Une récente enquête du gouvernement britannique, intitulée "Cyber resilience captains of industry survey 2021", donne des indications intéressantes sur la sensibilisation aux risques de cybersécurité au niveau de la direction et du conseil d'administration d'une organisation.
L'enquête a révélé que presque toutes les personnes interrogées considèrent que le conseil d'administration intègre les considérations relatives au risque cybernétique dans les affaires générales de l'entreprise. Toutefois, le rapport émet l'avertissement suivant :
"Les capitaines estiment toujours qu'il est possible de faire davantage pour équiper les membres du conseil d'administration afin de faire face aux cybermenaces.Lescapitaines ont le plus souvent mentionné la sensibilisation des membres du conseil d'administration et la formation ciblée. "
La C-Suite et le conseil d'administration sont des groupes spécifiques qui nécessitent une formation sur mesure pour répondre à leurs besoins uniques. Voici quelques idées pour créer un programme de sensibilisation à la sécurité pour votre C-Suite.
Pourquoi former la C-Suite ?
Les membres de la direction sont influents au sein de leur entreprise, et cette influence est essentielle pour assurer une sensibilisation cohérente et efficace à la sécurité dans toute l'organisation. Il est donc logique de cibler ce groupe dans une campagne de sensibilisation à la sécurité.
Le "ton au sommet" est un phénomène bien connu dans la gestion des risques de sécurité. Ce "ton au sommet" est mis en évidence dans le manuel de l'Association européenne des directeurs (ecoDa), qui propose plusieurs recommandations clés en matière d'atténuation des risques à une époque où les cybermenaces sont nombreuses. L'une de ces recommandations consiste à donner le ton de la sensibilisation dans l'ensemble de l'organisation - le rapport le précise :
"Le conseil d'administration et la direction doivent donner le ton au sommet et développer la bonne culture et sensibiliser pour développer la cyber-résilience."
Les composantes d'un programme ciblé de sensibilisation à la sécurité pour les cadres supérieurs
Il est intéressant de noter que le rapport Captain of Industry du gouvernement britannique a révélé que la sensibilisation à la sécurité a atteint la salle du conseil. Cependant, la C-Suite et les membres du conseil d'administration doivent faire partie d'un programme général et ciblé de sensibilisation à la sécurité. La sensibilisation à ce niveau peut cimenter la culture d'un état d'esprit privilégiant la sécurité.
Voici les facteurs critiques d'une campagne de sensibilisation qui se concentre sur la C-Suite :
Créez la tension avec le risque
La C-Suite doit jongler avec de nombreuses balles. L'activité principale d'une entreprise doit toujours passer en premier. Mais si cette activité principale est mise en danger par des cybermenaces, l'entreprise doit donner la priorité à ces menaces.
Préparez le terrain pour la formation de la C-Suite en montrant le retour sur investissement d'un programme de sensibilisation à la sécurité. Le rapport d'IBM et de Ponemon sur le coût d'une violation de données contient des chiffres qui peuvent aider à définir ce retour sur investissement : le Royaume-Uni est l'un des pays où le coût des violations de données est le plus élevé, avec une moyenne de 4,67 millions de dollars (3,8 millions de livres) par violation.
Une fois que vous avez obtenu l'adhésion de votre C-Suite, vous pouvez créer le cadre d'un programme efficace de formation à la sensibilisation à la sécurité qui cible les personnes au sommet.
Exécuter le programme de sensibilisation à la sécurité basé sur les rôles des membres de la C-Suite
Les cybercriminels concentrent de plus en plus leurs efforts sur les individus et les rôles au sein d'une organisation. C'est logique, car plus les gens sont conscients des problèmes de sécurité, plus il est difficile de tromper les employés. Toutefois, si un pirate comprend bien sa cible, il peut créer des courriels de phishing intelligents et difficiles à reconnaître. La direction est dans la ligne de mire des cybercriminels, car elle représente le cœur financier de l'entreprise et le lieu d'autorité.
L'entreprise américaine Scoular Co a été victime d'une attaque centrée sur la C-Suite, à savoir le Business Email Compromise (BEC). L'entreprise a perdu 17,2 millions de dollars au profit de cybercriminels, via trois virements bancaires, après que les fraudeurs ont ciblé le PDG de l'entreprise en utilisant des courriels frauduleux.
Le rapport Verizon 2021 Data Breach Investigations Report (DBIR) souligne l'importance d'adapter la formation à la sensibilisation à la sécurité et conclut :
"Il n'existe pas d'approche unique pour minimiser les risques humains qui conduisent à des violations. Chaque entreprise subit des saveurs différentes des mêmes types d'attaques et doit personnaliser ses programmes d'ingénierie comportementale et d'éducation à la cybersécurité en conséquence."
Concevez votre formation de sensibilisation à la sécurité autour des rôles de l'entreprise et incluez les rôles de la C-Suite. Concentrez-vous sur les types d'attaques qui visent le personnel de niveau C, comme les BEC et l'usurpation d'identité du PDG.
Mettez le social dans la C-Suite
Les cybercriminels qui ciblent les "gros hameçons", tels que le PDG et le directeur financier, se renseignent sur leurs proies. Ils le font dans le cadre de la chaîne d'ingénierie sociale qui utilise diverses techniques pour manipuler le comportement.
L'une de ces tactiques consiste à usurper l'identité de dirigeants, également connue sous le nom de " whaling " ou " imitation de dirigeant ". Un exemple tristement célèbre est l'attaque "deep fake" de 2019, qui a usurpé la voix du PDG de la société pour inciter le directeur général britannique à envoyer 243 000 dollars sur le compte bancaire du fraudeur.
Cette forme d'ingénierie sociale connaît une flambée, avec une augmentation de 131 % constatée en 2020-2021. Ces types de fraude reposent sur la construction d'un profil de la cible pour fournir l'intelligence nécessaire à l'ingénierie sociale.
Inscrivez la sensibilisation à l'ingénierie sociale à votre calendrier de formation à la sécurité et formez vos cadres supérieurs à leur vulnérabilité dans ce domaine...
Lancez un harpon à la C-Suite
La C-Suite est menacée par les attaques de spear-phishing, qui sont une forme ciblée de phishing. Une récente campagne d'hameçonnage par e-mail a utilisé des e-mails Microsoft Office 365 usurpés pour voler des informations d'identification. Cette campagne visait les cadres supérieurs et leurs assistants dans de nombreux secteurs.
En pratiquant le spear-phishing sur la C-Suite, un cybercriminel s'adresse directement aux décideurs d'une organisation. Le spear phishing fonctionne car les faux e-mails sont basés sur des renseignements connus sur la cible. Les spécialistes du spear-phishing utilisent souvent les mêmes applications, comme Office 365, que celles utilisées régulièrement par l'entreprise.
Créez une campagne de phishing simulée sophistiquée qui vise spécifiquement votre C-Suite. Utilisez vos connaissances en matière de phishing basé sur les rôles pour créer des e-mails de spear-phishing réalistes qui ciblent votre C-Suite. Utilisez une plateforme de simulation de phishing avancée qui utilise l'apprentissage par le " point de besoin ". Cela permet d'identifier les problèmes de comportement au moment où ils se produisent et de donner à l'utilisateur des informations sur ce qui a mal tourné et pourquoi.
Connaissez votre C-Suite grâce aux mesures de formation à la sensibilisation à la sécurité
Les plateformes de simulation de phishing, telles que MetaPhish, fournissent des mesures sous la forme d'un tableau de bord qui affiche les résultats des données issues des simulations de phishing. Vous saurez ainsi combien de membres de votre C-Suite ont cliqué sur un lien dans un courriel de phishing simulé. Les rapports peuvent même indiquer le dispositif utilisé pour accéder à l'e-mail de phishing, ce qui vous permet de mieux adapter et de concentrer vos efforts sur l'amélioration du comportement des cadres en matière de sécurité.
Donner le ton de la sécurité au sommet
Vos cadres travaillant dans la C-Suite sont vos influenceurs internes. Mais ils doivent être des exemples d'un excellent comportement en matière de sécurité pour servir d'exemple à l'ensemble du personnel. En donnant le ton de la sécurité au sommet, vous encouragerez un état d'esprit axé sur la sécurité. Cet état d'esprit est essentiel pour créer une culture de la sécurité et atténuer les cyber-risques de l'entreprise.
