La cybersécurité sur le lieu de travail : Saints, pécheurs et scandales
Demandez une démo

MetaBlog

Le paysage des cybermenaces et des cyberattaques est en constante évolution. Explorez notre blog sur la cybersécurité pour obtenir des conseils en matière de conformité, formation et sensibilisation à la sécurité en entreprise.

Sensibilisation à la cybersécurité
Phishing et ransomware
Formation en ligne
Gestion des politiques et de la conformité
Conformité
Confidentialité, RGPD et CCPA
GRC

La cybersécurité sur le lieu de travail : Saints, pécheurs et scandales

La cybersécurité sur le lieu de travail

au sujet de l'auteur

James MacKay

James MacKay

James MacKay est le COO de MetaCompliance et un expert reconnu en matière de formation à la sensibilisation à la sécurité informatique. Grâce à sa solide expertise en dispensation de formations efficaces en cybersécurité, James est engagé à aider les organisations à assurer la sécurité de leur personnel en ligne, à protéger leurs actifs numériques et à préserver leur réputation. 

La cybersécurité sur le lieu de travail est devenue de plus en plus importante alors que de plus en plus d'entreprises s'orientent vers les ressources numériques et le cloud après le COVID. Les rançongiciels sont en tête de liste des menaces qui peuvent paralyser une organisation, et ces attaques commencent souvent par un courriel de phishing malveillant ciblant des employés spécifiques. Il suffit d'un seul employé pour être victime d'une attaque sophistiquée, et votre organisation pourrait être paralysée par le blocage de l'accès aux fichiers, le vol de données et les menaces persistantes avancées cachées sur le réseau.

Tout récemment, le Colonial Pipeline, qui assure le transport de gaz et de carburéacteur du Texas vers la côte Est, a été victime d'une attaque par ransomware. L'attaque a interrompu la production et a obligé l'infrastructure énergétique à s'arrêter. Ces types d'attaques n'ont fait que s'accélérer, et elles commencent par cibler un employé interne qui ne reconnaît pas qu'un message est malveillant. Il s'agit souvent d'un échec en matière d'éducation et de sensibilisation à la cybersécurité sur le lieu de travail.

CryptoLocker, l'une des premières et des plus populaires attaques de ransomware, a commencé par un courriel de phishing. Elle a touché près de 500 000 ordinateurs et entraîné une perte de données généralisée dans le monde entier. Le logiciel malveillant a été déployé par l'envoi massif de messages électroniques contenant un fichier ZIP en pièce jointe. Une fois ouvert, le ransomware scanne les ordinateurs et crypte les fichiers afin qu'ils soient verrouillés et inaccessibles à moins de payer une rançon. Les utilisateurs doivent savoir que tout courriel contenant un fichier ZIP en pièce jointe doit être considéré comme suspect.

CISO : La valeur d'un mangeur de péchés

Le rôle d'un responsable de la sécurité des informations (CISO) ressemble beaucoup au mythique "mangeur de péchés" du folklore anglais. Un mangeur de péchés prenait un repas et absorbait les péchés des morts. Le mangeur de péchés transportait ensuite les péchés d'autres personnes pour les absoudre de la culpabilité, de la honte et des répercussions dans l'au-delà. 

Un RSSI joue un rôle similaire lorsque les péchés des employés internes affectent la réputation du RSSI, ses performances professionnelles et ses perspectives d'avenir. Si un employé est victime d'un scandale de cybersécurité interne, il ruine la réputation de l'organisation et entraîne l'arrêt des services de production. Pour protéger un employé spécifique de l'impact négatif et des conséquences, le CISO assume les péchés de la victime infortunée et répond de ses erreurs.

Les péchés de la cybersécurité

La présence d'un seul CISO au sein de l'organisation ne signifie pas que la responsabilité repose uniquement sur une seule personne. C'est l'organisation dans son ensemble qui assume la responsabilité. Dans le cas de la violation de données d'Equifax, les administrateurs de serveurs et le RSSI responsable de la surveillance et de l'application des correctifs logiciels pourraient être les seuls responsables de l'une des plus grandes violations de données à ce jour, mais l'organisation Equifax dans son ensemble a été considérée comme irresponsable et a été blâmée pour les retombées.

En plus d'être responsable de la cybersécurité interne, un RSSI doit faire face à une charge de travail croissante, car de plus en plus d'organisations passent au cloud et au numérique pendant le verrouillage pandémique de 2020. Pour rester productives, les organisations ont été contraintes d'autoriser une main-d'œuvre à domicile après la propagation mondiale du COVID. Cette modification des environnements de travail a entraîné une poussée soudaine vers l'informatique en nuage et les flux de travail numériques. Le résultat a été que les entreprises se sont mises à l'informatique dématérialisée sans se soucier de la cybersécurité. La cybersécurité a été envisagée après coup et les acteurs de la menace ont pleinement profité de cet oubli. Le phishing et les ransomwares ont prospéré, car de plus en plus d'employés ont été victimes de campagnes sophistiquées visant les particuliers.

Les sept péchés capitaux de la cybersécurité sur le lieu de travail

Lasensibilisation à la cybersécurité est essentielle pour éviter les risques. Si vos employés ne connaissent pas l'anatomie d'une attaque de phishing, on ne peut pas s'attendre à ce qu'ils l'évitent. L'erreur humaine est un facteur majeur dans les violations de données, mais voici sept péchés capitaux et les moyens d'éviter d'être la prochaine victime :

  1. Mots de passe médiocres. La complexité et la longueur des mots de passe réduisent le risque d'une attaque par force brute sur les informations d'identification des employés. Les administrateurs peuvent mettre en place des règles de mot de passe qui exigent une certaine longueur et complexité et empêchent la réutilisation des utilisateurs.
  2. Risques liés au Wi-Fi public. Les utilisateurs doivent être conscients des risques associés au Wi-Fi public. Toute application critique doit être utilisée sur un réseau privé virtuel (VPN), et les utilisateurs ne doivent jamais transmettre de données non cryptées.
  3. Antivirus installé et mis à jour. Les organisations qui appliquent une politique de "bring-your-own-device" (BYOD) doivent sensibiliser les utilisateurs à l'importance de l'antivirus et de sa mise à jour. Les administrateurs peuvent imposer des mises à jour sur les postes de travail, mais ils comptent sur les utilisateurs pour sécuriser leurs propres appareils avec les derniers logiciels antivirus.
  4. Ouverture des pièces jointes des courriels. Les administrateurs peuvent bloquer les messages électroniques suspects, mais les faux négatifs donnent aux acteurs de la menace la possibilité d'inciter les destinataires à ouvrir des pièces jointes malveillantes. Les utilisateurs doivent savoir qu'il ne faut pas ouvrir les pièces jointes, surtout si elles proviennent d'expéditeurs externes.
  5. Cliquer sur des liens dans un courriel. Les liens malveillants ouvrent des sites contrôlés par des attaquants qui peuvent inciter les utilisateurs à divulguer leurs informations d'identification réseau ou d'autres informations sensibles. Les utilisateurs doivent savoir qu'ils ne doivent pas saisir leurs informations d'identification après avoir cliqué sur des liens. Ils doivent plutôt taper le domaine dans leur navigateur pour vérifier que le message est légitime.
  6. Partage des informations d'identification avec d'autres utilisateurs. Les utilisateurs ne doivent jamais partager leurs mots de passe. S'ils le font, un employé qui ne fait plus partie de l'entreprise pourrait toujours avoir accès à des systèmes critiques, même si son propre compte a été désactivé.
  7. Aucune sensibilisation à la cybersécurité. Sans éducation, les utilisateurs ne disposent pas des ressources nécessaires pour identifier une attaque. Il incombe au RSSI de créer un environnement où l'éducation à la cybersécurité permet de mieux éviter les risques et de réduire les erreurs humaines.

Aider les employés à lutter contre les cyberattaques et à être plus conscients de l'importance du cyberespace

Si les RSSI ne prennent pas le temps de former les employés, ils laissent une grande faille dans l'armure de cybersécurité de l'entreprise. La sensibilisation à la cybersécurité est la première défense contre les attaques sophistiquées qui ciblent les erreurs humaines. Elle devrait donc toujours faire partie des formations obligatoires pour les nouveaux employés et le personnel actuel.

La sensibilisation peut se faire de plusieurs manières : apprentissage en ligne, formation pratique et politiques. Les employés ne sont pas des hackers, les informations doivent donc être faciles à comprendre. Ils doivent comprendre les conséquences d'une attaque et disposer d'informations leur permettant de mettre en doute la légitimité d'un courriel, d'un appel téléphonique, d'un site Web ou de toute autre forme de cyberattaque. Il n'est pas nécessaire qu'ils aient des connaissances techniques complètes, mais les employés doivent être armés des bonnes informations. 

Les plus grandes menaces pour une organisation sont le phishing et le ransomware, mais la formation réduit les risques de ces menaces. Les employés armés des bonnes connaissances identifieront l'attaque, éviteront d'être une victime, alerteront les bonnes personnes, et le CISO aura un travail beaucoup moins stressant. Sans sensibilisation à la cybersécurité, le RSSI continue à répondre de manière réactive à des attaques qui pourraient ruiner sa réputation et celle de l'organisation.

Sensibilisation Cybersécurité pour les Nuls | E-book gratuit

Sensibilisation à la cybersécurité : d'autres articles que vous pourriez aimer

Demandez une démo

Demandez une démonstration gratuite dès aujourd'hui pour voir comment notre logiciel et notre formation anti-hameçonnage pourraient profiter à votre organisation.

La démo ne prend que 30 minutes et vous n'avez pas besoin d'installer de logiciel.