Blog

Sensibilisation à la sécurité : les employés ne seraient pas assez formés

par Editeur | Avr 23, 2019 | Sécurité réseau

La formation de sensibilisation à la sécurité dispensée aux employés aide à éradiquer les comportements à risque qui pourraient mener à un compromis au sein du réseau. Les programmes de formation devraient couvrir toutes les principales menaces auxquelles votre entreprise est confrontée, y compris les attaques sur le web, le phishing, les logiciels malveillants et les arnaques d’ingénierie sociale par téléphone, par messagerie texte ou par les médias sociaux.

Trop souvent, les entreprises se concentrent sur la sécurisation du périmètre réseau à l’aide de pare-feu, le déploiement de solutions anti-malware avancées et la mise en œuvre d’autres contrôles technologiques tels que les filtres anti-spam et les systèmes de protection des terminaux, mais elles n’offrent pas de formation efficace aux employés en matière de sécurité.

Même lorsque des programmes de sensibilisation à la sécurité sont élaborés, il s’agit souvent de séances de formation en salle de classe une fois par année qui sont rapidement oubliées.

Si vous considérez la formation de sensibilisation à la sécurité pour les employés comme un élément à cocher une fois par an qui doit être complété pour assurer la conformité aux règlements de l’industrie, il y a de fortes chances que votre formation n’aura pas été efficace.

Le paysage de la menace évolue rapidement. Les cybercriminels changent souvent de tactique et développent de nouvelles méthodes pour attaquer les organisations. Si votre programme de sécurité n’intègre pas ces nouvelles méthodes d’attaque et que vous ne fournissez pas de cours de recyclage de sensibilisation à la sécurité à vos employés tout au long de l’année, vos employés seront plus susceptibles de tomber dans une escroquerie ou de s’engager dans des actions qui menacent la sécurité de vos données et l’intégrité de votre réseau.

De nombreuses entreprises n’offrent pas de formation efficace de sensibilisation à la sécurité à leurs employés

Une étude récente a mis en évidence l’inefficacité de nombreux programmes de formation à la sensibilisation à la sécurité. Positive Technologies a mené une étude de phishing et d’ingénierie sociale (social engineering) auprès de dix organisations afin de déterminer l’efficacité de leurs programmes de sensibilisation à la sécurité et la vulnérabilité des employés à certaines des attaques les plus courantes par email.

Il s’agit notamment des courriels comportant des pièces jointes potentiellement malveillantes, des emails comportant des hyperliens vers des sites web où l’employé devait entrer ses renseignements d’ouverture de session et des courriels contenant des pièces jointes et des liens vers un site web. Bien qu’aucun de ces courriels n’était de nature malveillante, ils reflétaient des scénarios d’attaque réels.

27 % des employés ont répondu aux courriels avec un lien qui leur demandait d’entrer leurs identifiants de connexion, 15 % ont répondu aux courriels avec liens et pièces jointes, et 7 % ont répondu aux courriels avec pièces jointes.

Même une entreprise comptant 100 employés pourrait voir plusieurs comptes de courriel compromis par une seule campagne de phishing ou avoir à faire face à plusieurs téléchargements de ransomwares. Le coût de l’atténuation des attaques dans le monde réel est considérable. Prenons l’attaque récente de la ville d’Atlanta contre un logiciel rançon par exemple. La résolution de l’attaque a coûté 2,7 millions de dollars à la ville, selon Channel 2 Action News.

L’étude a révélé un manque de sensibilisation à la sécurité dans chaque organisation. Alors que les employés représentaient la plus grande menace à la sécurité du réseau, représentant 31 % de toutes les personnes qui ont répondu aux courriels, 25 % étaient des superviseurs d’équipe qui auraient des privilèges élevés.

19% étaient des comptables, des employés administratifs ou des employés du département des finances, dont les ordinateurs et les identifiants de connexion seraient beaucoup plus précieux pour les attaquants. Les gestionnaires des ministères représentaient 13 % des répondants.

Même le département informatique n’était pas à l’abri. Bien qu’il n’y ait peut-être pas eu un manque de sensibilisation à la sécurité, 9 % des intervenants étaient dans les TI et 3 % dans la sécurité de l’information.

L’étude souligne à quel point il est important non seulement d’offrir une formation de sensibilisation à la sécurité aux employés, mais aussi de tester l’efficacité de la formation et de s’assurer qu’elle est continue, et pas seulement une fois par année pour s’assurer de sa conformité.

Conseils pour l’élaboration de programmes efficaces de sensibilisation à la sécurité des employés

Les programmes de sensibilisation à la sécurité des employés peuvent réduire la vulnérabilité aux attaques par hameçonnage et à d’autres menaces par courriel et sur le web.

Si vous voulez améliorer votre posture de sécurité, tenez compte de ce qui suit lorsque vous élaborez une formation de sensibilisation à la sécurité pour vos employés :

• Créez un point de référence par rapport auquel l’efficacité de votre formation peut être mesurée. Effectuez des simulations de phishing et déterminez le niveau global de sensibilité et les ministères les plus à risque
• Offrez une séance de formation en salle de classe une fois par an pour expliquer l’importance de la sensibilisation à la sécurité et traiter des menaces dont les employés devraient être conscients
• Utiliser des séances de formation informatisées tout au long de l’année et s’assurer que tous les employés suivent la séance de formation. Toutes les personnes ayant accès au courrier électronique ou au réseau devraient recevoir une formation générale, avec des sessions de formation spécifiques à l’emploi et au département pour faire face à des menaces spécifiques
• La formation devrait être suivie d’autres simulations de phishing et d’ingénierie sociale pour déterminer l’efficacité de la formation. Un échec de simulation de phishing devrait être transformé en une occasion de formation. Si les employés continuent d’échouer, réévaluez le style de formation offert
• Utilisez différentes méthodes de formation pour aider à la rétention des connaissances
• Gardez la sécurité à l’esprit grâce à des bulletins d’information, des affiches, des jeux-questionnaires et des jeux
• Mettez en place un système de signalement en un seul clic qui permet aux employés de signaler les courriels potentiellement suspects à leurs équipes de sécurité, qui peuvent rapidement prendre des mesures pour supprimer toutes les instances du courriel des boîtes de réception de l’entreprise.

L’utilisation abusive d’internet en entreprise (cyberloafing) coûte cher, selon une nouvelle étude

par Editeur | Avr 19, 2019 | Sécurité réseau

Une nouvelle étude publiée dans le Journal of Psychosocial Research on Cyberspace sur le problème du cyberloafing souligne non seulement le coût que cela représente pour les entreprises, mais aussi les impacts de ce comportement sur les employés.

En effet, le cyberloafing, nom anglais pour désigner l’utilisation abusive d’internet en entreprise, implique des pertes de productivité majeures. Et pour les employés, cette pratique peut nuire gravement à leurs perspectives de carrière.

Le coût commercial du cyberloafing

Les employeurs paient leurs employés pour qu’ils travaillent, mais ces derniers ont souvent tendance à perdre une grande partie de leur temps à faire du cyberloafing. Ce qui réduit considérablement leur productivité et donc les profits de l’entreprise.

Ladite étude a été menée auprès de 273 employés.

Elle consistait à mesurer les impacts du cyberloafing en entreprise ainsi que les traits ayant conduit à ce comportement. Elle a révélé une corrélation du cyberloafing avec les sombres personnalités des employés, telles que la psychopathie, le machiavélisme et le narcissisme.

L’étude a également permis de constater que les employés perdent énormément leur temps, car leur comportement n’a pas encore réellement affecté leur travail. Pourquoi ? Parce que les sites qu’ils ont les plus visités n’étaient pas des sites de médias sociaux, mais des sites de nouvelles et des sites de vente en ligne.

L’idéal est que, chaque jour, les employés disposent du temps pour l’utilisation personnelle d’Internet et réalisent leur travail quotidien sans perdre leur productivité. Certains employés parviennent à le faire, en limitant leur utilisation personnelle d’Internet pour que cela ne nuise pas à l’accomplissement de leurs tâches professionnelles.

Mais pour la plupart des employés de nos jours, le cyberloafing constitue un véritable problème, car il est à l’origine d’énormes pertes pour les employeurs.

Une étude sur le cyberloafing réalisée en 2013 par Salary.com a montré que 69 % des employés perdent du temps au travail tous les jours, dont 64 % visitent des sites non liés à leurs tâches quotidiennes. Parmi ces personnes, 39 % ont déclaré avoir perdu jusqu’à une heure sur Internet au travail, et 29 % affirment en avoir perdu 1 à 2. 32 % ont également répondu qu’ils ont perdu plus de 2 heures par jour.

Le cyberloafing peut faire une énorme brèche dans les profits de l’entreprise. Une entreprise comptant 100 employés, qui consacrent chacun une heure par jour à l’utilisation personnelle d’Internet, subirait des pertes de productivité de plus de 25 000 heures-hommes par an.

Les pertes de productivité causées par le cyberloafing ne sont pas le seul problème. Lorsque les employés utilisent Internet pour des raisons personnelles, leurs actions ralentissent le réseau, ce qui ralentit la vitesse d’Internet pour tous. Par ailleurs, l’utilisation personnelle d’Internet augmente le risque d’attaques de malwares et de virus, ce qui peut entraîner d’autres pertes de productivité. A cela s’ajoute le coût de la résolution de problèmes causés par ces attaques qui s’avère souvent très important.

Que peuvent faire les employeurs face à l’utilisation abusive d’internet en entreprise ?

Tout d’abord, il est essentiel que le personnel soit informé des politiques de l’entreprise et des impacts de leurs comportements inacceptables en matière d’utilisation personnelle d’Internet.

Augmenter la surveillance et indiquer clairement que l’utilisation personnelle d’Internet est règlementée peut constituer un excellent moyen de dissuasion. Mais les employés doivent également savoir que, lorsque l’utilisation personnelle d’Internet atteint des niveaux problématiques, cela peut avoir des répercussions non négligeables sur leur travail.

Bien entendu, s’il n’y a pas de systèmes de pénalisation des employés qui enfreignent les règles, ou bien si les politiques de l’entreprise ne sont pas appliquées, ces surveillances n’auront que peu d’impact sur le cyberloafing.

En ce qui concerne les pénalités, il incombe à l’employeur d’en décider.

Des mesures pourraient être prises à l’encontre des personnes concernées par le biais de procédures disciplinaires standard comme les avertissements verbaux ou écrits. Des contrôles pourraient également être mis en place lorsque les employés passent trop de temps en ligne, comme la mise en place de solutions de filtrage de sites web.

Ces solutions peuvent limiter l’accès aux médias sociaux, aux sites d’actualité, etc. A noter que le blocage peut être temporaire, par exemple, si l’employeur veut permettre l’utilisation personnelle d’Internet pendant les pauses ou pendant les périodes où la charge de travail est généralement faible.

WebTitan – Une solution facile pour réduire les pertes de productivité et limiter le cyberloafing

WebTitan est un filtre Internet dédié aux entreprises. Il peut être utilisé pour éviter la perte de productivité liée au cyberloafing, en bloquant l’accès aux contenus Web jugés inacceptables en entreprise.

WebTitan permet de configurer facilement les contrôles Internet pour un employé, un groupe d’utilisateurs ou l’ensemble de l’organisation, avec la possibilité d’appliquer des contrôles de filtrage web temporaires.

Empêcher tous les employés de faire du cyberloafing par des sanctions n’est peut-être pas la meilleure façon d’avancer, car cela pourrait avoir un impact négatif sur leur moral. Cela pourrait également réduire leur productivité et favoriser le développement d’un environnement de travail hostile. Le filtrage web peut aider les employeurs à éviter de telles situations et réduire la responsabilité légale des entreprises, en évitant les activités illégales et l’accès à des contenus pour adultes sur le lieu de travail.

Si vous souhaitez améliorer la productivité de vos collaborateurs et appliquer les politiques d’utilisation d’Internet dans votre organisation, contactez TitanHQ.

Comment contrôler l’accès à internet en entreprise ?

par Editeur | Avr 18, 2019 | Sécurité réseau

Il y a de nombreuses raisons pour lesquelles les entreprises veulent contrôler l’utilisation d’Internet par leurs employés.

Permettre à ces derniers d’avoir un accès illimité à Internet durant les heures de travail peut entraîner une perte de productivité importante, augmenter le risque de téléchargement de malwares et de ransomwares et impliquer certains problèmes juridiques.

Pour toutes ces raisons, nombre d’entreprises choisissent donc d’utiliser une solution technologique permettant d’appliquer une politique d’utilisation d’Internet acceptable.

Dans ce dossier, nous allons nous focaliser sur les principaux avantages qui peuvent découler de l’utilisation d’un filtre web en vue de limiter l’accès à Internet sur le lieu de travail. Nous allons également voir les problèmes liés à l’utilisation d’un logiciel de contrôle de contenu pour limiter l’accès à Internet dans une entreprise.

Le problème de l’utilisation personnelle d’Internet au travail

De nombreux employés ont l’habitude de consacrer un pourcentage considérable de leur journée de travail à l’utilisation personnelle d’Internet, à des jeux en ligne ou à l’accès à leurs comptes sur les réseaux sociaux. Bien entendu, le simple fait d’imposer des restrictions de l’accès à certains sites web ne permet pas d’éliminer les temps gaspillés par les employés pour se détendre sur le net. Néanmoins, cela permet d’améliorer de façon significative leur productivité.

Si chaque employé d’une organisation devait consacrer une heure par jour à l’utilisation personnelle d’Internet, les pertes de productivité seraient considérables. Une entreprise de 100 employés perdrait 100 heures par jour, soit 4 000 heures par semaine, soit 208 000 heures par an !

L’utilisation excessive d’Internet à des fins personnelles au travail peut également entraîner d’autres problèmes. Lorsque les employés utilisent par exemple les services de streaming, téléchargent des fichiers via des réseaux P2P (Peer to Peer) ou se livrent à d’autres activités gourmandes en bande passante, cela aura naturellement un impact sur la vitesse de connexion dans toute l’entreprise.

En utilisant un filtre web capable de restreindre l’accès à Internet et de limiter l’accès à certaines activités consommant beaucoup de bande passante, les entreprises peuvent augmenter leur productivité et s’assurer qu’une bande passante suffisante est toujours disponible pour leurs employés.

Internet au travail, que dit la loi ?

Le Code du travail ne stipule aucune règle précise quant à la liberté pour un salarié d’utiliser ou non Internet au travail. Néanmoins, il existe quelques dispositions d’ordre général qui permettent de déduire le cadre légal de l’usage de l’Internet au bureau en dehors du cadre des missions professionnelles des employés.

Selon l’article 4121-2 du Code de travail, il incombe à l’employeur d’adapter le travail à l’homme ; de donner les instructions appropriées aux employés et de tenir compte de l’évolution des nouvelles technologies.

D’autre part, l’employeur n’a pas l’obligation d’autoriser ses salariés à utiliser Internet au travail, sauf si l’usage est indispensable pour l’accomplissement de leurs fonctions. Si c’est le cas, il a donc la responsabilité de réglementer l’utilisation d’Internet et de donner des instructions à ses employés.

Par ailleurs, l’art. 1222-4 précise que l’employeur n’a pas le droit surveiller l’utilisation d’Internet de ses employés sans les avoir préalablement informé de l’existence d’un contrôle et des processus utilisée pour réaliser ce contrôle.

Responsabilité juridique et sanctions

Les entreprises disposent toutes des informations ou données qui sont protégées par des droits d’auteur, comme des logiciels, des vidéos, de la musique ou des photos sur leur réseau. Sachez que, si un employé télécharge ces informations sur le réseau d’une organisation, ses dirigeants pourraient en être légalement responsables.

Pour réglementer l’usage d’Internet au bureau, l’employeur peut définir des politiques d’utilisation acceptables qui pourront être intégrées au sein du règlement intérieur de l’entreprise. La communication de ces règles peut se faire via des notes de service ou par le biais de l’élaboration d’une charte informatique. Dans ces documents, il faut également intégrer les modalités de contrôle auxquelles pourront être soumis les salariés. Une fois les règles établies, elles s’imposent alors à tous les salariés de l’entreprise.

Sanction de l’usage excessif de l’Internet par les salariés

Les dirigeants d’entreprises peuvent imposer des règles limitant l’utilisation d’Internet. Quant aux règlementations en vigueur, elles peuvent aussi sanctionner les usages considérés comme excessifs de l’Internet au travail.

Fautes graves

• L’utilisation de l’Internet sur le lieu de travail peut être considérée comme une faute grave s’il est établi que le salarié a consacré son temps de travail à des activités personnelles.
• Les connexions sur des sites non professionnels sont considérées comme abusives. Elles peuvent constituer également une faute grave lorsqu’elles impliquent la violation par le salarié de ses obligations contractuelles.

Manquement à des obligations

La consultation de sites de rencontre et d’activités sexuelles, suivie de la consultation d’un site de téléchargement d’un logiciel malveillant qui permet d’effacer les traces de connexions et de téléchargements, peut être sanctionnée. La raison est le manquement grave de l’employé à ses obligations dans le cadre de son contrat de travail.

Bon à savoir : si l’employé cause un préjudice à son organisation, par exemple en téléchargeant un virus informatique qui porte atteinte au réseau informatique, il pourrait être condamné à verser de dommages et intérêts à son employeur. C’est aussi le cas lorsque l’employé consulte des sites illégaux ou des plateformes en ligne qui sont susceptibles de nuire à la bonne image de son organisation. Dans ce cas, l’employé est coupable d’un délit d’abus de confiance.

Le droit de contrôle pour l’employeur

Selon la loi, tout employeur a le droit de fouiller l’appareil informatique utilisé par ses employés et de surveiller les contenus qu’ils consultent sur Internet. Il peut aussi contrôler –sans en informer l’employé – tout appareil (ordinateurs ou matériels de stockage) du moment que les fichiers qui y sont conservés ne sont pas spécifiés comme personnels.

Bon à savoir : l’employeur peut procéder à des contrôles des sites Internet que ses employés ont visités pendant les heures de travail, même en leur absence.

Pour limiter l’usage d’Internet par les salariés, les entreprises peuvent utiliser des procédés de filtrage des sites web accessibles par les employés depuis les ordinateurs professionnels. Elles peuvent même aller jusqu’à interdire l’accès à Internet à tous ses employés, à condition qu’elles respectent les dispositions de l’article 1121-1 du Code du travail.

Mais pourquoi tout cela ?

En effet, l’accès incontrôlé à Internet laisse la porte ouverte à toute une variété de problèmes juridiques et fonctionnels. La mise en place d’une politique d’utilisation acceptable d’Internet peut vous aider dans une certaine mesure à les éviter, mais ce n’est pas suffisant.

Le danger des téléchargements de malwares et de ransomwares

Si les employés peuvent accéder à des sites web et aux réseaux sociaux, télécharger des fichiers ou visiter des sites web douteux, le risque de téléchargement de malwares et de ransomwares augmente considérablement.

Les kits d’exploitations (menaces automatisées) explorent les vulnérabilités des navigateurs et des plug-ins, pour exécuter des programmes malveillants. Ceci leur permet de diriger le trafic vers des sites web compromis, et ce, par le biais de publicités malveillantes. Lorsque les victimes naviguent sur ces sites, les malwares et ransomwares peuvent porter atteinte à la sécurité de leurs informations.

Certains types de sites web comportent un risque élevé d’infection par des malwares. Le fait de permettre aux employés d’accéder à ces sites — dont bon nombre ne sont pas adaptés au travail — pourrait donc facilement entraîner leur téléchargement.

Bien entendu, les exploitants de sites pornographiques légitimes prennent souvent grand soin de s’assurer que leurs plateformes en ligne ne sont pas compromises. Toutefois, bien qu’ils soient légitimes, ces sites sont souvent utilisés par les cybercriminels comme leurre pour propager des malwares.

L’une des activités en ligne les plus risquées est l’utilisation des sites de Torrents et des réseaux de partage de fichiers P2P. En effet, il y a peu ou pas de contrôles sur les contenus (musique, fichiers, vidéos, etc.) partagés via ces plateformes en ligne. Pourtant, ils sont souvent parsemés de malwares, de spywares et d’adwares.

Attention : Les téléchargements illégaux de logiciels sont extrêmement risqués, car les malwares sont souvent regroupés dans les fichiers exécutables nécessaires pour l’installation de ces interfaces ou dans les générateurs de clés de licence (Keygen).

Les conséquences d’une attaque de malware ou de ransomware peuvent être incroyablement coûteuses pour les entreprises. Nombre d’entre elles en ont déjà été victimes, ce qui a impliqué la mise hors service de leurs systèmes d’informations pendant plusieurs jours, voire des semaines. Évidemment, l’arrêt de l’activité a impliqué de lourdes pertes pour ces entreprises.

Une attaque de ransomware peut entraîner la mise hors service d’un réseau entier, comme ce fut le cas avec les attaques WannaCry en 2017. Au Royaume-Uni, le NHS a subi des perturbations majeures suite à une infection par un malware. Peu de temps après, l’attaque de malware NotPetya a également causé des dégâts considérables. En effet, il a réussi à infecter les systèmes d’informations de la société de transport maritime Maersk et la facture du « nettoyage » s’élevait à environ 300 millions de dollars.

Un filtre web n’empêchera pas tous les téléchargements de malwares et de ransomwares, mais il permet aux entreprises d’empêcher certaines catégories de sites web « à risque » d’être visitées par leurs employés.

La solution de filtrage peut être configurée pour bloquer le téléchargement de certains types de fichiers et l’accès à des sites web connus pour contenir des malwares ou des kits d’exploitation. Grâce à cela, toute tentative de visite d’un de ces sites web renvoie l’utilisateur à un écran de blocage.

Limiter l’accès à Internet pendant la pandémie du Covid-19

Des millions de personnes travaillent actuellement à domicile à cause de la pandémie et les réseaux Internet des entreprises sont souvent mis à rude épreuve.

Le temps que les employés distants passent à regarder des vidéos en continu, à jouer et à utiliser des applications de messagerie instantanée comme Zoom ou d’autres plateformes de vidéoconférence a considérablement augmenté depuis le début de la pandémie. Non seulement ces activités peuvent entraîner une baisse de la production, mais elles exposent également votre entreprise à de nombreuses menaces en ligne. Voici nos conseils pour les éviter :

Se doter d’un antivirus contre les malwares, les ransomwares, etc.

Il est fortement recommandé d’installer un logiciel antivirus sur le poste de travail que vos collaborateurs utilisent, même si cela ne garantit pas une protection totale contre les menaces informatiques auxquels les travailleurs à distance s’exposent. De plus, le télétravail augmente le risque de subir une attaque d’un malware ou de ransomware. Un travailleur à domicile utilisera souvent son ordinateur professionnel pour un usage personnel, et ce, à l’insu de son employeur ou de l’administrateur système. La solution antimalware doit donc être à jour, en ce qui concerne les derniers malwares et devrait pouvoir alerter l’équipe informatique en cas de pratiques à risque.

Effectuer les mises à jour sécurité

Dans une logique de productivité, les travailleurs distants n’ont pas toujours conscience du risque qu’ils pourraient faire courir à leur entreprise. En fait, ils ignorent souvent les mises à jour de sécurité proposées par leur système d’exploitation pour s’éviter d’une certaine période d’inactivité forcée qui, pourtant, est de l’ordre de quelques minutes. Dans une PME, les équipes qui travaillent au bureau ont souvent un responsable informatique qui assure la supervision de ces mises à jour et le risque est donc minimisé. Mais avec l’augmentation du nombre de travailleurs distants, les PME ont des difficultés à limiter les failles de sécurité. Il importe donc d’imposer à vos employés l’application de ces mises à jour critiques.

Sauvegarder en ligne les fichiers sensibles

Quand on parle de télétravail dans les entreprises, il faut savoir que le partage des fichiers en ligne est incontournable. Toutefois, cela n’empêche pas certains employés distants de privilégier la manipulation de fichiers en local. Au cas où il y aurait des problèmes, il est donc difficile de retrouver le contenu de certains documents. Pour éviter une telle situation, vous devez ajouter une couche de cybersécurité, en créant une sauvegarde régulière de vos données sensibles. Cette solution vous protège contre le vol et les erreurs de manipulation des données ainsi que les attaques de ransomwares et de malwares dont le but est essentiellement de les chiffrer.

Vos employés doivent utiliser une navigation sécurisée

Le mode navigation privée proposé par les principaux navigateurs comme Firefox, Safari, Chrome ou Edge ne garantissent que la confidentialité d’une session en ligne. Gardez donc à l’esprit qu’ils ne constituent pas une solution permettant d’assurer la sécurité informatique de votre entreprise contre les cybermenaces. Il faut mettre en place une couche supplémentaire de protection de la navigation sur Internet pour vos employés distants. Cette alternative est particulièrement importante pour les salariés distants, notamment lorsqu’ils utilisent l’ordinateur de votre entreprise à des fins personnelles (téléchargements abusifs, consultation de vidéos en streaming, visite de sites web illégaux ou de jeux en ligne).

Un filtre web offre une protection supplémentaire contre les ransomwares

Le phishing est la principale menace numérique à laquelle font face les entreprises. De nos jours, on estime que plus de 90 % des cyberattaques commencent par un e-mail de ransomware. L’une des meilleures protections contre ces attaques est le filtrage du spam. Cette solution peut empêcher la plupart des malwares d’être envoyés aux utilisateurs finaux.

Cependant, aucun filtre antispam n’est efficace à 100 % et certains messages malveillants peuvent toujours finir dans les boîtes de réception des employés. Pour renforcer la sécurité, on peut donc former ces derniers à identifier les e-mails de phishing et leur enseigner les meilleures pratiques en matière de cybersécurité.

La sensibilisation permet de réduire notablement la vulnérabilité du système d’information aux attaques de ransomware. Pourtant, tôt ou tard, un employé finira par se faire duper et cliquer sur un lien dans un e-mail malveillant qui le redirigera vers un site de phishing. Une fois que l’utilisateur atterrit sur le site web malveillant et divulgue ses informations d’identification, le pirate informatique peut accéder à son compte de messagerie et à toutes les données sensibles qu’il contient.

Le compte compromis peut ensuite être utilisé pour envoyer d’autres e-mails de phishing à d’autres employés. Il n’est pas rare qu’une seule réponse à un e-mail de phishing entraîne la compromission de plusieurs comptes de courriel au sein d’une organisation.

Pourtant, les conséquences de ces attaques sont parmi les plus coûteuses et difficiles.

Pourquoi ?

Parce qu’il faut vérifier chaque email d’un compte compromis pour y trouver des renseignements personnels identifiables et d’autres données sensibles. Et sachez que la vérification manuelle de milliers de courriels peut prendre des semaines et coûter des centaines de milliers de dollars.

Un filtre web est une couche de sécurité supplémentaire qui aide les organisations à améliorer leurs défenses contre ces attaques. Lorsqu’un employé clique sur un lien vers un site web qui figure dans une liste noire, suite à une utilisation antérieure dans le cadre de campagnes de phishing, l’utilisateur sera dirigé vers un écran de blocage.

Sur ce point, sachez que WebTitan peut actuellement bloquer jusqu’à 60 000 tentatives d’accès à des sites web malveillants chaque jour.

Empêcher l’accès à des contenus web inappropriés

Bien que la plupart des employés n’utilisent pas Internet pour accéder à des contenus illégaux et non adaptés au travail, il y en a toujours quelques-uns qui sortent du lot.

Le problème de l’accès à la pornographie au travail est par exemple un vrai problème, dont les conséquences sont bien pires que vous ne le pensez :

• En 2014, une enquête menée par le groupe Barna a montré que 63 % des hommes et 36 % des femmes ont vu de la pornographie au travail
• Une enquête réalisée par Forbes en 2013 a également révélé que 25 % des adultes avaient vu du porno au travail, tandis qu’une autre enquête a montré que 28 % des employés avaient affirmé avoir téléchargé du porno durant les heures de travail.

Non seulement l’accès à la pornographie au travail implique une perte de productivité importante des employés, mais il peut aussi être à l’origine d’un environnement de travail hostile, c’est-à-dire que les collaborateurs ne communiquent plus et travaillent de manière isolée.

Par ailleurs, cela peut créer d’autres problèmes que vous n’auriez même pas imaginé. À titre d’exemple, sachez qu’il y a déjà eu des cas où des employés ont intenté des poursuites judiciaires à l’encontre de leurs employeurs parce que ces derniers n’avaient pas mis en place des solutions de contrôles de contenu qui empêchent les employés d’avoir accès à de la pornographie sur leur lieu de travail.

De nombreuses entreprises estiment que la meilleure façon de s’attaquer à ce problème est de mettre en place des politiques d’utilisation acceptables ainsi qu’une surveillance accrue des employés par leurs supérieurs hiérarchiques. Lorsque les superviseurs découvrent que des employés abusent d’Internet, des mesures peuvent donc être prises contre eux, tandis que tout le monde peut continuer à l’utiliser.

Cette solution ne s’avère pas toujours efficace parce que, quand l’accès à la pornographie est découvert, les employés ont souvent recours à un licenciement instantané. Cela entraîne des coûts pour le service des ressources humaines et des pertes de productivité jusqu’à ce que de nouveaux employés soient embauchés et formés.

La solution la plus simple est d’utiliser un filtre web pour restreindre l’accès à Internet au travail. Un filtre web peut être utilisé pour bloquer l’accès à des sites web spécifiques ou à des catégories de contenus inadaptés tels que les sites pornographiques.

Le rôle des gouvernements

Pour des raisons politiques, sociales et de sécurité nationale, un gouvernement peut bloquer l’accès à certains contenus en ligne, surveiller le type d’informations que les utilisateurs finaux peuvent consulter et punir des utilisateurs à cause d’une activité en ligne qu’il jugerait inacceptable.

En fait, il est difficile de déterminer si une entité essaie de vous empêcher d’envoyer des informations à d’autres personnes ou d’accéder à un site web. Mais lorsque vous essayez d’accéder à un site bloqué, vous verrez souvent un message d’erreur conventionnel. Dans ce cas, le site peut afficher un message d’indisponibilité technique.

Dans certains pays, le gouvernement peut bloquer une partie entière de l’Internet. En Arabie Saoudite, par exemple, lorsqu’un utilisateur tente d’accéder à du contenu sexuellement explicite, il reçoit un message du gouvernement qui explique la raison du blocage du site en question.

D’autres entités que les gouvernements peuvent également contrôler, bloquer ou filtrer certains contenus web. Les parents, par exemple, peuvent filtrer les informations inappropriées pour leurs enfants. D’autres organisations, comme les écoles et les entreprises, peuvent aussi restreindre l’accès à Internet pour empêcher les étudiants et les employés d’avoir des communications non contrôlées ; d’utiliser du matériel ou des heures de travail de l’entreprise pour des raisons personnelles ; d’utiliser trop de ressources réseau, etc.

Même si le gouvernement dispose des ressources et de la capacité légale pour contrôler une grande partie de l’infrastructure réseau d’un pays, il n’est pas votre adversaire. Cela signifie tout simplement que vous devez toujours contrôler et sécuriser vos communications, votre réseau filaire ou sans fil, vos données sensibles, etc.

Problèmes liés à l’utilisation d’un filtre web pour contrôler l’accès à Internet en entreprise

Un filtre web peut sembler une solution rapide et facile pour éviter les menaces sur le web. Mais sachez que les entreprises qui restreignent l’accès à Internet au travail avec des filtres web peuvent rencontrer d’autres problèmes encore pires si la solution de filtrage n’est pas correctement configurée.

Si vous limitez l’accès à Internet au travail à l’aide d’une solution de filtrage web basée sur un appareil, cela peut entraîner une latence, étant donné que chaque site web doit être inspecté avant que les employés puissent y accéder. Dans le cas de sites sécurisés (HTTPS), chaque page web doit être déchiffrée, inspectée et rechiffrée. D’un, cela rend le système d’information plus lent et, de deux, cela demande beaucoup de ressources.

Il faut savoir que lorsque des filtres web sont utilisés dans le but de restreindre l’accès à Internet au travail, et s’ils manquent de contrôles très granulaires, il peut y avoir un blocage excessif du contenu en ligne. Et même les sites web nécessaires pour le travail peuvent être bloqués. L’équipe de support informatique doit alors consacrer un temps considérable pour trier ces sites afin de les mettre sur une liste blanche.

Autre élément important : si vous limitez l’accès à Internet au travail, les employés qui n’accédaient qu’occasionnellement à un site personnel pourraient ne pas être satisfaits des nouvelles restrictions. Cela peut avoir un effet sur leur productivité et créer un environnement de travail hostile.

Mais pourquoi faire subir à tout le monde les conséquences des actes de quelques employés ?

Comment restreindre l’accès à Internet au travail et éviter ces problèmes ?

Il existe de nombreuses solutions pour contrôler l’accès à Internet et éviter de se retrouver dans des situations compromettantes pour le bon développement de votre entreprise. Voici quelques conseils qui peuvent vous aider à atteindre cet objectif.

Utiliser un filtre web

Les problèmes suscités peuvent être évités en utilisant un filtre web basé sur le cloud. Cette solution permet aux employeurs de restreindre l’accès à Internet au travail, mais comme les solutions sont dans le cloud, ils utilisent les ressources du fournisseur de services. Ainsi, le problème de la latence peut être résolu et le contrôle d’Internet peut être garanti.

De plus, les filtres web dans le cloud sont plus flexibles, évolutifs et ne requièrent pas l’achat d’équipements supplémentaires. Autrement dit, ils vous permettent de faire des économies considérables.

Certains filtres cloud, comme WebTitan, permettent d’appliquer des contrôles basés sur le temps. Les employeurs peuvent utiliser cette fonction pour restreindre l’accès à Internet pendant les périodes de pointe et relâcher le contrôle pendant les pauses, par exemple. Il peut également bloquer l’accès à certains sites à un employé particulier ou à un groupe d’employés.

Puisque le filtre s’intègre avec LDAP et Active Directory, le réglage des contrôles pour différents groupes d’utilisateurs est simple. Par ailleurs, WebTitan peut bloquer les sites web anonymes et donc empêcher les utilisateurs de contourner les contrôles de filtrage de contenu.

Si les employeurs arrivent à limiter intelligemment l’accès à Internet au travail et à accorder de temps en temps un accès personnel à l’Internet, ils pourront éviter la création d’un environnement de travail hostile, tout en protégeant leur système d’information contre les menaces en ligne.

Contrôler l’accès à Internet en entreprise : l’historique de navigation

En tant qu’employeur, vous avez la possibilité, mais surtout le devoir de conserver l’historique Internet de chaque poste au sein de votre entreprise. En effet, c’est une obligation légale pour le chef d’entreprise d’être en mesure de retracer une activité illicite réalisée par l’un de ses employés sur Internet.

De plus, il est important de garder à l’esprit que l’employeur est considéré comme un fournisseur d’accès à Internet pour son personnel sur le plan légal. À ce titre, vous avez tout à fait le droit de sauvegarder un enregistrement de l’historique de navigation Internet de chaque employé, et cela prend même en compte les adresses URL qui ont été consultées.

Le chef d’entreprise a le droit de contrôler l’historique d’activité de chaque collaborateur et de se rendre compte des abus qui peuvent avoir un impact négatif sur l’activité de l’entreprise ou encore engager la responsabilité pénale ou civile du dirigeant. L’historique Internet peut donc vous aider à confondre les employés qui ne respectent pas la charte de la société à ce sujet et peut servir à sanctionner l’employé concerné.

D’ailleurs, il est important de savoir que l’employeur n’a aucune obligation à fournir un accès au réseau Internet. Mais dans le cas où cet accès existe pour le bon déroulement des activités de la société, il doit être utilisé à des fins professionnelles. Il peut être également utilisé pour des raisons personnelles, mais dans la limite du raisonnable. Le défi ici est d’arriver un trouver le juste équilibre entre l’utilisation abusive ou non de cet accès, surtout à des fins personnelles.

Dès lors, il revient au dirigeant de la société de fixer des principes d’usage précis pour les salariés et veiller à ce que tout le personnel soit mis au courant.

Utiliser des mots de passe

De  nombreuses entreprises disposent actuellement d’une connexion filaire ou sans fil et il est peu coûteux et facile de connecter plusieurs ordinateurs à l’Internet. Toutefois, si certains employés n’en ont pas besoin, il ne faut pas connecter leurs ordinateurs. Vous pouvez par exemple placer des mots de passe sur les ordinateurs qui accèdent à Internet. Si seuls certains appareils doivent y avoir accès, vous pouvez utiliser des mots de passe peuvent pour les verrouiller. De cette manière, seules les personnes autorisées à utiliser Internet peuvent les utiliser.

Réguler l’accès à Internet par le biais d’un serveur proxy

Vous pouvez aussi mettre en place un serveur proxy pour contrôler l’accès à Internet dans votre organisation et d’en assurer la surveillance et la sécurisation. Le fait de sécuriser un réseau est une bonne alternative pour protéger vos données sensibles, par exemple. En ce qui concerne la surveillance, un proxy sert à enregistrer les historiques de navigation des employés, mais dans ce cas-là, il est toujours recommandé de les informer de l’existence d’un tel système.

En fait, vous avez le droit d’instaurer des logiciels de surveillance pour les connexions de vos employés. Toutefois, vous devez déclarer cela préalablement à la Commission nationale de l’informatique et des libertés (CNIL). Au-delà de la simple surveillance et de l’enregistrement des données de navigation, vous pouvez également utiliser un logiciel qui permet d’analyser, poste par poste, les activités en ligne de vos employés, à condition que vous ayez informé au préalable ces derniers. Sachez également que la consultation des e-mails de vos employés est strictement encadrée.

Définir un code de bonne conduite

Même si l’utilisation d’un filtre web est une solution performante et radicale pour restreindre l’accès des employés au réseau Internet, la communication et la négociation sont également des moyens efficaces à privilégier.

En effet, en informant les employés sur les réels dangers de la mauvaise utilisation d’Internet au sein de l’entreprise, ils pourront mieux éviter les pièges tendus par les cybercriminels. Car, il faut se l’avouer, certains membres de votre personnel ne sauront pas toujours qu’ils sont attirés dans un piège et qu’ils sont victimes de leur naïveté.

L’objectif de la sensibilisation est donc de rendre tous les utilisateurs responsables de leur navigation.

Pour cela, différentes actions peuvent être mises en place. Ainsi, il est possible d’instaurer des réunions d’information telles que des ateliers, des séminaires ou des réunions du comité d’entreprise.

Ce sont des occasions pour rencontrer les représentants du personnel ou les employés eux-mêmes afin de trouver un terrain d’entente sur les conditions d’usage d’Internet au sein de l’entreprise.

Il est très important d’informer les salariés des mesures qui seront prises pour éviter qu’ils ne cherchent des moyens pour contourner les restrictions qui seront mises en place.

Vous pouvez également élaborer un code de bonne conduite en définissant le type de contenu interdit au travail, les règles d’usage de la messagerie électronique, etc. Ce code devra être ensuite diffusé dans toute l’entreprise (dans le règlement intérieur, le journal d’entreprise, sur le tableau d’affichage, dans un document envoyé par mail à chaque employé, etc.).

Avec ces différentes actions, vous impliquez tout le personnel de l’entreprise sans provoquer des tensions.

Limiter le temps d’utilisation d’Internet dans votre entreprise

Il s’agit d’une solution à l’amiable que vous pouvez définir avec vos employés. Il suffit de définir ensemble un temps limite d’utilisation extra-professionnelle de l’Internet. Vous pouvez, par exemple adopter une limite quotidienne de 30 minutes, soit une limite hebdomadaire de deux à trois heures par semaine.

Pour cela, vous pouvez utiliser des solutions logicielles simples. Ils vous permettent de restreindre le temps d’accès à Internet sur chaque PC, comme la consultation des messages instantanés. Pour installer ce type de logiciel, il faut que vous soyez un administrateur de chaque PC connecté à votre réseau. Ce dernier mettra en place un login et un mot de passe d’administrateur à chaque démarrage d’un PC pour filtrer non seulement les contenus qui peuvent être consultés par vos employés, mais aussi le temps d’accès à Internet.

Conserver les logs Internet

Le contrôle de l’accès à Internet dans l’entreprise peut être réalisé à travers plusieurs techniques.

L’employeur a la possibilité de surveiller les adresses IP de chaque poste, contrôler les postes à distance. Sur le plan juridique, le chef d’entreprise est considéré comme le fournisseur d’accès aux réseaux numériques à ses employés. Il engage donc une responsabilité à ce titre même si cette dernière est allégée.

En effet, cette responsabilité n’est pas uniquement réservée aux opérateurs de communication installés sur le marché.

C’est ce statut qui rend obligatoire la conservation des logs Internet de l’entreprise. La non-conservation de ces données est passible directement d’une sanction pénale, à travers une peine d’amende et même d’emprisonnement pour le chef d’entreprise négligent.

En tant qu’employeur, la Loi pour la confiance dans l’économie numérique (LCEN) vous considère comme un fournisseur d’accès aux réseaux numériques à vos employés, ce qui engage votre responsabilité, bien qu’elle soit atténuée. Cette responsabilité n’est pas uniquement réservée aux opérateurs de communications. Elle rend ainsi obligatoire la conservation des logs Internet par votre entreprise. En réalité, ces données doivent être conservées un an après leur date d’enregistrement.

Conclusion

Nul ne peut le nier, Internet est devenu un outil incontournable pour le bon fonctionnement de toute entreprise. Malheureusement, le fait de donner aux employés un accès illimité (ou non contrôlé) au web présente plusieurs inconvénients.

Le fait que les employés passent une grande partie de leur temps sur les médias sociaux (Facebook, Twitter, etc.), les sites d’achats en ligne et les applications de chat en direct ne peut que nuire à leur productivité sur le lieu de travail. D’une part, cela implique des comportements non productifs. D’autre part, l’utilisation d’Internet peut mettre à rude épreuve la consommation de bande passante et accroître les risques d’attaques de malwares sur le réseau informatique de leur organisation.

Selon des recherches menées par IDC, environ 40 % de l’activité réalisée par les employés sur Internet n’est pas liée au travail. Cela peut coûter des milliers d’euros en perte de productivité et en matière d’exposition accrue aux attaques cybercriminelles.

La vérité est que le filtrage de l’accès à Internet peut créer un environnement de travail répressif, ce qui nuit à la confiance et au moral des employés. Le mieux serait donc d’adopter une approche plus souple et surtout de déployer un filtre web efficace.

Vous ne savez pas exactement comment aborder la réalité des employés qui accèdent à des sites web non liés au travail ?

Contactez TitanHQ pour trouver des solutions de contrôle et de filtrage Internet

Le contrôle du contenu Internet est rapide, facile et peu coûteux avec WebTitan. Cette solution vous permet de restreindre facilement l’accès à Internet au travail et d’éviter les problèmes courants associés au filtrage web.

Cette couche de protection supplémentaire est fournie par TitanHQ, une enseigne dont le but est de rendre votre réseau plus sûr. Comme il est essentiel de disposer d’outils de sécurité pour la messagerie électronique et le web, nous vous proposons une solution facile à utiliser, robuste et efficace, que vous pouvez adopter sans compromettre les fonctionnalités de votre réseau. Nos spécialistes comprennent vos risques de sécurité et ils sont là quand vous avez besoin d’aide, afin que votre soit plus facile à réaliser.

Si vous souhaitez limiter l’utilisation personnelle d’Internet au travail, contactez TitanHQ dès aujourd’hui. Vous pouvez bénéficier de conseils professionnels et vous inscrire pour un essai gratuit.

Cela vous permettra d’évaluer la solution WebTitan dans votre propre environnement avant de l’adopter.

FAQ sur le contrôle d’internet en entreprise

Quelle différence entre contrôler, réguler, limiter et filtrer l’accès à Internet ?

Il existe deux principales méthodes qui permettent une meilleure utilisation d’Internet en entreprise.

La première étant de limiter le temps de navigation sur le web. La seconde consiste au filtrage des contenus auquel les utilisateurs peuvent accéder.

Comment limiter le temps d’utilisation d’Internet ?

Pour ce faire, vous pouvez opter pour une solution à l’amiable. Il vous incombe de définir avec vos employés un temps limite d’utilisation de l’Internet dans le cadre extra-professionnelle, mais ce n’est pas souvent la meilleure solution.

L’autre alternative est d’utiliser un logiciel ou un filtre web capable de restreindre le temps d’accès à Internet sur les ordinateurs utilisés au sein de votre entreprise.

Pourquoi le fait de limiter l’utilisation d’Internet à l’amiable est-il insuffisant ?

Si vous choisissez cette option, il est important d’établir une charte de bonne conduite.

Grâce à cela, vous allez pouvoir maintenir une relation saine avec vos employés. Il faudra miser sur la discussion avant l’action. La charte de bonne conduite doit être rédigée et transmise à tous les collaborateurs via un tableau d’affichage commun ou par le biais de l’intranet, entre autres.

N’oubliez pas toutefois qu’il est toujours possible qu’un employé soit victime d’une attaque de phishing ou télécharge des malwares par inadvertance.

Les pare-feu peuvent-ils vous aider ?

Il faut toujours être pragmatique. Vos employés naviguent sur des sites personnels avec leurs ordinateurs ou d’autres dispositifs professionnels.

Un pare-feu peut bloquer les contenus ou les serveurs suspects, mais le mieux serait d’utiliser un filtre de contenu web.

Qu’en est-il donc du filtrage de contenu web ?

Votre administrateur système peut mettre en place un filtre web, mais il est souvent plus pratique et moins onéreux de confier le filtrage des contenus web à des professionnels tiers.

Les contenus web peuvent être identifiés par leurs URL, les types de fichiers ou les mots-clés.

Vous êtes libre de déterminer les sites interdits d’accès, par exemple, lorsque l’un de vos employés fait des recherches en ligne. Le filtrage par type de fichier vous permet également d’interdire le téléchargement des fichiers malveillants selon leur nature.

Pourquoi le filtrage Internet et WiFi dans les hôpitaux est-il si important ?

par Editeur | Avr 17, 2019 | Sécurité réseau

Les aéroports, hôtels, restaurants, et bien d’autres centres commerciaux s’efforcent actuellement de proposer le service WiFi gratuit pour permettre à leurs clients et visiteurs d’accéder à Internet gratuitement afin qu’ils puissent vivre une meilleure expérience client. En fait, c’est devenu l’une des prestations essentielles qui doivent être fournies par votre établissement si vous voulez vous démarquer de vos concurrents sur un marché de plus en plus compétitif.

La question est de savoir si le WiFi a aussi sa place dans les hôpitaux. Si la réponse est oui, quels sont donc les enjeux et défis auxquelles les personnels informatiques sont confrontés lorsqu’ils mettent en place un tel service ? Pourquoi le filtrage Internet et WiFi dans les hôpitaux est-il si important ?

Pour un hôpital, la fourniture d’une connexion sans fil présente de nombreux avantages, pour ne citer que l’amélioration du bien-être des patients et de l’image de l’établissement, mais cela l’expose aussi à de nombreuses menaces cybercriminelles, dont les répercutions sont souvent dramatiques.

Voici donc ce que vous devez savoir avant de décider d’offrir ce service à vos patients et leur entourage.

Le constat

Les hôpitaux ont beaucoup investi dans des solutions qui leur permettent de sécuriser leur périmètre réseau. Pourtant, ils oublient souvent de déployer un système de filtrage Internet et WiFi.

Les pare-feu de sécurité réseau et logiciel ont leur utilité, mais les responsables de la sécurité informatique savent très bien que les cyberattaques ciblant les employés peuvent contourner ces systèmes de défense.

Les réseaux WiFi constituent un point faible en matière de sécurité informatique. Il est bien possible de mettre en place des systèmes de protection des terminaux installés, mais pas sur les appareils mobiles qui se connectent aux réseaux WiFi.

Il suffit de consulter le portail du Département de la Santé et des Services Sociaux américain pour savoir combien de cyberattaques sont actuellement perpétrées contre des hôpitaux. En effet, les cybercriminels choisissent souvent les établissements de soins de santé en raison de la valeur des renseignements médicaux protégés des patients sur le marché noir du web.

En effet, ces informations valent dix fois plus que les renseignements sur les cartes de crédit. Il n’est donc pas surprenant que les hôpitaux se trouvent dans la ligne de mire des cybercriminels. Même un petit hôpital peut contenir des informations sensibles sur plus de 100 000 personnes. Si un pirate informatique arrive à accéder à un réseau hospitalier, c’est donc une véritable aubaine pour lui.

Il y a également eu une augmentation massive des attaques de ransomwares. Comme les hôpitaux ont besoin d’avoir accès aux renseignements médicaux personnels des patients, ils sont plus susceptibles de payer une rançon pour récupérer les données qui ont été chiffrées par les pirates. À titre d’exemple, le Hollywood Presbyterian Medical Center a dû payer 17 000 $ pour obtenir les clés permettant de débloquer la situation en février dernier. C’était l’un des nombreux hôpitaux à céder aux demandes des cybercriminels.

Le WiFi et sa place à l’hôpital

Le réseau WiFi ouvre l’accès à de nombreux services de communication (e-mail, chat, réseaux sociaux etc.) pour le personnel et les patients dans les établissements hospitaliers. Il s’avère aussi être un excellent outil de divertissement, permettant aux utilisateurs d’accéder à leurs applications internet préférées, à de la musique, à des jeux en ligne ou encore au service de vidéo à la demande.

Utilité du WiFi pour les patients

Imaginez un patient qui est coincé sur un lit, privé de ses vidéos streaming, de ses e-mails de ses plateformes de réseaux sociaux préférées, etc. En fait, l’impossibilité de se divertir et de communiquer avec ses proches peut devenir une double peine pour ce patient.

Même si les chambres d’hôpital disposent souvent d’une télévision et d’un téléphone, sachez que les patients de nos jour se sont habitués à un accès Internet homogène sur leurs appareils portables, comme ils le feraient dans le confort de leur maison. En fournissant ce niveau d’accès, vous rendez leur séjour sanitaire plus agréable.

Le personnel médical ou administratif a également besoin du service WiFi

La disponibilité d’une connexion sans fil contribue à optimiser le temps de travail du personnel médical, car elle permet de lier et de faire fonctionner de nombreux outils informatiques plus rapidement et de façon sécurisée. L’un des domaines le plus évident pour exploiter les fonctionnalités du WiFi concerne par exemple les appareils médicaux et non médicaux connectés comme les dispositifs de surveillance, les lits intelligents et les équipements de mesure (IRM, rayons X, etc.).

En utilisant des équipements connectés comme les tablettes ou les Smartphones, les médecins et infirmières peuvent se connecter à une base de données centrale, accéder aux dossiers médicaux électroniques des patients et la mettre à jour. Cela se traduit par un gain de temps précieux, en évitant de parcourir de nombreux fichiers papier ou de localiser un dispositif informatique pour récupérer ou saisir certaines informations médicales.

Quant aux administrateurs d’hôpitaux, ils peuvent utiliser le WiFi pour suivre et surveiller des actifs clés comme les équipements médicaux. Il suffit par exemple d’effectuer un marquage des fauteuils roulants pour que les administrateurs puissent avoir une vue en temps réel de leur emplacement dans l’ensemble de l’établissement. Ces informations détaillées peuvent les aider à réduire la perte ou le vol des équipements, entre autres.

Le WiFi pour les visiteurs

Grâce à la disponibilité du WiFi dans votre établissement, les visiteurs peuvent se divertir en accédant gratuitement à Internet via leurs appareils mobiles, qu’ils soient aux urgences, à la cafétéria ou dans les aires d’attente. Ils peuvent utiliser les systèmes de géolocalisation pour les aider à naviguer à travers les labyrinthes de votre hôpital, notamment si celui-ci dispose de plusieurs bâtiments répartis sur un vaste campus. Depuis le parking, les patients et leurs accompagnateurs pourront localiser le bon bâtiment, trouver l’étage, le numéro de leur chambre, le local où ils doivent prendre rendez-vous, etc.

L’environnement WiFi des hôpitaux est une mine d’or potentielle pour les cybercriminels

Le nombre croissant d’appareils sans fil qui sont maintenant utilisés dans les hôpitaux incite davantage les pirates informatiques à tenter d’accéder à leurs réseaux WiFi.

Non seulement les médecins utilisent des téléphones mobiles pour s’y connecter et communiquer des renseignements médicaux personnels, mais il y a aussi des ordinateurs portables et un nombre croissant d’appareils médicaux connectés à ces réseaux. Ceci augmente le risque d’attaques cybercriminelles.

De plus, les patients peuvent se connecter à ces réseaux WiFi, tout comme les visiteurs, et ils ont aussi besoin d’être protégés contre de nombreuses menaces, dont voici quelques-unes :

Attaque de type « Man-in-the-Middle »

L’une des menaces les plus courantes sur les réseaux sans fil est l’attaque « Man-in-the-Middle » ou MitM. Il s’agit d’une forme d’écoute clandestine qui utilise un principe très simple. Lorsqu’un utilisateur se connecte à l’internet pour envoyer des données d’un point A vers un autre utilisateur (ou un service) à point B, les pirates informatiques peuvent essayer de trouver des vulnérabilités dans le chiffrement de cette communication. S’ils y parviennent, ils peuvent s’immiscer entre les transmissions et accéder à des informations sensibles. Ainsi, ce que les deux utilisateurs pensaient être privé ne l’est plus.

Distribution de malwares

Les cybercriminels peuvent utiliser le réseau WiFi d’un établissement hospitalier comme moyen de propager des malwares qui seront ensuite capables de lancer divers types d’attaques frauduleuses massives. Pour ce faire, ils tenteront d’exploiter une faille de sécurité ou d’une faiblesse trouvée dans votre système d’exploitation ou votre logiciel. Ensuite, ils vont écrire un code malveillant pour cibler une vulnérabilité spécifique et injecter le malware sur votre réseau. Enfin, le malware peut envahir, endommager, voire mettre hors service tous vos ordinateurs, vos systèmes informatiques et d’autres appareils mobiles, ce qui pourrait nuire au bon fonctionnement et à la réputation de votre établissement.

Snooping, sniffing et phishing

Les pirates informatiques peuvent acheter des kits logiciels ou des appareils spéciaux pour leur permettre d’écouter les signaux WiFi. De cette manière, ils peuvent accéder à tout ce que votre personnel et vos patients font en ligne et visualiser les pages web entières qui ont été consultées, y compris les informations que les utilisateurs de votre réseau ont pu remplir pendant la consultation de ces pages. Ainsi, les cybercriminels peuvent avoir un accès non autorisé aux données de votre personnel ou de votre établissement (snooping) ; mener une attaque par reniflage réseau (sniffing) ou obtenir des renseignements personnels pour perpétrer une usurpation d’identité (phishing).

Points d’accès malveillants

L’objectif de la création de points d’accès malveillants est d’inciter les victimes à se connecter à ce qu’elles croient être un réseau WiFi légitime parce que le nom semble fiable ou similaire à celui de l’établissement hospitalier. Supposons que vous séjourniez dans le CHU de Montpellier est que vous souhaitiez vous connecter au réseau WiFi de l’établissement, dont le SSID légitime est « CHUMontpellierWiFi ». Vous pensez peut-être avoir sélectionné le bon réseau lorsque vous cliquez sur un autre SSID « CHUMontpelierWiFi », alors qu’il s’agit d’un hotspot malveillant mis en place par des cybercriminels. Une fois que vous aurez saisi vos identifiants de connexion sur ce point d’accès appelé « jumeaux maléfiques », les cybercriminels pourront accéder vos informations sensibles.

Désormais, le filtrage Internet et WiFi dans les hôpitaux n’est plus une option. Il doit faire partie de la stratégie de cybersécurité pour tous les établissements de santé.

Le filtrage Internet et WiFi dans les hôpitaux ne consiste pas seulement à bloquer les cybermenaces

Outre les malwares, les ransomwares, le piratage et le phishing, il existe d’autres raisons qui poussent les établissements de soins à mettre en place une solution de filtrage web et WiFi dans les hôpitaux.

Dans ces établissements, l’accès WiFi invité est fourni pour permettre aux patients et aux visiteurs d’accéder à Internet. Cependant, il n’y a qu’une certaine quantité de bande passante disponible. La solution de filtrage peut dans ce cas être utilisée pour restreindre l’accès aux services Internet gourmands en bande passante, en particulier lorsque le réseau est très utilisé.

Des contrôles temporels peuvent être appliqués aux heures de pointe pour bloquer par exemple l’accès aux sites de streaming vidéo. Ceci permet de s’assurer que tous les utilisateurs peuvent profiter d’une vitesse Internet acceptable.

Autres solutions de protection du réseau WiFi

Il existe une myriade de techniques et d’approches qui peuvent contribuer à sécuriser votre réseau sans fil et vos informations très sensibles. Voici quelques-unes des mesures que vous pouvez prendre votre établissement hospitalier :

Installez un réseau privé virtuel (VPN)

Un VPN peut s’avérer utile, car il rend difficile aux criminels de pénétrer dans votre réseau sans fil. La solution VPN fait appel à une technologie avancée qui permet de chiffrer le trafic réseau. Ainsi, vous pouvez vous connecter à un site web via le protocole sécurisé HTTPS. Cela signifie que vos identifiants de connexion, vos mots de passe, vos messages instantanés, les détails de votre carte de crédit et d’autres données sensibles sont chiffrés. Si vous installez et exécutez le VPN sur votre réseau, les pirates, les spammeurs et les fournisseurs d’accès Internet ne pourront pas surveiller ou intercepter les activités réalisées par les utilisateurs finaux sur le web.

Formez votre personnel

La plupart des pirates parviennent à pénétrer dans les réseaux grâce aux erreurs commises par les membres de votre personnel interne lorsqu’ils utilisent votre connexion sans fil. Par conséquent, il est essentiel de les éduquer sur l’importance de la sécurité informatique. Ils doivent être sur la sécurité du poste de travail, la détection de tentatives de phishing ou d’ingénierie sociale, la stratégie de mots de passe, la réaction en cas d’attaque cybercriminelle, etc.

Chiffrez les appareils portables

Actuellement, la plupart des hôpitaux permettent à leur personnel d’utiliser leurs propres appareils portables pour faciliter leur travail au quotidien, en adoptant le système BYOD (« Bring Your Own Device »). Pourtant, cela peut rendre votre réseau WiFi vulnérable aux menaces cybercriminelles, comme les violations de données dues à des pratiques négligentes de la part de vos employés. Bien entendu, il est impossible d’éliminer complètement l’erreur humaine, mais vous pouvez mieux protéger vos appareils et données en vous assurant qu’ils sont chiffrés. En même temps, vous devez mettre en place une politique stricte concernant le transport des informations sensibles en dehors des environnements de travail.

Archivez les données

Il s’agit d’une mesure très importante qui est susceptible de ne pas vous venir à l’esprit. Les pirates informatiques savent que, plus il y a d’informations sur votre réseau, plus il y a de chances qu’ils parviennent à percer ses systèmes de défense. Vous aurez donc intérêt à surveiller le stockage des données de votre personnel et surtout des patients, et à s’assurer qu’elles sont archivées. Des politiques strictes doivent être mises en place pour exiger la suppression de ces données en cas de besoin. En outre, vous devrez procéder à un audit précis des informations stockées par votre établissement de santé afin de bien comprendre ce qui est conservé sur vos systèmes internes.

Patchez tout

N’oubliez pas de maintenir à jour tous vos systèmes informatiques, y compris les dispositifs médicaux électroniques. De nos jours, tout peut être piraté. Il est donc vital de s’assurer que les correctifs de sécurité soient appliqués dès qu’ils sont disponibles.

Prenez au sérieux la sécurité fournies par les prestataires de services web

Pratiquement tous les établissements de soin et de santé utilisent désormais des services dans le cloud et font appel à des fournisseurs de services gérés pour assurer la sécurité de leur système d’information. Vous devez donc vous assurer que les données que vous confiez à ces tiers sont à l’abri des cybermenaces. Cela signifie qu’il faut examiner avec soin le système de sécurité proposé par votre prestataire en matière de cloud computing et de toute autre société impliquée dans la collecte, la manipulation et le stockage des informations critiques.

Enfin, il est important d’empêcher les patients, les visiteurs et les professionnels de la santé d’accéder à des contenus inappropriés en ligne. Le filtrage Internet et WiFi dans les hôpitaux devrait donc inclure un système de blocage des sites et des contenus pour adultes et tout autre contenu inapproprié ou illégal, tels que les sites de jeux ou de pari.

En adoptant une solution de filtrage Internet et WiFi, les établissements de soins et de santé peuvent garantir que les réseaux WiFi sont utilisés en toute sécurité par tous les utilisateurs, y compris les mineurs.

Comment sélectionner le filtre web pour votre hôpital ?

Lorsque vous allez sélectionner le filtre Internet pour votre hôpital, il y a un certain nombre de facteurs à prendre en compte suivant la nature et de la taille de votre établissement et le contrôle de l’accès Internet que vous voulez mettre en place pour le WiFi.

Il faut également examiner la conformité de la solution que vous allez adopter selon les réglementations en vigueur, comme l’HIPAA (Health Insurance Portability and Accountability Act) ou le RGPD (Règlement général sur la protection des données). Selon ces législations, le contrôle d’accès à Internet pour les établissements de soins et de santé devrait par exemple être facile à installer, à configurer et à maintenir. Le système de collecte, de traitement et de stockage des données personnelles est également soumis à des normes rigoureuses.

Le fournisseur de services de filtrage web doit s’engager à maintenir les listes noires et les logiciels à jour afin de garantir que votre filtre Internet fonctionne efficacement, sans aucune latence et avec une qualité de bande passante satisfaisante pour tous les utilisateurs du réseau WiFi.

Pour pouvoir restreindre l’accès à Internet et pour éviter la consultation des contenus web inappropriés, utilisez un filtre Internet qui est suffisamment flexible, qui dispose d’un haut degré de granularité et qui permet la restriction de l’accès par utilisateur, par groupe d’utilisateurs ou par plage horaire. Outre les filtres de catégories prédéfinies, le filtre doit aussi permettre de créer d’autres catégories personnalisées en fonction des politiques que vous souhaitez mettre en œuvre et appliquer.

WebTitan : une solution de filtrage Internet et WiFi simple pour les hôpitaux

« WebTitan Cloud » pour WiFi est une solution idéale et rentable pour le filtrage Internet et WiFi dans les hôpitaux. Il ne requiert aucune installation matérielle ou logicielle supplémentaire et n’affecte pas la rapidité de votre connexion. Basé sur le DNS, il est facile à paramétrer. Une modification des paramètres DNS suffit pour être à l’abri des menaces en ligne.

La solution WebTitan Cloud est hautement évolutive et peut être utilisée pour protéger un nombre illimité d’utilisateurs dans un nombre illimité d’emplacements. Plusieurs sites peuvent être protégés à partir d’une interface utilisateur web facile à utiliser. Des contrôles de contenu distincts peuvent également être définis pour différents emplacements, un utilisateur particulier, un groupe d’utilisateurs, les invités, les visiteurs et le personnel. Comme la solution est liée à Active Directory, le processus est donc à la fois simple et rapide.

WebTitan Cloud pour WiFi prend en charge les listes noires, les listes blanches et permet un contrôle précis du contenu par catégorie ou mot-clé. Il peut bloquer les sites destinés au phishing et ceux connus pour héberger des « exploit kits » et des malwares. Bref, cette solution basée dans le Cloud vous permet donc de contrôler tout ce qui se passe sur votre réseau WiFi.

Sécurisez votre réseau avant qu’il ne soit trop tard !

La technologie WiFi ne cesse d’évoluer et les établissements de santé, comme les hôpitaux, trouvent de nouveaux moyens plus créatifs d’exploiter cette technologie, car elle permet de révolutionner les prestations fournis aux patients et de rationaliser la gestion des soins de santé en général.

Comme indiqué plus haut, les hotspots WiFi constituent toutefois des cibles parfaites pour les escrocs et les pirates informatiques pour perpétrer leurs cybercrimes. S’ils parviennent à mettre la main sur les informations personnelles de votre établissement, de vos employés ou de vos patients, vous pourriez très bien être la prochaine victime d’un acte de piratage informatique.

Néanmoins, si vous suivez les règles simples que nous avons fournies dans ce dossier, vous pourrez améliorer grandement la sécurité du WiFi de votre hôpital, et les chances qu’un pirate s’introduise dans vos systèmes médicaux seront drastiquement réduites. Faites donc preuve de diligence dans ce domaine, car les attaques cybercriminelles ne cessent de croître, ce qui peut être extrêmement préjudiciable à la réputation et au fonctionnement de votre établissement.

Pour en savoir plus sur WebTitan Cloud pour WiFi : pour connaître les tarifs ou bien pour demander un essai gratuit de la solution, contactez l’équipe TitanHQ dès aujourd’hui.

Formation de sensibilisation à la sécurité : les bonnes pratiques

par Editeur | Avr 12, 2019 | Sécurité réseau

Ces dernières années, les actes de piratage informatique et le vol de données sensibles des entreprises ne cessent de faire la une des journaux.

Comme n’importe quelle organisation peut devenir une cible pour les cybercriminels, il est donc vital de prendre dès maintenant le temps d’examiner si votre organisation est vulnérable ou non.

Il existe différents types d’attaques, mais en général, les pirates visent le maillon le plus faible de votre chaine de cybersécurité : vos employés.

Même si vous disposez de nombreuses ressources pour protéger vos biens numériques, comme le département informatique, les pirates continuent à développer de nouvelles tactiques pour les contourner, comme le phishing, le spear phishing et l’ingénierie sociale.

En réalité, le paysage numérique évolue constamment et les entreprises peuvent avoir du mal à suivre les dernières tendances technologiques pour protéger leurs données. Heureusement, il existe des solutions que vous et vos collaborateurs pouvez adopter pour minimiser les risques.

L’un des meilleurs moyens est de former vos employés sur les attaques cybercriminelles. Si vous avez besoin de conseils pour assurer la réussite de vos séances de formation de sensibilisation à la sécurité, voici quelques bonnes pratiques à adopter.

L’importance de la formation de sensibilisation à la sécurité

Peu importe à quel point vos défenses de sécurité sont complètes et combien vous avez investi dans des produits de cybersécurité, ces défenses peuvent toutes être contournées avec un seul e-mail de phishing. Si un e-mail arrive dans la boite de réception d’un utilisateur qui n’a pas une compréhension de base de la sécurité et que ce dernier répond à ce message, des malwares peuvent s’installer, ou bien le cybercriminel peut autrement prendre pied dans votre réseau.

C’est le risque d’une telle attaque qui a incité de nombreuses organisations à élaborer un programme de sensibilisation à la sécurité. En enseignant à tous les employés les meilleures pratiques en matière de cybersécurité – du chef de la direction aux employés du niveau le plus bas – cela renforce grandement la sécurité et réduit la vulnérabilité de leur infrastructure informatique face à de nombreuses cyberattaques comme le phishing.

Cependant, il ne suffit pas d’offrir aux employés une séance de formation lorsqu’ils se joignent à l’entreprise. Il ne suffit pas non plus de donner une initiation à la cybersécurité suivie d’une session annuelle. On ne peut pas s’attendre à ce que les employés conservent leurs connaissances pendant 12 mois à moins que des séances fréquentes ne soient offertes. De plus, les cybercriminels développent constamment de nouvelles tactiques pour tromper les utilisateurs finaux. Les programmes de formation doivent donc suivre l’évolution de ces tactiques.

Les principaux types d’attaques cybercriminelles

On assiste actuellement à une épidémie de menaces cybercriminelles. Quels que soient vos données et ceux de vos collaborateurs, celles-ci ne sont plus en sécurité.

Mais ce qui pose vraiment problème, c’est que vos propres employés peuvent devenir des pions dans la prochaine menace d’un pirate hautement qualifié, d’un groupe de cybercriminels voire d’un État-nation.

Il importe donc de connaître les principaux types d’attaques cybercriminelles auxquelles vous et vos employés pourriez vous exposer.

Les attaques de phishing

Le phishing est une pratique courante utilisée par les pirates pour s’attaquer à une large cible d’utilisateurs avec des e-mails qui semblent authentiques.

Pourtant, ces messages sont destinés à amener leurs destinataires non avertis à cliquer sur des liens malveillants pour qu’ils divulguent différentes sortes d’informations sensibles (noms d’utilisateurs, mots de passe, informations financières, etc.).

Le phishing est l’une des menaces les plus dangereuses pour votre entreprise, car les pirates se cachent souvent derrière l’apparence d’une entreprise ou d’une personne de bonne réputation. Ils utilisent des tactiques d’ingénierie sociale pour rendre leurs victimes beaucoup plus susceptibles de tomber dans l’escroquerie.

Les attaques de spear phishing

Si le phishing consiste en quelque sorte au fait de jeter un large filet rempli d’appâts et de faire rentrer tout ce que les pirates informatiques peuvent attraper, le spear phishing, quant à lui, utilise une approche très ciblée pour attaquer des individus spécifiques.

Les victimes sont souvent des personnes ayant de grandes responsabilités ou qui ont accès à des biens numériques précieux.

L’e-mail de spear phishing est rédigé de façon personnalisée, c’est-à-dire que le pirate utilise toutes les informations disponibles pour faire en sorte que le message semble provenir d’un ami ou d’un collègue de travail. Ceci augmente les chances qu’il soit lu par son destinataire.

L’ingénierie sociale, ou social engineering

Le terme « ingénierie sociale » peut vous déconcerter, mais en réalité, il est facile de comprendre sa signification.

C’est un vecteur d’attaque cybercriminelle que les pirates peuvent utiliser pour accéder à des réseaux et des systèmes ou pour obtenir un gain financier en faisant appel à la psychologie humaine plutôt qu’à des méthodes de piratage technique.

Elle s’appuie sur l’interaction sociale pour manipuler les victimes afin que celles-ci contournent les meilleures pratiques et protocoles de sécurité mise en place au sein de leur entreprise.

Cette nouvelle tactique est très prisée par la communauté des pirates informatiques, car elle permet d’exploiter les failles des utilisateurs avec plus d’efficacité.

Quel est le coût d’une attaque de phishing ?

Avez-vous l’impression d’entendre souvent parler de phishing lorsqu’on évoque le terme de piratage informatique ?

Ce n’est pas le fruit de votre imagination, car au cours des cinq dernières années, le nombre de violations de données sensibles liées au phishing a augmenté de 67 %, et il ne montre aucun signe de ralentissement.

La grande majorité des cyberattaques commencent par des e-mails de phishing. Qu’il s’agisse d’inciter quelqu’un à cliquer sur un lien malveillant, de lui faire divulguer ses identifiants de connexion ou d’ouvrir une voie d’accès à votre réseau, les pirates peuvent causer des problèmes majeurs à votre entreprise en utilisant cette technique.

De nombreuses tentatives de phishing visent également à voler des données dans le but de les chiffrer puis de les échanger contre une rançon. À moins que vous ne payiez, vous n’obtiendrez pas la clé permettant de déchiffrer et donc de récupérer vos données.

Statistiques sur les attaques de phishing

Selon les estimations du FBI, les cybercriminels ont jusqu’alors volé plus de 11 milliards d’euros aux entreprises sur une période de cinq ans, et ce, en utilisant le phishing et la compromission de e-mails d’affaires (Business Email Compromise – BEC).

Une étude de l’université du Maryland a également révélé qu’une attaque de phishing se produit en moyenne toutes les 39 secondes, soit plus de 156 millions d’e-mails de phishing chaque jour.

Pire encore, plus de 16 millions de ces messages malveillants passent par les filtres des entreprises et la moitié d’entre eux sont ouverts par leurs destinataires.

C’est notamment ce qui est arrivé à certains des plus grandes enseignes comme Facebook et Google.

Ces géants du numérique se sont fait voler près de 92,5 millions d’euros lors d’une attaque de phishing ciblant les cadres du niveau C. La banque Crelan a, quant à elle, perdu plus de 69 millions d’euros, tandis que l’enseigne Upsher-Smith a perdu près de 46 millions d’euros suite à une attaque de phishing.

Les grandes entreprises ne sont pas les seules cibles du phishing. Près de la moitié des PME ont été attaquées et les résultats ont souvent été désastreux. Le fait est que plus 60 % des PME ayant été piratées ont fait faillite six mois après l’attaque.

Le coût moyen d’une fuite de données

Les statistiques sur les attaques de phishing montrent que le coût moyen d’une violation de données en 2018 était de 3,6 millions d’euros. Selon le rapport d’IBM en 2019, le coût d’une violation de données revient à environ 138 euros pour chaque enregistrement compromis.

Une fois que les pirates informatiques parviennent à pénétrer dans votre système, il peut s’écouler des mois avant que vos employés ne se rendent compte qu’ils sont victimes d’une attaque.

En moyenne, il faut 279 jours pour identifier et en contenir une. Entre le moment où une brèche se produit et celui où la menace est éliminée, il peut s’écouler environ 10 mois.

Une autre étude, menée par Accenture sur près d’un millier de cyberattaques, a révélé que le coût de la lutte contre les cyberattaques, le phishing et les malwares et les attaques a augmenté de 12 % par rapport à l’année précédente. En cinq ans, cela a augmenté de 72 %.

Pour faire face à l’augmentation de ces menaces cybercriminelles et pour protéger votre entreprise, il est donc important de former vos collaborateurs pour qu’ils comprennent les différents types d’attaques.

Dans ce qui suit, nous avons dressé une liste des meilleures pratiques à suivre. L’adoption de ces pratiques exemplaires vous permettra de faire évoluer la culture de sécurité au sein de votre organisation.

Bonnes pratiques en matière de formation de sensibilisation à la sécurité

Quand on parle des processus et des solutions de cybersécurité, les salariés sont souvent considérés comme les clés d’une protection performante contre les principales menaces en ligne. Mais ils doivent aussi être guidés par les équipes informatiques, les directeurs et hauts responsables. Ces derniers doivent insuffler les bonnes pratiques à leurs collaborateurs, que ce soit à travers la mise en place des systèmes de défense efficaces ; via la participation à des formations de sensibilisation ou à travers des actions quotidiennes simples.

Vous trouverez ci-dessous une liste de pratiques exemplaires en matière de sensibilisation à la sécurité qui vous aideront à élaborer un programme de formation efficace. Au final, elles vous aideront à prévenir les atteintes à la protection des données.

L’implication de la direction est un must

On dit souvent que le maillon le plus faible de la chaîne de sécurité d’une organisation est les employés.

Il n’est pas non plus surprenant que les cadres supérieurs soient moins enthousiastes à l’idée de participer à une formation sur la sensibilisation à la sécurité web. Beaucoup d’entre eux considèrent que cela fait perdre leur temps et empiète sur la productivité de leurs employés. Bien que cela puisse être vrai dans de rares cas, il faut savoir que la direction peut aussi devenir le maillon faible d’un système d’information.

Si la direction ne s’intéresse pas activement à la cybersécurité et ne se rend pas compte de l’importance de l’élément humain dans la sécurité, il est peu probable qu’un soutien suffisant soit fourni et que des ressources appropriées soient disponibles.

Bref, il faut une bonne implication de la direction pour créer une culture de sécurité au sein d’une organisation.

Un effort à l’échelle de l’organisation est nécessaire

Un seul département se verra probablement confier la responsabilité d’élaborer et de mettre en œuvre un programme de sensibilisation à la sécurité, mais ce ne sera pas facile à réaliser s’il travaille en vase clos. L’aide d’autres départements sera nécessaire.

Les chefs des différents départements doivent également apporter leur contribution et faire en sorte que le programme de formation de sensibilisation à la sécurité soit considéré comme l’une des priorités.

Afin d’alléger le fardeau du service IT, les membres d’autres services peuvent soutenir, voire participer aux efforts de formation. D’autres services, comme le marketing, peuvent par exemple les aider dans l’élaboration du contenu des documents de formation. Quant au service des ressources humaines, il peut contribuer dans la définition des politiques et des procédures de sécurité informatique.

Création d’un contenu de formation sur la sensibilisation à la sécurité

Il n’est pas nécessaire d’élaborer un contenu de formation pour les employés à partir de zéro, car il existe de nombreuses ressources gratuites qui peuvent vous donner une longueur d’avance.

De nombreuses entreprises offrent du matériel de formation de haute qualité à un prix qui est probablement inférieur au coût d’élaboration du matériel de formation interne. Vous pouvez donc tirer parti de ces ressources, mais assurez-vous d’élaborer un programme de formation adapté aux menaces qui pèsent sur votre organisation et le secteur dans lequel vous évoluez.

Votre programme de formation doit être complet : s’il existe des lacunes, il est certain que les cybercriminels vont les exploiter tôt ou tard.

L’importance d’une formation à la cybersécurité diverse

L’adoption d’une formation basée sur une approche unique est vouée à l’échec, car les gens réagissent différemment aux différentes méthodes de formation.

Certains peuvent conserver davantage de connaissances grâce à une formation en classe, tandis que d’autres peuvent avoir besoin d’une formation individuelle ; et beaucoup d’entre eux apprécieront davantage des séances de formation sur la TCC.

Votre programme de formation doit donc inclure un large éventail de méthodes et différents styles d’apprentissage. Plus votre programme est engageant, plus les connaissances seront conservées. Utilisez des affiches, des bulletins d’information, des alertes de sécurité par email, des jeux et des séries de jeux-questionnaires et vous constaterez certainement d’importantes améliorations en matière de sensibilisation de vos employés à la sécurité.

Mesurez toujours vos efforts en matière de cybersécurité

La mise en place des mesures d’évaluation des efforts est essentielle pour vous permettre de connaître l’impact de votre programme de formation et de démontrer son retour sur investissement.

Sur ce point, vous ne devez pas vous contenter de vous concentrer sur la sympathie. Ce qui compte, c’est le changement de comportement de vos employés. Heureusement, ce changement de comportement est mesurable grâce à des contrôles techniques correctement configurés qui favorisent le suivi des résultats et la création de rapports.

Les contrôles de sécurité des points finaux vous permettent par exemple de mesurer les taux d’infection par des malwares. Vous pouvez également procéder à des tests du niveau de connaissance de vos employés pour identifier les domaines à améliorer ou bien les employés qui pourraient avoir besoin d’une formation supplémentaire.

Vous pouvez par exemple élaborer un programme de formation qui semble très impressionnant pour vos employés. Pourtant, si ces derniers ne réussissent à conserver que 20 % du contenu, alors votre programme de formation ne sera pas très efficace.

L’une des meilleures façons de déterminer l’efficacité de votre programme est de simuler des attaques cybercriminelles. Des exercices de simulation d’attaque de phishing et d’autres scénarios d’attaques informatiques devraient alors être effectués avant, pendant et après la formation.

Ainsi, vous serez en mesure d’évaluer l’efficacité de tous les éléments du programme et d’obtenir les commentaires dont vous avez besoin pour identifier les points faibles. Grâce à cela, vous pourrez aussi prendre des mesures dans le but d’améliorer votre programme de formation.

La formation de sensibilisation à la sécurité doit être un processus continu

N’oubliez pas qu’un programme de formation de sensibilisation à la sécurité ne doit pas être considéré comme une case à cocher et une tâche à oublier une fois qu’elle est achevée.

Votre programme doit se dérouler de façon continue et comprendre une séance de formation annuelle pour tous les employés, des séances de formation semestrielles et d’autres activités de formation réparties tout au long de l’année.

L’objectif étant toujours de s’assurer que tous les dirigeants et employés sont toujours conscients de l’importance de la sécurité informatique, quel que soit le type d’organisation dans laquelle ils travaillent.

Ne blâmez pas vos employés

Lorsqu’une attaque se produit au sein d’une entreprise, les responsables de la sécurité ou les membres de la direction concluent souvent que c’est la faute d’un employé malchanceux qui a cliqué sur un lien malveillant, ouvert une pièce jointe ou visité un site compromis.

Même si c’est vrai, ce n’est pas une raison de blâmer l’un de vos employés de ne pas avoir les bonnes connaissances et pris les mesures adéquates au bon moment.

C’est n’est qu’un moyen d’éviter la responsabilité de l’organisation de s’assurer que ses employés obtiennent une formation adaptée pour mieux sécuriser son réseau et ses données.

Il incombe à votre entreprise de mettre au point un plan pour s’assurer que chacun dispose des connaissances nécessaires pour que chaque employé puisse prendre la bonne décision et s’adresser à la bonne personne en cas de besoin.

Autrement dit, il faut être clair sur ce que vos collaborateurs doivent faire si quelqu’un reçoit des e-mails de phishing, divulgue des informations confidentielles ou télécharge par inadvertance des malwares.

Pour ce faire, vous devez adopter plusieurs approches et changer de mentalité. Vous ne devriez pas considérer la personne qui a ouvert la mauvaise pièce joute comme le point d’échec.

Au contraire, vous devriez reconnaître que les solutions de sécurité utilisées par cette personne ou la formation qu’elle a reçue ont échoué.

N’oubliez pas les travailleurs distants

Les travailleurs distants peuvent représenter des menaces pour la sécurité de votre système d’information. Comme le déconfinement est encore loin d’avoir mis fin au télétravail, cette pratique nécessite l’adoption de mesures de sécurité renforcées.

En tant qu’employeur, les ordinateurs vos collaborateurs peuvent déjà disposer de pare-feux, de logiciels antivirus et antimalwares, et d’autres systèmes de sécurité informatique (messagerie instantanée sécurisée, système de partage de fichiers, système d’authentification multifacteurs, etc.). Mais vous devez aussi leur apprendre à sécuriser leurs activités professionnelles afin d’éviter les cyberattaques.

Lors des séances de formations, apprenez donc à vos employés distants à séparer leurs activités personnelles de leurs tâches professionnelles. Vous devez aussi les inciter à utiliser un réseau privé virtuel ou un VPN pour sécuriser leurs données professionnelles, à créer et utiliser des mots de passe sécurisés et à faire une sauvegarde régulière de leurs données, entre autres.

Conclusion

L’argument en faveur de la formation de sensibilisation à la sécurité des employés est simple : si vos employés ne savent pas comment reconnaître une menace, ne vous attendez pas à ce qu’ils puissent les éviter, les signaler ou les bloquer.

En sensibilisant vos employés aux menaces cybercriminelles ; à la manière dont elles peuvent se présenter et évoluer ; et aux procédures à suivre si une attaque se produit, vous renforcez les maillons les plus vulnérables de votre chaîne de sécurité.

Mais malgré tous efforts répétés en matière de formation, n’oubliez pas que vos employés sont des êtres humains. Un jour ou l’autre, ils pourront encore faire des erreurs. C’est pour cela que vous aurez besoin de déployer des logiciels anti-phishing fiables qui s’intègrent aux systèmes d’exploitation que vous utilisez.

Spécialiste dans la fourniture de solution de sécurité contre les attaques de phishing, de spear phishing, de malwares et d’ingénierie sociale, TitanHQ propose des solutions adaptées aux besoins des entreprises et des fournisseurs de services gérés. Pour plus d’informations à propos de nos solutions SpamTitan et WebTitan, contactez notre équipe dès aujourd’hui.