SECURITY AWARENESS: LA VALEUR DES PERSONNES DANS LA SÉCURITÉ D’ENTREPRISE

SECURITY AWARENESS: LA VALEUR DES PERSONNES DANS LA SÉCURITÉ D’ENTREPRISE

Ces dernières années, nous avons assisté à une évolution du mode opératoire des pirates informatiques, de plus en plus orientés vers les techniques d’ingénierie sociale et de phishing pour atteindre leurs cibles.

Paradoxalement, alors que les entreprises s’équipent pour répondre aux nouveaux besoins en mettant en œuvre des technologies, les cyberattaques ont tendance à contourner l’obstacle en frappant le dernier maillon faible, c’est-à-dire les personnes. Le facteur humain, en effet, est de plus en plus important pour maintenir la sécurité au sein des entreprises, surtout si l’on considère que la technologie ne peut pas faire grand-chose face au comportement inadéquat ou irresponsable d’un travailleur.

La plupart des incidents de cybersécurité sont dus à un manque de sensibilisation. Une mise à jour du rapport Clusit montre une augmentation des attaques exploitant les techniques de phishing et d’ingénierie sociale de 26% au premier semestre 2020. Dans ce contexte, le vol du nom d’utilisateur et du mot de passe d’un seul employé peut avoir de graves répercussions sur la sécurité de l’ensemble du réseau, en permettant une brèche dans les défenses de l’entreprise.

L’un des moyens les plus efficaces de contrer la menace du phishing est la formation et la sensibilisation de tous les employés, qui, associées à des technologies spécifiques, peuvent constituer une véritable valeur ajoutée pour les organisations.

Parmi les comportements à risque les plus courants, citons :

  • Partage involontaire de documents avec des parties extérieures à l’entreprise
  • L’utilisation de dispositifs non autorisés (tels que des clés USB)
  • L’utilisation de services externes tels que les réseaux sociaux et les webmails privés.
  • Ouvrir des pièces jointes sans vérifier l’expéditeur
  • Cliquez sur des liens malveillants

L’objectif de la sensibilisation à la sécurité est la formation à tous les niveaux, créant ainsi un processus horizontal capable de provoquer un changement culturel sur le sujet de la sécurité.

Mais quelles peuvent être les meilleures pratiques pour accroître la sensibilisation au sein des organisations ?

La formation annuelle ne suffisant pas à maintenir les connaissances acquises, il est désormais nécessaire de développer des campagnes coordonnées qui combinent formation et simulations de phishing. Il sera ainsi possible d’obtenir des données sur la propension à ouvrir les e-mails malveillants, qui pourront être utilisées pour déterminer l’efficacité de la campagne.

Les simulations doivent être effectuées de manière aléatoire afin de minimiser la baisse du taux d’ouverture des e-mails malveillants et ainsi obtenir des estimations plus précises de la possibilité d’être victime de phishing.

Le suivi régulier des tendances pourrait avoir un impact positif significatif sur l’organisation, en réduisant les risques et en sensibilisant les employés grâce à une méthodologie libérée des limites imposées par la formation traditionnelle, en utilisant une approche interactive équilibrée vers l’application pratique.

Pour faire face aux nouveaux types de menaces, les organisations doivent une fois de plus faire preuve d’une volonté de changement, en faisant preuve d’un esprit d’adaptation et en adoptant toutes les dernières méthodes disponibles pour assurer la sécurité de l’entreprise.