Sécurité centrée sur les personnes : apprenez à vos collaborateurs à protéger votre entreprise

Spread the love
  • Yum

Sécurité centrée sur les personnes : apprenez à vos collaborateurs à protéger votre entreprise

Le rapport State of the Phish 2021 de Proofpoint révèle que 57 % des entreprises ont été victimes d’une attaque de phishing fructueuse l’année dernière. Les conséquences ont été désastreuses. Près de deux tiers des entreprises ont subi une fuite de données suite à une attaque, tandis que la moitié d’entre elles ont été ciblées par une compromission de compte ou d’identifiants de connexion.

Bien qu’ils ne constituent pas une menace inédite, les ransomwares ont continué à faire des dégâts en 2020. Même si la prévalence des attaques est similaire à celle des années précédentes, un plus grand nombre d’entreprises ont accepté de payer une rançon. Malheureusement, elles n’ont pas toujours obtenu les résultats escomptés.

Parmi les deux tiers d’entreprises victimes d’une attaque de ransomwares l’année dernière, la moitié ont décidé de payer la rançon. Seulement 60 % d’entre elles ont récupéré l’accès à leurs données après le premier paiement. Les autres ont fait l’objet de demandes de rançon supplémentaires ou n’ont reçu aucune réponse.

Le fait que des techniques anciennes telles que le phishing et les ransomwares soient toujours aussi redoutables devrait inquiéter les équipes de cybersécurité. S’il est évident que la pandémie a eu un impact sur les taux de succès des cyberattaques lancées l’année dernière, le problème est plus vaste.

La progression des menaces modernes de plus en plus ciblées et convaincantes est bien plus préoccupante. Les cybercriminels ciblent de plus en plus les personnes, plutôt que les réseaux ou l’infrastructure.

Et bien que les dispositifs de protection techniques évoluent rapidement, la sensibilisation des utilisateurs n’est toujours pas à la hauteur. À quoi bon fermer la porte à clé si vous laissez la fenêtre grande ouverte ?

publicité

Renforcement de la sensibilisation

La sensibilisation des utilisateurs est l’outil le plus important de votre arsenal de cyberdéfense. Elle est aussi essentielle que n’importe quel contrôle ou dispositif de protection technique. Pourtant, elle bénéficie rarement d’autant d’attention et de moyens.

Près de 100 % des entreprises interrogées ont mis en place un programme de formation à la sécurité. Mais ce chiffre n’est pas aussi mirifique qu’il y paraît.

Près de la moitié de ces entreprises organisent des formations de sensibilisation à la sécurité quatre fois par an au maximum, pour une durée n’excédant pas deux heures dans la plupart des cas. Pour ne rien arranger, seule la moitié d’entre elles proposent des formations à l’ensemble de leurs collaborateurs et seulement 60 % organisent des sessions de formation formelles (en personne ou en ligne).

Par ailleurs, 77 % des entreprises françaises ont demandé à la plupart de leurs utilisateurs de passer en télétravail en 2020 ou les y ont obligés, mais seulement 38 % d’entre elles forment leurs collaborateurs aux bonnes pratiques en matière de télétravail.

Ce manque de formations complètes se reflète dans le degré de sensibilisation des utilisateurs. Alors que les attaques de grande envergure font régulièrement les gros titres, vous serez peut-être surpris d’apprendre que seulement 33 % des utilisateurs comprennent correctement la définition du terme « ransomware ». Tout aussi inquiétant, 65 % et 63 % d’entre eux comprennent les termes « malware » et « phishing », respectivement.

Même si cela peut paraître aberrant aux yeux des professionnels de la cybersécurité, ces chiffres mettent en évidence le gouffre entre connaissance et compréhension.

Vos utilisateurs peuvent avoir eu vent de particuliers et de marques de renommée mondiale ayant été victimes d’attaques de phishing ou de ransomwares, sans pour autant comprendre les mécaniques de ces menaces ni le rôle qu’ils jouent dans la protection de votre entreprise contre celles-ci. Pour combler ces lacunes, les programmes de sensibilisation à la sécurité informatique doivent aller au-delà des principes de base des menaces courantes et former les utilisateurs à endosser leurs responsabilités en matière de cybersécurité.

Identification des VAP

Pour mieux protéger votre entreprise, vous devez d’abord identifier les cibles des attaques. Une fois que vous avez établi qui sont les utilisateurs les plus à risque, vous pouvez leur proposer une formation appropriée. Proofpoint appelle ces utilisateurs des VAP (Very Attacked People, ou personnes très attaquées).

Détachez-vous des idées reçues que vous pourriez avoir lors de l’identification de vos VAP. En effet, ceux-ci peuvent occuper n’importe quel poste à n’importe quel niveau de votre entreprise. Bien que les attaques à l’encontre des VIP (par exemple, des membres du conseil d’administration) puissent être plus lucratives, les cybercriminels visent souvent des collaborateurs à des rangs inférieurs de la hiérarchie. Qui plus est, les VAP varient considérablement selon les entreprises et les secteurs d’activité.

Dans un exemple récent, Proofpoint a constaté que les 20 principaux VAP d’un grand établissement de santé étaient également des VIP. À l’inverse, dans un établissement financier, seul un VIP a été ciblé sur la même période de trois mois.

Ce ne sont là que deux exemples parmi d’autres. À l’instar des formations de sensibilisation à la sécurité informatique, l’identification des VAP est une activité à réaliser régulièrement, car la liste des utilisateurs les plus ciblés n’est pas la même d’un mois à l’autre.

Une fois vos VAP identifiés, vous pouvez évaluer leur niveau de sensibilisation à la sécurité informatique. Ces informations vous permettront d’élaborer des programmes de formation sur mesure, qui tiennent compte du profil de risque de chaque utilisateur pour combler les lacunes critiques. C’est ce que l’on appelle la cybersécurité centrée sur les personnes. Elle constitue souvent le seul obstacle entre les cybercriminels et vos données, réseaux et systèmes.

Mise en place de cyberdéfenses centrées sur les personnes

 
Les cybercriminels sont prêts à tout pour attaquer votre entreprise. Si vous ne faites pas preuve de la même détermination pour vous défendre, ils remporteront la bataille à coup sûr.

Les contrôles techniques, les processus et les bonnes pratiques ne sont pas suffisants. Le comportement des utilisateurs représente le plus grand facteur de risque pour les entreprises d’aujourd’hui. Il est donc essentiel de modifier ce comportement pour ériger des cyberdéfenses robustes.

Pour cela, vous devez impérativement créer une culture dans laquelle la cybersécurité n’incombe pas uniquement à l’équipe informatique, mais est la responsabilité de chacun. Cette culture est entretenue par des formations de sensibilisation en contexte régulières, adaptées à vos utilisateurs, basées sur une threat intelligence en temps réel et tenant compte du paysage des menaces en constante évolution. Plus vous en savez sur les attaques ciblant votre entreprise, plus vos formations peuvent être personnalisées.

Vous ne formez pas vos utilisateurs simplement pour pouvoir cocher une case sur votre liste de tâches. Vous leur apprenez à défendre votre entreprise. Votre programme de formation et de sensibilisation à la sécurité informatique doit refléter cet objectif. Il ne doit pas se limiter à des définitions tirées du dictionnaire et à des simulations d’attaque. Il doit se concentrer sur le comportement des utilisateurs et sur la façon dont celui-ci peut accroître les risques. Pour renforcer l’engagement des collaborateurs, vous pouvez également les impliquer sur le plan technique.

Lorsque les utilisateurs comprennent le lien entre la réutilisation d’un mot de passe et une compromission de données, ou entre le clic sur un lien envoyé par un expéditeur inconnu et un ransomware, leur comportement change : 80 % des entreprises affirment que les formations de sensibilisation à la sécurité informatique ont réduit leur vulnérabilité aux cyberattaques.

La cybersécurité ne se limite plus à une discipline technique. À l’ère des attaques centrées sur les personnes, les connaissances et la sensibilisation sont primordiales. Plus vos utilisateurs possèdent des connaissances solides, plus votre entreprise est protégée.

Leave a Reply

%d bloggers like this: