La formation de sensibilisation à la sécurité dispensée aux employés aide à éradiquer les comportements à risque qui pourraient mener à un compromis au sein du réseau informatique.
Les programmes de formation devraient couvrir toutes les principales menaces auxquelles votre entreprise est confrontée, y compris les attaques sur le web, les e-mails de phishing, les malwares et les escroqueries d’ingénierie sociale par téléphone, par messagerie texte ou par les médias sociaux.
Trop souvent, les entreprises se concentrent sur la sécurisation du périmètre réseau à l’aide de pare-feu, en déployant des solutions antimalware avancées et en mettant en œuvre d’autres contrôles technologiques tels que les filtres anti-spam et les systèmes de protection des terminaux.
Par contre, elles n’offrent pas de formation efficace en matière de sécurité à leurs employés. Et même lorsque des programmes de sensibilisation à la sécurité sont élaborés, les entreprises optent souvent pour une séance de formation en salle qui se déroule une fois par an. Les employés peuvent donc rapidement les oublier.
Si vous considérez que la formation de sensibilisation à la sécurité pour les employés est un élément à cocher une fois par an et qui doit être réalisé pour s’assurer tout simplement de la conformité vis-à-vis des réglementations du secteur, il y a de fortes chances que votre formation n’aura pas été efficace.
Le paysage des menaces cybercriminelles évolue rapidement. Celles-ci changent souvent de tactique et développent de nouvelles méthodes pour attaquer les organisations.
Si votre programme de sécurité n’intègre pas ces nouvelles méthodes d’attaque et que vous ne fournissez pas de cours de recyclage de sensibilisation à la sécurité à vos employés tout au long de l’année, ils seront plus susceptibles de tomber dans une escroquerie ou de s’engager dans des actions qui menacent la sécurité de vos données et l’intégrité de votre réseau.
De nombreuses entreprises n’offrent pas de formation efficace de sensibilisation à la sécurité à leurs employés
Une étude récente a mis en évidence l’inefficacité de nombreux programmes de formation à la sensibilisation à la sécurité. Positive Technologies a mené une étude sur le phishing et sur l’ingénierie sociale auprès de dix organisations afin de déterminer l’efficacité de leurs programmes de sensibilisation concernant la sécurité et la vulnérabilité des employés vis-à-vis des escroqueries les plus courantes par e-mails.
Il s’agit notamment des e-mails comportant des pièces jointes potentiellement malveillantes, des e-mails comportant des hyperliens vers des sites web où l’employé devait entrer ses renseignements d’ouverture de session, et des e-mails contenant des pièces jointes et des liens vers un site web.
Bien qu’aucun de ces e-mails ne soit de nature malveillante, ils reflétaient des scénarios d’attaque réels.
27% des employés ont répondu aux e-mails avec un lien qui leur demandait d’entrer leurs identifiants de connexion. 15% ont répondu aux e-mails avec des liens et des pièces jointes, et 7% ont répondu aux e-mails avec des pièces jointes.
Même une entreprise comptant 100 employés pourrait voir plusieurs comptes de messagerie compromis par une seule campagne de phishing ou télécharger de logiciels de ransomware. En réalité, le coût de l’atténuation des attaques cybercriminelles est considérable. Prenons l’exemple de l’attaque de ransomware récente menée contre la ville d’Atlanta. Selon Channel 2 Action News, la résolution de l’attaque a coûté 2,7 millions de dollars à la ville.
L’étude a révélé un manque de sensibilisation à la sécurité dans chaque organisation. Alors que les employés représentaient la plus grande menace à la sécurité du réseau, représentant 31% de toutes les personnes ayant répondu aux e-mails. 25% étaient des superviseurs d’équipe qui auraient des privilèges élevés.
19% étaient des comptables, des employés administratifs ou des employés du département des finances, dont les ordinateurs et les identifiants de connexion seraient beaucoup plus précieux pour les attaquants. Les gestionnaires des ministères représentaient 13% des répondants.
Même le département informatique n’était pas à l’abri des menaces. Bien qu’il n’y ait peut-être pas eu un manque de sensibilisation à la sécurité, 9% des répondants étaient dans les départements informatiques et 3% dans la sécurité de l’information.
Pour garantir la sécurité informatique, l’étude souligne qu’il est important non seulement d’offrir une formation de sensibilisation aux employés, mais aussi de tester l’efficacité de la formation et de s’assurer qu’elle est continue, et pas seulement une fois par an.
Conseils pour l’élaboration de programmes efficaces de sensibilisation à la sécurité des employés
Les programmes de sensibilisation à la sécurité des employés peuvent réduire la vulnérabilité aux attaques par phishing et à d’autres menaces par e-mail et sur le web.
Si vous voulez améliorer la sécurité de votre réseau informatique, vous devriez tenir compte des éléments suivants lorsque vous allez élaborer une formation de sensibilisation pour vos employés :
- Créez un point de référence par rapport auquel l’efficacité de votre formation pourra être mesurée. Effectuez des simulations de phishing et déterminez le niveau global de sensibilité et les départements les plus à risque.
- Offrez une séance de formation en salle une fois par an, qui explique l’importance de la sensibilisation à la sécurité et qui traite les menaces dont les employés devraient être conscients.
- Utilisez des séances de formation informatisées tout au long de l’année et assurez-vous que tous vos employés en bénéficient. Toute personne ayant accès à la messagerie électronique ou au réseau devrait recevoir une formation générale – avec des sessions de formation spécifiques à l’emploi et au département – pour qu’elle puisse éviter les menaces spécifiques.
- La formation devrait être suivie d’autres simulations de phishing et d’ingénierie sociale pour déterminer l’efficacité de la formation. Un échec de la simulation de phishing devrait être considéré comme une nouvelle opportunité de formation pour vos employés. Si ces derniers continuent d’échouer, réévaluez le style de formation que vous leur offrez.
- Utilisez différentes méthodes de formation pour favoriser la rétention des connaissances.
- Rappelez à vos employés l’importance de la sécurité informatique, et ce, grâce à des bulletins d’information, des affiches, des jeux-questionnaires et des jeux.
Mettez en place un système de signalement en un seul clic pour permettre à vos employés de signaler les e-mails potentiellement suspects à leurs équipes de sécurité.
Celles-ci pourront donc prendre rapidement des mesures pour supprimer toutes les occurrences de ces e-mails dans les boîtes de réception de l’entreprise.