer dans votre espace de travail?
Les rapports de recherche suggèrent que près de 90% de toutes les violations de données sont d'une manière ou d'une autre liées à une erreur humaine. Il est difficile de dire à quel point cette estimation est exacte, mais après avoir couvert plusieurs incidents liés à la cybersécurité jusqu'à présent, nous pouvons affirmer sans crainte que, dans la majorité des cas, les données sont compromises non pas en raison de l'intrépidité des pirates, mais en raison des responsables. le sécuriser n’en a pas fait assez. Les mots de passe faibles et autres erreurs de configuration sont monnaie courante, et les entreprises ne semblent pas vraiment savoir comment changer cela. Une fois de plus, il est loin d'être la plus simple chose au monde d'indiquer les raisons pour lesquelles le problème s'avère si difficile à résoudre. Peu de personnes sont toutefois disposées à affirmer que le manque de sensibilisation ne fait pas partie du problème.
Table of Contents
Les travailleurs n'en savent pas assez sur le paysage des menaces
Il est facile de blâmer la plupart des erreurs de cybersécurité sur l'imprudence, et il est juste de dire qu'un nombre non négligeable d'experts le font fréquemment. Nous estimons cependant que le plus souvent, les erreurs sont le résultat d'une simple ignorance.
Les utilisateurs ne protègent pas les comptes sensibles avec des mots de passe tels que "P @ ssword123!" parce qu'ils veulent que les données tombent entre de mauvaises mains. Ils le font parce qu'ils ne savent pas à quel point les attaques par force brute modernes peuvent facilement déchiffrer de tels mots de passe.
Ils placent des informations sensibles sur des serveurs mal sécurisés non pas parce qu'ils veulent voir la société dans laquelle ils travaillent qui font la manchette pour toutes les mauvaises raisons, mais parce qu'ils ne savent pas à quelle vitesse les cybercriminels peuvent trouver rapidement les données vulnérables.
En bref, si les gens savent à quel genre de danger ils sont confrontés, ils seront mieux préparés à s'en protéger.
Votre entreprise a-t-elle besoin d'un programme de formation à la sécurité?
Ce n'est pas une question de savoir s'il en a besoin. C'est une question de quel type de formation il a besoin. Malheureusement, comme il n’ya pas deux organisations identiques, y répondre n’est pas aussi simple que vous le souhaiteriez. Si vos employés traitent la plupart des données dans un environnement hors ligne, par exemple, leur apprendre à configurer correctement le pare-feu d'un serveur ne les aidera pas beaucoup.
Un bon programme de sensibilisation à la sécurité repose sur une connaissance approfondie des outils et des mécanismes avec lesquels vos travailleurs effectuent leur travail. Vous ou un expert engagé devez prendre en compte tous les détails si vous souhaitez réellement améliorer la sécurité de votre organisation. Cela nécessite effectivement beaucoup de temps et d'argent (potentiellement), mais les avantages de ce type de formation peuvent largement compenser les dépenses. Cependant, avant d’arriver à tout cela, vous devez enseigner à vos travailleurs certaines vérités fondamentales sur la sécurité du XXIe siècle dans le monde réel et sur Internet.
Les fondements de la formation à la sensibilisation à la sécurité
Un programme de formation complet et personnalisé, adapté aux besoins de votre entreprise, constitue le meilleur moyen d'améliorer la sécurité des données.. Avant d’y arriver, cependant, vous devez vous assurer que tout le monde est conscient de quelques menaces universelles qui doivent être prises en compte à la fois à la maison et au bureau. Nous allons maintenant les examiner et, espérons-le, aider vos travailleurs à rester plus en sécurité.
- Mauvaise hygiène de mot de passe
-
- Nous avons beaucoup discuté du problème des mots de passe sur ces pages et il est probablement temps que vous en parliez également avec vos employés. Au lieu de vous en tenir aux possibilités théoriques, essayez de leur donner des exemples concrets de menaces telles que
bourrage d'informations d'identification
-
- et
-
- attaques, et essayez de leur montrer comment ajouter "123!" à la fin d'un simple mot du dictionnaire ne fera pas beaucoup pour augmenter la force de leur mot de passe. Surtout, montrez-leur comment des outils dédiés de gestion de mots de passe comme le
-
- peuvent les aider à générer, organiser et stocker leurs données de connexion.
-
- Attaques de phishing
Le phishing est sans doute la cyberattaque la plus simple au monde. D'une part, dans la plupart des cas, il utilise la méthode de communication en ligne la plus ancienne et la plus connue (courrier électronique). Bien que les astuces de confiance utilisées par les escrocs soient souvent très astucieuses, le travail technique nécessaire pas autant. Croyez-le ou non, ce sont précisément les raisons pour lesquelles les attaques de phishing ont tendance à être si efficaces. Envoyer un grand nombre de courriels est économique, et proposer une astuce qui incitera les utilisateurs à cliquer sur le mauvais lien ou à ouvrir le mauvais fichier n'est pas très difficile du tout. Si vos travailleurs sont conscients de cela, ils seront plus susceptibles d'utiliser les outils à leur disposition pour se protéger.
-
- Absence d'authentification à deux facteurs
En activant l' authentification à deux facteurs (ou 2FA), vous créez un autre obstacle pour les pirates. Cela signifie que s'ils veulent accéder à votre compte, ils auront besoin non seulement de votre nom d'utilisateur et de votre mot de passe, mais également de l'accès à votre messagerie électronique, à votre téléphone ou à un de vos jetons physiques. Ceux-ci agissent comme le deuxième facteur qui limite la probabilité d'un accès non autorisé.
2FA n'est pas infaillible. Loin de là , en fait, mais c’est toujours le moyen le plus simple d’ajouter une couche de sécurité supplémentaire, et vos employés doivent absolument l’utiliser chaque fois que possible.
-
- Logiciels obsolètes et vulnérables
Une fois encore, expliquer théoriquement les dangers que posent les logiciels anciens a peu de chances de susciter l’attention de vos travailleurs. En revanche, si vous leur montrez comment les utilisateurs continuent à infecter leur PC par des logiciels malveillants en raison d'une faille de sécurité qui aurait dû être corrigée il y a deux ans, ils auront davantage tendance à écouter. L'installation en temps voulu de tous les correctifs de sécurité peut éviter beaucoup de maux de tête, tant pour les utilisateurs individuels que pour les organisations tout entières. Certes, cela peut parfois poser des problèmes, en particulier si le logiciel utilisé est plus complexe, mais cela ne peut pas être une excuse pour laisser les systèmes vulnérables. Après tout, une éventuelle violation de données ne doit pas seulement compromettre les informations des personnes; cela peut aussi nuire énormément à la réputation d'une organisation.
-
- La sécurité des appareils personnels
Vous pourriez faire valoir qu'il s'agit davantage d'une question de politique que de formation, mais néanmoins, à l'époque de la culture BYOD (Bring Your Own Device), nous ne pouvons l'ignorer. Les chercheurs ont surveillé les tendances et ont conclu que les travailleurs ont effectivement tendance à se sentir plus à l'aise lorsqu'ils travaillent avec leurs propres téléphones, ordinateurs portables ou tablettes. Les experts ont également conclu, toutefois, que beaucoup de personnes ne font pas assez pour protéger leurs données, car elles pensent ne rien avoir à perdre. Si vous laissez vos employés utiliser leurs appareils personnels pour des tâches liées au travail, vous devez vous assurer qu'ils sont parfaitement conscients de l'ampleur des enjeux. Vous devez également appliquer des règles sur ce qui peut et ce qui ne peut pas être effectué à partir d'un périphérique personnel, et vous voudrez peut-être envisager d'investir dans un système de gestion d' Identity Access (IAM) puissant.
-
- Sécurité physique
Si vos employés effectuent la majeure partie de leur travail à l'aide d'ordinateurs ou d'autres appareils électroniques, vous pourriez penser que cet élément n'est pas particulièrement important. Ce n'est pas tout à fait le cas, bien que. Bien sûr, l'accès à l'immeuble et au bureau dans lequel votre entreprise évolue doit être surveillé de près, mais il existe d'autres facteurs moins évidents à prendre en compte.
L'année dernière, par exemple, la Hawaiian Emergency Management Agency a fait la une après qu'un journaliste eut accidentellement photographié un post-it sur lequel un mot de passe était écrit. Même lorsque les données sont au format numérique, elles peuvent toujours être compromises dans le monde physique. En 2017, un employé de Heathrow a perdu une clé USB contenant des "données personnelles sensibles". La clé USB a finalement été retrouvée et rendue, mais le plus grand aéroport du Royaume-Uni a finalement été condamné à une amende d'environ 120 000 (environ 150 000 USD au taux de change actuel).
Il existe de nombreux autres exemples de données compromises dans le monde réel. C'est pourquoi il est important d'enseigner à vos employés que la sécurité des informations que vous mettez sur un périphérique de stockage portable est tout aussi importante que la sécurité des données que vous téléchargez en ligne.
Le reste du programme de formation devrait viser à rendre les tâches spécifiques à l'entreprise plus sûres et, encore une fois, il devrait être davantage axé sur des exemples concrets que sur des connaissances théoriques. Avant de pouvoir y arriver, vous devrez toutefois jeter les bases, et nous estimons que la liste ci-dessus est un bon début. Ce qui est bien, c’est que si vos travailleurs savent ce qu’ils ont à faire, ils sont plus susceptibles de fixer leurs propres règles et limites et de s’y tenir. Ceci, à son tour, rend votre travail beaucoup plus facile.