Formation sur mesure à la sensibilisation à la sécurité

L’un des principaux moyens de contrôler l’aspect humain des atteintes à la cybersécurité consiste à dispenser aux employés une formation sur mesure en matière de sensibilisation à la sécurité.

De la perte de confiance des clients à l’horreur des amendes pour non-conformité, les violations de données sont aujourd’hui une préoccupation quotidienne pour les entreprises, quel que soit leur secteur d’activité. Se tenir au courant des risques de sécurité est un véritable défi.

Ce serait merveilleux si la sécurité informatique consistait simplement à utiliser un élément technologique pour fermer la porte aux cybercriminels ; mais, comme le montre une étude d’IBM sur le coût d’une violation de données, la plupart des cybermenaces ont tendance à avoir un employé comme cause première ; qu’il s’agisse d’une simple erreur humaine, d’initiés malveillants, d’hameçonnage ou d’informations d’identification compromises.

Importance de la formation à la sensibilisation à la sécurité pour les employés

Comme nous le savons tous, l’éducation est importante dans la vie. Cette éducation s’étend au comportement et à la sécurité ; si une personne comprend pourquoi elle agit d’une certaine manière, elle peut plus facilement changer tout comportement négatif.

En sensibilisant les salariés et les non-salariés au fonctionnement de la cybersécurité, ils peuvent faire partie d’une équipe bien informée qui joue un rôle positif en contribuant à atténuer les cyberattaques contre une organisation.

Les êtres humains agissent d’une certaine manière en raison de normes comportementales et d’un conditionnement préalable à l’utilisation plus aisée des ordinateurs. Ce comportement est utilisé pour manipuler les employés afin qu’ils accomplissent des actions qui profitent aux fraudeurs.

Les études montrent que la manipulation du comportement humain est l’outil de prédilection de la cybercriminalité. Les logiciels malveillants peuvent exfiltrer des données, mais les êtres humains ouvrent la porte aux cybermenaces par l’erreur humaine, l’ingénierie sociale et l’hameçonnage. Voici trois raisons essentielles pour lesquelles la formation des employés à la sensibilisation à la sécurité est importante :

La formation à la sensibilisation à la sécurité met l’accent sur l’être humain dans la chaîne des menaces

Selon l’ENISA, plus de 95 % des courriels de phishing nécessitent une intervention humaine pour déclencher l’infection par un logiciel malveillant.

La formation à la sensibilisation à la sécurité réduit les coûts

L’étude d’IBM mentionnée plus haut a révélé que les cours de formation des employés étaient l’un des principaux moyens de réduire le coût moyen d’une atteinte à la protection des données.

La formation à la sensibilisation à la sécurité transforme les politiques en actions

Une autre étude de l’ENISA sur la culture de la cybersécurité souligne l’importance de l’application des politiques de sécurité. Le rapport a révélé que les utilisateurs finaux considèrent les politiques de sécurité comme des « lignes directrices, mais pas des règles ». Le rapport souligne l’importance de changer les mentalités des employés sur la sécurité pour ajuster la perception du risque en utilisant une culture de sécurité organisationnelle coordonnée, plutôt que de contraindre à un comportement sûr.

Thèmes essentiels pour la formation des employés à la sensibilisation à la sécurité

Les programmes de formation à la sensibilisation à la sécurité comportent plusieurs thèmes indispensables à une formation efficace. Six des plus importants sont les suivants :

Hameçonnage

Les attaques par hameçonnage restent l’une des principales méthodes de violation des données. Avec le manque de formation et une mauvaise hygiène des mots de passe, les attaques par hameçonnage sont l’une des trois principales causes d’ infection par les ransomwares. La formation de sensibilisation des employés à la sécurité doit comprendre le fonctionnement du phishing et les différents types d’hameçonnage, par exemple le phishing par courriel, le phishing vocal (Vishing), le phishing textuel (SMShing) et le spear phishing (harponnage). La simulation d’hameçonnage fait souvent partie d’un programme de sensibilisation. Les exercices de simulation d’hameçonnage sont conçus pour envoyer des courriels d’hameçonnage de test afin de former les utilisateurs aux astuces typiques utilisées par les fraudeurs. De nombreux programmes de sensibilisation à la sécurité proposent également des vidéos interactives pour aider à repérer les différents types de fraude qui utilisent le phishing.

Sécurité sur le web

En 2020, Google a enregistré plus de 2 millions de sites de phishing. Les URL malveillantes peuvent entraîner le vol de données d’identification et l’infection par des logiciels malveillants, même sans interaction de la part de l’utilisateur. Il est important de former les utilisateurs finaux à la détection des sites web et des escroqueries qui visent à infecter les réseaux. Cela devient de plus en plus difficile car les sites de phishing sont souvent des « sites sécurisés » ; le groupe de travail anti-phishing (APWG) montre que 83% des sites de phishing utilisent HTTPS.

Hygiène des mots de passe

Quelques statistiques de LastPass résument les problèmes de mots de passe auxquels sont confrontées les organisations :

• 66% des gens réutilisent leurs mots de passe
• 53% n’ont pas modifié leurs mots de passe depuis plus de 12 mois
• 41% pensent que leurs comptes n’ont pas assez de valeur pour attirer un pirate informatique

La formation de sensibilisation à la sécurité doit expliquer pourquoi l’hygiène des mots de passe est importante et comment créer des mots de passe robustes.

Appareils mobiles

À l’heure où de nombreux employés travaillent à domicile ou à distance, au moins une partie du temps, la sécurité mobile est plus importante que jamais. Environ 70 % des fraudes en ligne se produisent sur le canal mobile. La formation de sensibilisation à la sécurité doit mettre l’accent sur l’utilisation sécurisée des appareils mobiles, y compris le Wi-Fi sécurisé, l’hygiène des applications et le phishing.

Ingénierie sociale

L’ingénierie sociale est utilisée pour inciter les utilisateurs à fournir aux fraudeurs des données précieuses, telles que des identifiants de connexion et des informations personnelles. L’ingénierie sociale joue également un rôle important dans les escroqueries complexes, telles que le Business Email Compromise (BEC), où les employés sont incités à envoyer de l’argent sur le compte bancaire d’un fraudeur.

Traitement des données sensibles

Les réglementations et les normes exigent que les processus soient respectés lors du traitement des données sensibles. La formation de sensibilisation à la sécurité des employés doit également comporter un élément qui couvre leur rôle dans le maintien d’un traitement conforme des informations sensibles et personnelles.

Rendre la formation à la sensibilisation à la sécurité intéressante pour les employés

La cybersécurité est généralement considérée comme un sujet ennuyeux. Cependant, la formation à la sensibilisation à la sécurité a beaucoup évolué depuis sa création. Les programmes modernes de sensibilisation à la sécurité sont conçus pour durer, ce qui signifie qu’ils peuvent être intéressants, voire amusants ! Voici quelques moyens de rendre votre programme de sensibilisation à la sécurité pour les employés amusant et intéressant :

Le jeu: L’apprentissage par le jeu est une chose que les êtres humains maîtrisent bien. Lorsque vous vous amusez en faisant quelque chose, vous avez tendance à vous en souvenir. Adaptez vos cours de cybersécurité de manière à ce qu’ils s’appuient sur des jeux pour que la formation reste gravée dans l’esprit de vos employés.

Interagir: les sessions de formation interactives impliquent les employés et les aident à apprendre. Certains programmes de formation à la sécurité proposent des vidéos interactives qui présentent aux employés des processus typiques d’escroquerie afin de les aider à comprendre comment ils peuvent être dupés par les fraudeurs. Ces sessions interactives donnent généralement un retour d’information en temps réel aux employés au cours d’une session de formation.

Relativisez: Les gens apprennent bien grâce à des jeux ou à des sessions de formation interactives qui peuvent être mis en relation avec la réalité. Vous devriez essayer d’adapter votre programme de formation à la sensibilisation à la sécurité pour refléter les menaces réelles auxquelles votre secteur d’activité est confronté. L’étude de l’apprentissage des adultes, connue sous le nom d' »andragogie« , dit ceci à propos de l’enseignement aux adultes :

« Comme les adultes recherchent un apprentissage pratique, le contenu doit être axé sur des questions liées à leur travail ou à leur vie personnelle.

Ressources de formation à la sensibilisation à la sécurité pour les employés

Voici quelques ressources qui vous aideront à trouver des idées pour sensibiliser vos employés à la cybersécurité :

Mois de la sensibilisation à la sécurité: Tout le mois d’octobre est consacré à divers sujets de sensibilisation à la sécurité, offrant des conseils et des activités pour former les employés aux menaces qui pèsent sur la sécurité.

Le Centre national de cybersécurité: Cet organisme national dispose d’un grand nombre de ressources pour aider à adapter les sessions de formation à la sensibilisation.

Quiz Google sur l’hameçonnage: Un test automatisé rapide et amusant qui passe en revue les astuces les plus courantes en matière d’hameçonnage.

Outil de simulation de phishing de MetaCompliance: MetaPhish est adapté à vos employés et donne un aperçu de l’efficacité de votre formation à la sécurité.

Affiches de sensibilisation à la cybersécurité: Des affiches gratuites que vous pouvez imprimer ou envoyer pour rappeler aux employés les différents aspects essentiels de la cybersécurité.