Ces dernières années, les actes de piratage informatique et le vol de données sensibles des entreprises ne cessent de faire la une des journaux.
Comme n’importe quelle organisation peut devenir une cible pour les cybercriminels, il est donc vital de prendre dès maintenant le temps d’examiner si votre organisation est vulnérable ou non.
Il existe différents types d’attaques, mais en général, les pirates visent le maillon le plus faible de votre chaine de cybersécurité : vos employés.
Même si vous disposez de nombreuses ressources pour protéger vos biens numériques, comme le département informatique, les pirates continuent à développer de nouvelles tactiques pour les contourner, comme le phishing, le spear phishing et l’ingénierie sociale.
En réalité, le paysage numérique évolue constamment et les entreprises peuvent avoir du mal à suivre les dernières tendances technologiques pour protéger leurs données. Heureusement, il existe des solutions que vous et vos collaborateurs pouvez adopter pour minimiser les risques.
L’un des meilleurs moyens est de former vos employés sur les attaques cybercriminelles. Si vous avez besoin de conseils pour assurer la réussite de vos séances de formation de sensibilisation à la sécurité, voici quelques bonnes pratiques à adopter.
L’importance de la formation de sensibilisation à la sécurité
Peu importe à quel point vos défenses de sécurité sont complètes et combien vous avez investi dans des produits de cybersécurité, ces défenses peuvent toutes être contournées avec un seul e-mail de phishing. Si un e-mail arrive dans la boite de réception d’un utilisateur qui n’a pas une compréhension de base de la sécurité et que ce dernier répond à ce message, des malwares peuvent s’installer, ou bien le cybercriminel peut autrement prendre pied dans votre réseau.
C’est le risque d’une telle attaque qui a incité de nombreuses organisations à élaborer un programme de sensibilisation à la sécurité. En enseignant à tous les employés les meilleures pratiques en matière de cybersécurité – du chef de la direction aux employés du niveau le plus bas – cela renforce grandement la sécurité et réduit la vulnérabilité de leur infrastructure informatique face à de nombreuses cyberattaques comme le phishing.
Cependant, il ne suffit pas d’offrir aux employés une séance de formation lorsqu’ils se joignent à l’entreprise. Il ne suffit pas non plus de donner une initiation à la cybersécurité suivie d’une session annuelle. On ne peut pas s’attendre à ce que les employés conservent leurs connaissances pendant 12 mois à moins que des séances fréquentes ne soient offertes. De plus, les cybercriminels développent constamment de nouvelles tactiques pour tromper les utilisateurs finaux. Les programmes de formation doivent donc suivre l’évolution de ces tactiques.
Les principaux types d’attaques cybercriminelles
On assiste actuellement à une épidémie de menaces cybercriminelles. Quels que soient vos données et ceux de vos collaborateurs, celles-ci ne sont plus en sécurité.
Mais ce qui pose vraiment problème, c’est que vos propres employés peuvent devenir des pions dans la prochaine menace d’un pirate hautement qualifié, d’un groupe de cybercriminels voire d’un État-nation.
Il importe donc de connaître les principaux types d’attaques cybercriminelles auxquelles vous et vos employés pourriez vous exposer.
Les attaques de phishing
Le phishing est une pratique courante utilisée par les pirates pour s’attaquer à une large cible d’utilisateurs avec des e-mails qui semblent authentiques.
Pourtant, ces messages sont destinés à amener leurs destinataires non avertis à cliquer sur des liens malveillants pour qu’ils divulguent différentes sortes d’informations sensibles (noms d’utilisateurs, mots de passe, informations financières, etc.).
Le phishing est l’une des menaces les plus dangereuses pour votre entreprise, car les pirates se cachent souvent derrière l’apparence d’une entreprise ou d’une personne de bonne réputation. Ils utilisent des tactiques d’ingénierie sociale pour rendre leurs victimes beaucoup plus susceptibles de tomber dans l’escroquerie.
Les attaques de spear phishing
Si le phishing consiste en quelque sorte au fait de jeter un large filet rempli d’appâts et de faire rentrer tout ce que les pirates informatiques peuvent attraper, le spear phishing, quant à lui, utilise une approche très ciblée pour attaquer des individus spécifiques.
Les victimes sont souvent des personnes ayant de grandes responsabilités ou qui ont accès à des biens numériques précieux.
L’e-mail de spear phishing est rédigé de façon personnalisée, c’est-à-dire que le pirate utilise toutes les informations disponibles pour faire en sorte que le message semble provenir d’un ami ou d’un collègue de travail. Ceci augmente les chances qu’il soit lu par son destinataire.
L’ingénierie sociale, ou social engineering
Le terme « ingénierie sociale » peut vous déconcerter, mais en réalité, il est facile de comprendre sa signification.
C’est un vecteur d’attaque cybercriminelle que les pirates peuvent utiliser pour accéder à des réseaux et des systèmes ou pour obtenir un gain financier en faisant appel à la psychologie humaine plutôt qu’à des méthodes de piratage technique.
Elle s’appuie sur l’interaction sociale pour manipuler les victimes afin que celles-ci contournent les meilleures pratiques et protocoles de sécurité mise en place au sein de leur entreprise.
Cette nouvelle tactique est très prisée par la communauté des pirates informatiques, car elle permet d’exploiter les failles des utilisateurs avec plus d’efficacité.
Quel est le coût d’une attaque de phishing ?
Avez-vous l’impression d’entendre souvent parler de phishing lorsqu’on évoque le terme de piratage informatique ?
Ce n’est pas le fruit de votre imagination, car au cours des cinq dernières années, le nombre de violations de données sensibles liées au phishing a augmenté de 67 %, et il ne montre aucun signe de ralentissement.
La grande majorité des cyberattaques commencent par des e-mails de phishing. Qu’il s’agisse d’inciter quelqu’un à cliquer sur un lien malveillant, de lui faire divulguer ses identifiants de connexion ou d’ouvrir une voie d’accès à votre réseau, les pirates peuvent causer des problèmes majeurs à votre entreprise en utilisant cette technique.
De nombreuses tentatives de phishing visent également à voler des données dans le but de les chiffrer puis de les échanger contre une rançon. À moins que vous ne payiez, vous n’obtiendrez pas la clé permettant de déchiffrer et donc de récupérer vos données.
Statistiques sur les attaques de phishing
Selon les estimations du FBI, les cybercriminels ont jusqu’alors volé plus de 11 milliards d’euros aux entreprises sur une période de cinq ans, et ce, en utilisant le phishing et la compromission de e-mails d’affaires (Business Email Compromise – BEC).
Une étude de l’université du Maryland a également révélé qu’une attaque de phishing se produit en moyenne toutes les 39 secondes, soit plus de 156 millions d’e-mails de phishing chaque jour.
Pire encore, plus de 16 millions de ces messages malveillants passent par les filtres des entreprises et la moitié d’entre eux sont ouverts par leurs destinataires.
C’est notamment ce qui est arrivé à certains des plus grandes enseignes comme Facebook et Google.
Ces géants du numérique se sont fait voler près de 92,5 millions d’euros lors d’une attaque de phishing ciblant les cadres du niveau C. La banque Crelan a, quant à elle, perdu plus de 69 millions d’euros, tandis que l’enseigne Upsher-Smith a perdu près de 46 millions d’euros suite à une attaque de phishing.
Les grandes entreprises ne sont pas les seules cibles du phishing. Près de la moitié des PME ont été attaquées et les résultats ont souvent été désastreux. Le fait est que plus 60 % des PME ayant été piratées ont fait faillite six mois après l’attaque.
Le coût moyen d’une fuite de données
Les statistiques sur les attaques de phishing montrent que le coût moyen d’une violation de données en 2018 était de 3,6 millions d’euros. Selon le rapport d’IBM en 2019, le coût d’une violation de données revient à environ 138 euros pour chaque enregistrement compromis.
Une fois que les pirates informatiques parviennent à pénétrer dans votre système, il peut s’écouler des mois avant que vos employés ne se rendent compte qu’ils sont victimes d’une attaque.
En moyenne, il faut 279 jours pour identifier et en contenir une. Entre le moment où une brèche se produit et celui où la menace est éliminée, il peut s’écouler environ 10 mois.
Une autre étude, menée par Accenture sur près d’un millier de cyberattaques, a révélé que le coût de la lutte contre les cyberattaques, le phishing et les malwares et les attaques a augmenté de 12 % par rapport à l’année précédente. En cinq ans, cela a augmenté de 72 %.
Pour faire face à l’augmentation de ces menaces cybercriminelles et pour protéger votre entreprise, il est donc important de former vos collaborateurs pour qu’ils comprennent les différents types d’attaques.
Dans ce qui suit, nous avons dressé une liste des meilleures pratiques à suivre. L’adoption de ces pratiques exemplaires vous permettra de faire évoluer la culture de sécurité au sein de votre organisation.
Bonnes pratiques en matière de formation de sensibilisation à la sécurité
Quand on parle des processus et des solutions de cybersécurité, les salariés sont souvent considérés comme les clés d’une protection performante contre les principales menaces en ligne. Mais ils doivent aussi être guidés par les équipes informatiques, les directeurs et hauts responsables. Ces derniers doivent insuffler les bonnes pratiques à leurs collaborateurs, que ce soit à travers la mise en place des systèmes de défense efficaces ; via la participation à des formations de sensibilisation ou à travers des actions quotidiennes simples.
Vous trouverez ci-dessous une liste de pratiques exemplaires en matière de sensibilisation à la sécurité qui vous aideront à élaborer un programme de formation efficace. Au final, elles vous aideront à prévenir les atteintes à la protection des données.
L’implication de la direction est un must
On dit souvent que le maillon le plus faible de la chaîne de sécurité d’une organisation est les employés.
Il n’est pas non plus surprenant que les cadres supérieurs soient moins enthousiastes à l’idée de participer à une formation sur la sensibilisation à la sécurité web. Beaucoup d’entre eux considèrent que cela fait perdre leur temps et empiète sur la productivité de leurs employés. Bien que cela puisse être vrai dans de rares cas, il faut savoir que la direction peut aussi devenir le maillon faible d’un système d’information.
Si la direction ne s’intéresse pas activement à la cybersécurité et ne se rend pas compte de l’importance de l’élément humain dans la sécurité, il est peu probable qu’un soutien suffisant soit fourni et que des ressources appropriées soient disponibles.
Bref, il faut une bonne implication de la direction pour créer une culture de sécurité au sein d’une organisation.
Un effort à l’échelle de l’organisation est nécessaire
Un seul département se verra probablement confier la responsabilité d’élaborer et de mettre en œuvre un programme de sensibilisation à la sécurité, mais ce ne sera pas facile à réaliser s’il travaille en vase clos. L’aide d’autres départements sera nécessaire.
Les chefs des différents départements doivent également apporter leur contribution et faire en sorte que le programme de formation de sensibilisation à la sécurité soit considéré comme l’une des priorités.
Afin d’alléger le fardeau du service IT, les membres d’autres services peuvent soutenir, voire participer aux efforts de formation. D’autres services, comme le marketing, peuvent par exemple les aider dans l’élaboration du contenu des documents de formation. Quant au service des ressources humaines, il peut contribuer dans la définition des politiques et des procédures de sécurité informatique.
Création d’un contenu de formation sur la sensibilisation à la sécurité
Il n’est pas nécessaire d’élaborer un contenu de formation pour les employés à partir de zéro, car il existe de nombreuses ressources gratuites qui peuvent vous donner une longueur d’avance.
De nombreuses entreprises offrent du matériel de formation de haute qualité à un prix qui est probablement inférieur au coût d’élaboration du matériel de formation interne. Vous pouvez donc tirer parti de ces ressources, mais assurez-vous d’élaborer un programme de formation adapté aux menaces qui pèsent sur votre organisation et le secteur dans lequel vous évoluez.
Votre programme de formation doit être complet : s’il existe des lacunes, il est certain que les cybercriminels vont les exploiter tôt ou tard.
L’importance d’une formation à la cybersécurité diverse
L’adoption d’une formation basée sur une approche unique est vouée à l’échec, car les gens réagissent différemment aux différentes méthodes de formation.
Certains peuvent conserver davantage de connaissances grâce à une formation en classe, tandis que d’autres peuvent avoir besoin d’une formation individuelle ; et beaucoup d’entre eux apprécieront davantage des séances de formation sur la TCC.
Votre programme de formation doit donc inclure un large éventail de méthodes et différents styles d’apprentissage. Plus votre programme est engageant, plus les connaissances seront conservées. Utilisez des affiches, des bulletins d’information, des alertes de sécurité par email, des jeux et des séries de jeux-questionnaires et vous constaterez certainement d’importantes améliorations en matière de sensibilisation de vos employés à la sécurité.
Mesurez toujours vos efforts en matière de cybersécurité
La mise en place des mesures d’évaluation des efforts est essentielle pour vous permettre de connaître l’impact de votre programme de formation et de démontrer son retour sur investissement.
Sur ce point, vous ne devez pas vous contenter de vous concentrer sur la sympathie. Ce qui compte, c’est le changement de comportement de vos employés. Heureusement, ce changement de comportement est mesurable grâce à des contrôles techniques correctement configurés qui favorisent le suivi des résultats et la création de rapports.
Les contrôles de sécurité des points finaux vous permettent par exemple de mesurer les taux d’infection par des malwares. Vous pouvez également procéder à des tests du niveau de connaissance de vos employés pour identifier les domaines à améliorer ou bien les employés qui pourraient avoir besoin d’une formation supplémentaire.
Vous pouvez par exemple élaborer un programme de formation qui semble très impressionnant pour vos employés. Pourtant, si ces derniers ne réussissent à conserver que 20 % du contenu, alors votre programme de formation ne sera pas très efficace.
L’une des meilleures façons de déterminer l’efficacité de votre programme est de simuler des attaques cybercriminelles. Des exercices de simulation d’attaque de phishing et d’autres scénarios d’attaques informatiques devraient alors être effectués avant, pendant et après la formation.
Ainsi, vous serez en mesure d’évaluer l’efficacité de tous les éléments du programme et d’obtenir les commentaires dont vous avez besoin pour identifier les points faibles. Grâce à cela, vous pourrez aussi prendre des mesures dans le but d’améliorer votre programme de formation.
La formation de sensibilisation à la sécurité doit être un processus continu
N’oubliez pas qu’un programme de formation de sensibilisation à la sécurité ne doit pas être considéré comme une case à cocher et une tâche à oublier une fois qu’elle est achevée.
Votre programme doit se dérouler de façon continue et comprendre une séance de formation annuelle pour tous les employés, des séances de formation semestrielles et d’autres activités de formation réparties tout au long de l’année.
L’objectif étant toujours de s’assurer que tous les dirigeants et employés sont toujours conscients de l’importance de la sécurité informatique, quel que soit le type d’organisation dans laquelle ils travaillent.
Ne blâmez pas vos employés
Lorsqu’une attaque se produit au sein d’une entreprise, les responsables de la sécurité ou les membres de la direction concluent souvent que c’est la faute d’un employé malchanceux qui a cliqué sur un lien malveillant, ouvert une pièce jointe ou visité un site compromis.
Même si c’est vrai, ce n’est pas une raison de blâmer l’un de vos employés de ne pas avoir les bonnes connaissances et pris les mesures adéquates au bon moment.
C’est n’est qu’un moyen d’éviter la responsabilité de l’organisation de s’assurer que ses employés obtiennent une formation adaptée pour mieux sécuriser son réseau et ses données.
Il incombe à votre entreprise de mettre au point un plan pour s’assurer que chacun dispose des connaissances nécessaires pour que chaque employé puisse prendre la bonne décision et s’adresser à la bonne personne en cas de besoin.
Autrement dit, il faut être clair sur ce que vos collaborateurs doivent faire si quelqu’un reçoit des e-mails de phishing, divulgue des informations confidentielles ou télécharge par inadvertance des malwares.
Pour ce faire, vous devez adopter plusieurs approches et changer de mentalité. Vous ne devriez pas considérer la personne qui a ouvert la mauvaise pièce joute comme le point d’échec.
Au contraire, vous devriez reconnaître que les solutions de sécurité utilisées par cette personne ou la formation qu’elle a reçue ont échoué.
N’oubliez pas les travailleurs distants
Les travailleurs distants peuvent représenter des menaces pour la sécurité de votre système d’information. Comme le déconfinement est encore loin d’avoir mis fin au télétravail, cette pratique nécessite l’adoption de mesures de sécurité renforcées.
En tant qu’employeur, les ordinateurs vos collaborateurs peuvent déjà disposer de pare-feux, de logiciels antivirus et antimalwares, et d’autres systèmes de sécurité informatique (messagerie instantanée sécurisée, système de partage de fichiers, système d’authentification multifacteurs, etc.). Mais vous devez aussi leur apprendre à sécuriser leurs activités professionnelles afin d’éviter les cyberattaques.
Lors des séances de formations, apprenez donc à vos employés distants à séparer leurs activités personnelles de leurs tâches professionnelles. Vous devez aussi les inciter à utiliser un réseau privé virtuel ou un VPN pour sécuriser leurs données professionnelles, à créer et utiliser des mots de passe sécurisés et à faire une sauvegarde régulière de leurs données, entre autres.
Conclusion
L’argument en faveur de la formation de sensibilisation à la sécurité des employés est simple : si vos employés ne savent pas comment reconnaître une menace, ne vous attendez pas à ce qu’ils puissent les éviter, les signaler ou les bloquer.
En sensibilisant vos employés aux menaces cybercriminelles ; à la manière dont elles peuvent se présenter et évoluer ; et aux procédures à suivre si une attaque se produit, vous renforcez les maillons les plus vulnérables de votre chaîne de sécurité.
Mais malgré tous efforts répétés en matière de formation, n’oubliez pas que vos employés sont des êtres humains. Un jour ou l’autre, ils pourront encore faire des erreurs. C’est pour cela que vous aurez besoin de déployer des logiciels anti-phishing fiables qui s’intègrent aux systèmes d’exploitation que vous utilisez.
Spécialiste dans la fourniture de solution de sécurité contre les attaques de phishing, de spear phishing, de malwares et d’ingénierie sociale, TitanHQ propose des solutions adaptées aux besoins des entreprises et des fournisseurs de services gérés. Pour plus d’informations à propos de nos solutions SpamTitan et WebTitan, contactez notre équipe dès aujourd’hui.