La cybersécurité sur le lieu de travail est devenue de plus en plus importante à mesure que les entreprises se tournent vers les ressources numériques et l’informatique dématérialisée. Les ransomwares sont en tête de liste des menaces qui peuvent paralyser une organisation, et ces attaques commencent souvent par un courriel de phishing malveillant ciblant des employés spécifiques. Il suffit qu’un seul employé soit victime d’une attaque sophistiquée pour que votre entreprise soit paralysée par le blocage de l’accès aux fichiers, le vol de données et les menaces persistantes avancées dissimulées sur le réseau.

Le Colonial Pipeline, qui assure l’acheminement du gaz et du kérosène du Texas vers la côte Est, a été victime d’une attaque par ransomware. L’attaque a interrompu la production et forcé l’infrastructure énergétique à s’arrêter. Ces types d’attaques n’ont fait que s’accélérer, et elles commencent par cibler un employé interne qui ne reconnaît pas qu’un message est malveillant. Il s’agit souvent d’un échec dans l’éducation et la sensibilisation à la cybersécurité sur le lieu de travail.

CryptoLocker, l’une des premières et des plus populaires attaques de ransomware, a commencé par un courriel d’hameçonnage. Elle a touché près de 500 000 ordinateurs et entraîné une perte massive de données dans le monde entier. Le logiciel malveillant a été déployé en envoyant des quantités massives de messages électroniques contenant un fichier ZIP en pièce jointe. Une fois ouvert, le ransomware scanne les ordinateurs et crypte les fichiers afin de les verrouiller et de les rendre inaccessibles à moins qu’une rançon ne soit versée. Les utilisateurs doivent savoir que tout courriel contenant un fichier ZIP en pièce jointe doit être considéré comme suspect.

RSSI : La valeur d’un mangeur de péchés

Le rôle d’un responsable de la sécurité de l’information (RSSI) ressemble beaucoup à celui du mythique et médiéval « mangeur de péchés » du folklore anglais. Le mangeur de péchés mangeait un repas et absorbait les péchés des morts. Le mangeur de péchés transportait ensuite les péchés d’autres personnes pour les absoudre de la culpabilité, de la honte et des répercussions dans l’au-delà.  

Le RSSI joue un rôle similaire : les fautes commises par des employés internes affectent sa réputation, ses performances professionnelles et ses perspectives d’avenir. Si un employé est victime d’un scandale de cybersécurité interne, il ruine la réputation de l’organisation et fait chuter les services de production. Pour protéger un employé spécifique de l’impact négatif et des conséquences, le RSSI assume les péchés de la victime infortunée et répond de son erreur.

Les péchés de la cybersécurité

Le fait qu’il n’y ait qu’un seul RSSI au sein de l’organisation ne signifie pas que la responsabilité incombe uniquement à une seule personne. C’est l’organisation dans son ensemble qui assume la responsabilité. Dans le cas de la violation de données d’Equifax, les administrateurs de serveurs et le RSSI responsable de la surveillance et de la correction des logiciels pourraient être les seuls responsables de l’une des plus grandes violations de données à ce jour, mais l’organisation d’Equifax dans son ensemble a été considérée comme irresponsable et a été blâmée pour les retombées.

En plus d’être responsable de la cybersécurité interne, le RSSI doit faire face à une charge de travail de plus en plus lourde, car de plus en plus d’organisations passent au cloud et au numérique pendant les périodes de confinement de la pandémie en 2020. Pour rester productives, les organisations ont été contraintes d’autoriser une main-d’œuvre à domicile après la propagation du COVID à l’échelle mondiale. Ce changement d’environnement de travail a entraîné une poussée soudaine vers l’informatique en nuage et les flux de travail numériques. En conséquence, les entreprises se sont lancées dans l’informatique dématérialisée sans se préoccuper de la cybersécurité. La cybersécurité n’a pas été prise en compte et les acteurs de la menace ont pleinement profité de cet oubli. Le phishing et les ransomwares ont prospéré, car de plus en plus d’employés ont été victimes de campagnes sophistiquées ciblant les individus.

Les sept péchés capitaux de la cybersécurité sur le lieu de travail

La sensibilisation à la cybersécurité est essentielle pour éviter les risques. Si vos employés ne connaissent pas l’anatomie d’une attaque par hameçonnage, on ne peut pas s’attendre à ce qu’ils l’évitent. L’erreur humaine est un facteur majeur dans les violations de données, mais voici les sept péchés capitaux et les moyens d’éviter d’être la prochaine victime :

  1. Mots de passe médiocres. La complexité et la longueur des mots de passe réduisent les risques d’une attaque par force brute des informations d’identification des employés. Les administrateurs peuvent mettre en place des règles de mots de passe qui exigent une certaine longueur et une certaine complexité, et qui empêchent les utilisateurs d’être réutilisés.

  2. Risques liés au Wi-Fi public. Les utilisateurs doivent être conscients des risques associés au Wi-Fi public. Toute application critique doit être utilisée sur un réseau privé virtuel (VPN) et les utilisateurs ne doivent jamais transmettre de données non cryptées.

  3. Un antivirus installé et mis à jour. Les organisations qui proposent une politique de BYOD (bring-your-own-device) doivent sensibiliser les utilisateurs à l’importance de l’antivirus et de sa mise à jour. Les administrateurs peuvent imposer des mises à jour sur les postes de travail, mais ils comptent sur les utilisateurs pour sécuriser leurs propres appareils avec les derniers logiciels antivirus.

  4. Ouverture des pièces jointes aux courriels. Les administrateurs peuvent bloquer les messages électroniques suspects, mais les faux négatifs donnent aux acteurs de la menace la possibilité d’inciter les destinataires à ouvrir des pièces jointes malveillantes. Les utilisateurs doivent savoir qu’ils ne doivent pas ouvrir les pièces jointes, surtout si elles proviennent d’expéditeurs externes.

  5. Cliquer sur des liens dans un courrier électronique. Les liens malveillants ouvrent des sites contrôlés par les attaquants où les utilisateurs peuvent être amenés à divulguer leurs identifiants de réseau ou d’autres informations sensibles. Les utilisateurs doivent savoir qu’ils ne doivent pas saisir leurs informations d’identification après avoir cliqué sur des liens. Ils doivent plutôt taper le domaine dans leur navigateur pour vérifier que le message est légitime.

  6. Partage des informations d’identification avec d’autres utilisateurs. Les utilisateurs ne devraient jamais partager leurs mots de passe. S’ils le font, un employé qui ne fait plus partie de l’entreprise pourrait encore avoir accès à des systèmes critiques, même si son propre compte a été désactivé.

  7. Pas de sensibilisation à la cybersécurité. Sans formation, les utilisateurs n’ont pas les moyens d’identifier une attaque. Il incombe au RSSI de créer un environnement dans lequel la sensibilisation à la cybersécurité permet de mieux éviter les risques et de réduire les erreurs humaines.

Aider les employés à lutter contre les cyber-attaques et à être plus conscients du cyberespace

Si les RSSI ne prennent pas le temps de former les employés, ils laissent une grande faille dans l’armure de cybersécurité de l’entreprise. La sensibilisation à la cybersécurité est la première défense contre les attaques sophistiquées qui ciblent les erreurs humaines, c’est pourquoi elle devrait toujours être une formation obligatoire pour les nouveaux employés et le personnel actuel.

La sensibilisation peut se faire de différentes manières : apprentissage en ligne, formation pratique et politiques. Les employés ne sont pas des pirates informatiques, c’est pourquoi les informations doivent être faciles à comprendre. Ils doivent comprendre les conséquences d’une attaque et être armés d’informations leur permettant de mettre en doute la légitimité d’un courriel, d’un appel téléphonique, d’un site web ou de toute autre forme de cyberattaque. Ils n’ont pas besoin de connaissances techniques complètes, mais les employés doivent être armés des bonnes informations.  

Les plus grandes menaces pour une organisation sont le phishing et le ransomware, mais la formation réduit les risques de ces menaces. Les employés armés des bonnes connaissances identifieront l’attaque, éviteront d’en être victimes, alerteront les bonnes personnes et le RSSI aura un travail beaucoup moins stressant. Sans sensibilisation à la cybersécurité, le RSSI continue à répondre de manière réactive à des attaques qui pourraient ruiner sa réputation et celle de l’organisation.

La sensibilisation à la cybersécurité pour les nuls