Il est essentiel de dispenser une formation de sensibilisation à la sécurité à votre équipe financière afin de l'aider à comprendre les risques associés aux données et aux transactions financières et de prévenir les failles de sécurité potentielles.
En décembre 2021, unpirate informatique se faisant passer pour le PDGd'une entreprise française de métallurgie a téléphoné au comptable de l'entreprise et a réussi à l'amener à envoyer un "virement urgent et confidentiel" de 300 000 euros (264 000 livres sterling) sur le compte bancaire d'un fraudeur. Le gang à l'origine de cette escroquerie au Business Email Compromise (BEC) a volé environ 40 millions de dollars (33 millions de livres sterling) avant d'être arrêté par Europol. Ce type d'escroquerie préoccupe de plus en plus le service financier d'une organisation et représente un risque énorme pour la sécurité de l'information.
L'équipe financière d'une organisation a toujours attiré les cybercriminels parce qu'elle tient les cordons de la bourse de l'entreprise et que les cybercriminels suivent l'argent. Ainsi, toute personne faisant partie de l'équipe financière doit devenir une cible potentielle pour les escrocs et les fraudeurs. Les attaques par ransomware, les escroqueries BEC/CEO et les cybermenaces qui récupèrent les identifiants de connexion font tous partie des risques accrus associés à un département financier et aux membres de son équipe.
La formation des équipes financières à la sensibilisation à la sécurité est essentielle pour lutter contre les escroqueries centrées sur l'homme telles que la fraude BEC. Voici les meilleures pratiques de MetaCompliance pour s'assurer que votre équipe financière est consciente des risques liés à son rôle.
Cinq bonnes pratiques pour sensibiliser votre équipe financière à la sécurité
Les membres de l'équipe financière sont des cibles faciles si votre sensibilisation à la sécurité ne se concentre pas sur les risques spécifiques auxquels ils sont confrontés. Voici nos cinq meilleures pratiques pour garantir l'efficacité de votre formation à la sécurité :
Se concentrer sur les menaces à haut risque pour le département financier
L'équipe financière est exposée à des vulnérabilités spécifiques car elle peut transférer de l'argent ou disposer d'identifiants de connexion privilégiés permettant d'accéder à des informations financières. Ce niveau de pouvoir détenu par l'équipe financière dans une organisation signifie que les menaces spécifiques sont plus susceptibles de cibler ce département. Par conséquent, le programme de formation à la sensibilisation à la sécurité est plus efficace lorsqu'il est adapté à des rôles spécifiques dans une organisation, et un membre de l'équipe financière est l'un de ces rôles.
La formation à la sensibilisation à la sécurité basée sur les rôles s'attaque à des types spécifiques de menaces visant certains rôles d'employés. Créez un programme de sensibilisation à la sécurité basé sur les rôles qui s'appuie sur la sensibilisation à la sécurité de base en se concentrant sur les types de risques et de menaces qu'un membre de l'équipe ou du service financier est susceptible de rencontrer :
- Compromission des courriels d'entreprise (BEC): informez les employés sur la manière dont cette cyberattaque sophistiquée, en plusieurs étapes, est menée. Veillez à ce qu'ils comprennent comment les cyberattaquants utilisent l'ingénierie sociale pour leur faire croire qu'ils sont un cadre de haut niveau ou un fournisseur essentiel.
- Fraude à la facture : elle implique généralement la compromission d'un fournisseur de l'entreprise, mais constitue également un sous-ensemble de la fraude BEC. Les fraudeurs se font alors passer pour le fournisseur et demandent le paiement d'une facture.
- Fraude au chef de la direction : autre variante de l'escroquerie BEC, les fraudeurs se font passer pour un cadre supérieur afin d'inciter l'équipe financière à payer une fausse facture. Souvent, les fraudeurs piratent ou usurpent l'identité d'un compte de messagerie d'un cadre supérieur.
- Fraude au détournement de salaire: les fraudeurs se font passer pour un employé et demandent au service de paie de modifier les données de son compte afin que son salaire soit versé aux fraudeurs.
Créer des simulations de phishing qui reflètent les risques encourus par les équipes financières
L'ICOdu Royaume-Unia récemment infligé une amende de4,4 millions de livresà Interserve Group Limitedpour n'avoir pas utilisé les mesures de sécurité appropriées afin de prévenir une cyberattaque ; l'attaque a commencé par un courriel d'hameçonnage envoyé à un employé du service de comptabilité. Une série d'événements, tels que le téléchargement de la pièce jointe malveillante contenue dans le courriel et le non-respect des protocoles de sécurité de l'entreprise, ont entraîné la perte des données personnelles sensibles de 113 000 employés. Même avec des passerelles anti-phishing, les messages de phishing passent à travers les mailles du filet, car les cybercriminels innovent pour échapper à la détection.
Les exercices de simulation de phishing adaptés au type de risques encourus par l'équipe financière sont une pratique incontournable pour une formation efficace à la sensibilisation à la sécurité. Certaines plateformes avancées de simulation de phishing fournissent une variété de modèles de phishing que vous pouvez utiliser pour adapter vos exercices de formation au phishing afin de répondre aux besoins de l'équipe de votre département financier.
Créer des scénarios de jeu de rôle
Les équipes financières sont exposées au risque de Business Email Compromise et à d'autres types de fraudes à multiples facettes qui utilisent l'ingénierie sociale. Pour garantir l'efficacité de la formation à la sensibilisation à la sécurité, créez des scénarios dans lesquels les étapes typiques d'une escroquerie financière sont jouées avec l'équipe financière afin qu'elle puisse commencer à reconnaître les astuces utilisées par les fraudeurs. Des scénarios basés sur les rôles doivent être utilisés parallèlement à la formation traditionnelle de sensibilisation à la sécurité et aux exercices de simulation d'hameçonnage pour mettre l'accent sur les manipulations complexes utilisées par les escrocs.
N'oubliez pas l'hygiène de sécurité
Le service financier ne s'occupe pas seulement de l'argent, il détient aussi des données financières et personnelles sensibles. Le rapportVerizon 2022 Data Breach Investigations Report(DBIR) a révélé qu'une série d'erreurs humaines étaient à l'origine de cyberattaques et avaient conduit à l'exposition de données.
Selon le rapport, l'erreur humaine est à l'origine de 82 % des violations de données. Parmi les erreurs commises, citons l'envoi de courriels erronés, par exemple l'envoi de données dans un courriel à la mauvaise personne. Ainsi, lorsque vous formez les équipes financières à leur rôle en matière de sécurité, n'oubliez pas les détails, tels que la vérification des listes de destinataires des courriels avant l'envoi d'informations importantes.
Sensibiliser les travailleurs à distance de l'équipe financière à la sécurité
L'Officebritanniquedes statistiques nationales(ONS) a constaté que 38 % des employés ont déclaré avoir travaillé à domicile à un moment ou à un autre au cours des sept jours précédents. Les employés des services financiersvoudront probablementtravailler à domicile, car des études montrent que ce facteur est essentiel pour la fidélisation des employés. L'émergence de la semaine de quatre jours devrait également permettre au travail à distance et au travail hybride de continuer à être un élément populaire pour attirer les talents.
Lors de la création d'une campagne de sensibilisation à la sécurité destinée aux membres de l'équipe financière, veillez à former les employés aux risques de sécurité liés au travail à distance. Intégrez des éléments tels que le rôle de l'employé dans le maintien de la conformité réglementaire et les questions d'hygiène de sécurité telles que l'utilisation de passerelles sécurisées et de réseaux privés virtuels (VPN).
En appliquant ces meilleures pratiques de sensibilisation à la sécurité et en se concentrant sur les défis uniques du travail au sein d'une équipe financière, votre entreprise peut réduire les risques de crimes insidieux et coûteux tels que la fraude BEC.
