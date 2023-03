Face à la diversité des menaces, les entreprises doivent intensifier leurs efforts de sensibilisation des employés et de formation à la cybersécurité des IT, développeurs et utilisateurs en les adaptant aux contextes de l’entreprise et aux personnes. Voici 3 conseils pour améliorer votre stratégie de formation à la cybersécurité…

Même si de nombreuses entreprises investissent plus que jamais pour financer des outils et des technologies avancés de cybersécurité, les experts pensent que, pour les entreprises américaines, le coût des cyberattaques va augmenter considérablement en 2023.

Les cybercriminels professionnels et les auteurs de menaces de nations étrangères qui perpètrent des attaques extrêmement sophistiquées continuent à faire les gros titres de l’actualité. Toutefois, d’après les tendances remarquées, on peut s’attendre à de nombreux incidents résultant de menaces extrêmement efficaces et difficiles à détecter, comme les tentatives d’hameçonnage et les attaques d’ingénierie sociale.

Même si elles nécessitent moins de compétences techniques, de telles attaques parviennent néanmoins à contourner les technologies de cybersécurité les plus avancées, car elles sont à l’affût d’erreurs humaines auxquelles on peut imputer 95 % des failles de cybersécurité, d’après une étude réalisée par IBM.

Pour neutraliser ces menaces et réduire tout risque d’erreur humaine susceptible de provoquer un incident, les entreprises renforcent leur technologie de cybersécurité grâce à des programmes de formation des employés. Lorsqu’ils sont implémentés de manière efficace, ces programmes peuvent améliorer les connaissances des employés dans le domaine de la cybersécurité et limiter tout risque qu’un employé soit victime d’une attaque. Vu qu’à l’heure actuelle toute violation moyenne peut coûter des millions, cette formation est plus importante que jamais.

Voici trois conseils qui pourront vous aider à améliorer le programme de formation de votre entreprise en matière de cybersécurité.

1- Simulation d’attaques pour améliorer les comportements

Le vieux proverbe « C’est en forgeant qu’on devient forgeron » prend tout son sens, surtout quand il s’agit de formation sur la cybersécurité.

Mais comment les entreprises peuvent-elles « s’entraîner » à détecter et empêcher divers types de cyberattaques ? Grâce à des simulations !

Pour apprendre aux employés comment reconnaître, éviter et signaler des menaces potentielles, peu de méthodes sont aussi efficaces que la simulation d’attaques risquant de se produire en réalité.

Heureusement, plusieurs sociétés et programmes, ces derniers étant souvent disponibles via un modèle SaaS (Software as a Service) facile à utiliser, peuvent actuellement aider les entreprises à renforcer leur sécurité en générant des tentatives d’hameçonnage et en simulant des logiciels malveillants, ainsi que d’autres cyberattaques susceptibles de viser les employés. Ces campagnes de test ciblent alors les membres du personnel, lesquels doivent détecter et neutraliser ces tentatives de piratage.

Ces simulations de scénarios réels et pertinents peuvent aider les employés à être plus vigilants et mieux préparés face aux menaces, dans un environnement qui ne présente pas d’enjeux. Un environnement favorisant le renforcement positif est plus susceptible d’inciter les employés à signaler d’éventuelles tentatives d’hameçonnage/d’hameçonnage par SMS, même s’il s’avère que leurs soupçons sont injustifiés. Ils devront éventuellement vérifier davantage de rapports, mais seront plus conscients des menaces, et plus méfiants.

2- Réduction de la désensibilisation aux messages de sécurité par petites étapes et association des menaces à un contexte

On a l’impression que, toutes les semaines, une nouvelle cyberattaque fait les gros titres. Cette profusion de nouvelles s’est traduite par un phénomène dangereux connu sous le nom de « désensibilisation aux messages de sécurité », autrement dit une « désensibilisation à l’exposition répétée au même message, au fil du temps ».

Selon une étude réalisée par Malwarebytes, 80 % des participants ont signalé un certain niveau de « désensibilisation aux messages de sécurité » en termes de cybersécurité. Cette désensibilisation aux messages de sécurité présente des dangers et peut se traduire par un comportement négligent susceptible de fragiliser et de menacer gravement la cybersécurité.

Pour combattre la désensibilisation aux messages de sécurité et rappeler aux employés que leurs actions sont critiques pour la sécurité globale des entreprises, ces dernières peuvent procéder initialement par petites étapes. Pour commencer, elles peuvent envisager l’implémentation, à l’échelle de l’entreprise, de protocoles régissant les mots de passe. En obligeant les employés à modifier leurs mots de passe à quelques mois d’intervalle et à utiliser l’authentification à deux facteurs, les entreprises leur rappellent simplement, mais fermement, qu’ils doivent contribuer activement à la position globale de l’entreprise en termes de cybersécurité.

Les entreprises peuvent également contextualiser les communications concernant la cybersécurité pour que les employés comprennent mieux les conséquences réelles d’un incident potentiel, par exemple en signalant l’éventuel impact monétaire d’un cyberincident sur leurs bonus et salaires.

3- Implémentation d’un environnement de privilège minimum et de Zero Trust, et application des principes Secure by Design

Malgré tous les efforts qu’elles déploient, les entreprises ne peuvent pas se permettre de ne compter que sur les employés pour empêcher les cyberattaques. Elles doivent donc toutes envisager l’implémentation de mesures de cybersécurité de confiance zéro (Zero Trust) et d’un environnement de privilège minimum.

Le modèle de cybersécurité de confiance zéro protège essentiellement les ressources de l’entreprise tout en adoptant une mentalité de « violation supposée ». Cela signifie que chaque demande d’accès aux informations ou services d’une entreprise fait l’objet d’une vérification afin de bloquer tout accès non autorisé au réseau.

De la même façon, un environnement de privilège minimum peut empêcher tout accès indésirable à des logiciels, services, serveurs, matériel, etc., à partir de comptes ne nécessitant pas cet accès. En imposant des contrôles d’accès efficaces soumis à des évaluations et mises à jour régulières, les entreprises limitent considérablement la surface d’attaque.

Alors que de plus en plus d’entreprises adoptent des environnements de travail hybrides à long terme, les principes de confiance zéro et de privilège minimum sont des outils puissants pour empêcher et atténuer les vulnérabilités.

À l’avenir, les entreprises devraient créer des produits et des logiciels conformes aux principes Secure by Design, qui intègrent des fonctions de sécurité. En adoptant l’approche Secure by Design, les entreprises se concentrent sur les individus, les infrastructures et le développement de logiciels pour optimiser leur infrastructure de sécurité. Si les entreprises appliquent ce nouveau modèle, il peut empêcher et atténuer les futures cyberattaques.

____________________________

Par Chrystal Taylor, experte Head Geek™ chez SolarWinds

À lire également :