La formation de sensibilisation à la sécurité dispensée aux employés aide à éradiquer les comportements à risque qui pourraient mener à un compromis au sein du réseau. Les programmes de formation devraient couvrir toutes les principales menaces auxquelles votre entreprise est confrontée, y compris les attaques sur le web, le phishing, les logiciels malveillants et les arnaques d’ingénierie sociale par téléphone, par messagerie texte ou par les médias sociaux.
Trop souvent, les entreprises se concentrent sur la sécurisation du périmètre réseau à l’aide de pare-feu, le déploiement de solutions anti-malware avancées et la mise en œuvre d’autres contrôles technologiques tels que les filtres anti-spam et les systèmes de protection des terminaux, mais elles n’offrent pas de formation efficace aux employés en matière de sécurité.
Même lorsque des programmes de sensibilisation à la sécurité sont élaborés, il s’agit souvent de séances de formation en salle de classe une fois par année qui sont rapidement oubliées.
Si vous considérez la formation de sensibilisation à la sécurité pour les employés comme un élément à cocher une fois par an qui doit être complété pour assurer la conformité aux règlements de l’industrie, il y a de fortes chances que votre formation n’aura pas été efficace.
Le paysage de la menace évolue rapidement. Les cybercriminels changent souvent de tactique et développent de nouvelles méthodes pour attaquer les organisations. Si votre programme de sécurité n’intègre pas ces nouvelles méthodes d’attaque et que vous ne fournissez pas de cours de recyclage de sensibilisation à la sécurité à vos employés tout au long de l’année, vos employés seront plus susceptibles de tomber dans une escroquerie ou de s’engager dans des actions qui menacent la sécurité de vos données et l’intégrité de votre réseau.
De nombreuses entreprises n’offrent pas de formation efficace de sensibilisation à la sécurité à leurs employés
Une étude récente a mis en évidence l’inefficacité de nombreux programmes de formation à la sensibilisation à la sécurité. Positive Technologies a mené une étude de phishing et d’ingénierie sociale (social engineering) auprès de dix organisations afin de déterminer l’efficacité de leurs programmes de sensibilisation à la sécurité et la vulnérabilité des employés à certaines des attaques les plus courantes par email.
Il s’agit notamment des courriels comportant des pièces jointes potentiellement malveillantes, des emails comportant des hyperliens vers des sites web où l’employé devait entrer ses renseignements d’ouverture de session et des courriels contenant des pièces jointes et des liens vers un site web. Bien qu’aucun de ces courriels n’était de nature malveillante, ils reflétaient des scénarios d’attaque réels.
27 % des employés ont répondu aux courriels avec un lien qui leur demandait d’entrer leurs identifiants de connexion, 15 % ont répondu aux courriels avec liens et pièces jointes, et 7 % ont répondu aux courriels avec pièces jointes.
Même une entreprise comptant 100 employés pourrait voir plusieurs comptes de courriel compromis par une seule campagne de phishing ou avoir à faire face à plusieurs téléchargements de ransomwares. Le coût de l’atténuation des attaques dans le monde réel est considérable. Prenons l’attaque récente de la ville d’Atlanta contre un logiciel rançon par exemple. La résolution de l’attaque a coûté 2,7 millions de dollars à la ville, selon Channel 2 Action News.
L’étude a révélé un manque de sensibilisation à la sécurité dans chaque organisation. Alors que les employés représentaient la plus grande menace à la sécurité du réseau, représentant 31 % de toutes les personnes qui ont répondu aux courriels, 25 % étaient des superviseurs d’équipe qui auraient des privilèges élevés.
19% étaient des comptables, des employés administratifs ou des employés du département des finances, dont les ordinateurs et les identifiants de connexion seraient beaucoup plus précieux pour les attaquants. Les gestionnaires des ministères représentaient 13 % des répondants.
Même le département informatique n’était pas à l’abri. Bien qu’il n’y ait peut-être pas eu un manque de sensibilisation à la sécurité, 9 % des intervenants étaient dans les TI et 3 % dans la sécurité de l’information.
L’étude souligne à quel point il est important non seulement d’offrir une formation de sensibilisation à la sécurité aux employés, mais aussi de tester l’efficacité de la formation et de s’assurer qu’elle est continue, et pas seulement une fois par année pour s’assurer de sa conformité.
Conseils pour l’élaboration de programmes efficaces de sensibilisation à la sécurité des employés
Les programmes de sensibilisation à la sécurité des employés peuvent réduire la vulnérabilité aux attaques par hameçonnage et à d’autres menaces par courriel et sur le web.
Si vous voulez améliorer votre posture de sécurité, tenez compte de ce qui suit lorsque vous élaborez une formation de sensibilisation à la sécurité pour vos employés :
- Créez un point de référence par rapport auquel l’efficacité de votre formation peut être mesurée. Effectuez des simulations de phishing et déterminez le niveau global de sensibilité et les ministères les plus à risque
- Offrez une séance de formation en salle de classe une fois par an pour expliquer l’importance de la sensibilisation à la sécurité et traiter des menaces dont les employés devraient être conscients
- Utiliser des séances de formation informatisées tout au long de l’année et s’assurer que tous les employés suivent la séance de formation. Toutes les personnes ayant accès au courrier électronique ou au réseau devraient recevoir une formation générale, avec des sessions de formation spécifiques à l’emploi et au département pour faire face à des menaces spécifiques
- La formation devrait être suivie d’autres simulations de phishing et d’ingénierie sociale pour déterminer l’efficacité de la formation. Un échec de simulation de phishing devrait être transformé en une occasion de formation. Si les employés continuent d’échouer, réévaluez le style de formation offert
- Utilisez différentes méthodes de formation pour aider à la rétention des connaissances
- Gardez la sécurité à l’esprit grâce à des bulletins d’information, des affiches, des jeux-questionnaires et des jeux
- Mettez en place un système de signalement en un seul clic qui permet aux employés de signaler les courriels potentiellement suspects à leurs équipes de sécurité, qui peuvent rapidement prendre des mesures pour supprimer toutes les instances du courriel des boîtes de réception de l’entreprise.