Bâtir de meilleures habitudes de cybersécurité

L'erreur humaine est la principale cause des incidents de sécurité, responsable des deux tiers des près de trois milliards d'enregistrements compromis en 2017, selon l' indice IBM X-Force Threat Intelligence Index 2018. Une étude récente du Ponemon Institute a révélé que deux tiers de tous les incidents de menaces internes étaient causés par la négligence des employés ou des entrepreneurs, ce qui coûtait en moyenne 3,8 millions de dollars par année aux entreprises.

Bien que ces statistiques donnent à réfléchir, elles sont également une bonne nouvelle pour les professionnels de la cybersécurité, car les mauvaises habitudes constituent un problème intrinsèquement réparable (avec la bonne formation, bien sûr!).

Certaines entreprises ont suivi une formation de sensibilisation à la cybersécurité jusqu'à ce que des employés soient même enfermés dans une escape Room pour enseigner une bonne hygiène de cybersécurité. (ObserveIT ne recommande pas de verrouiller vos employés dans une escape Room ni dans une pièce quelconque).

La National Geospacial-Intelligence Agency a signé un contrat avec une société appelée Living Security afin de permettre à ses employés d’exercer un exercice de formation extrême pour résoudre les problèmes du point de vue d’une équipe de sécurité informatique.  Cette formation pratique montre aux employés à quel point il est facile pour les mauvaises intentions de tirer parti des simples erreurs de cybersécurité.

Même si une escape room à l'échelle de l'entreprise n'est pas une option pour votre entreprise, il existe des moyens simples d'enseigner de bonnes habitudes de cybersécurité et de les renforcer régulièrement. Voici un bon point de départ:

Intégrer la sécurité dans les flux de travail existants

Dans la mesure du possible, définissez les paramètres par défaut de l'ordinateur ou des comptes d'un employé en adoptant certaines des meilleures pratiques de sécurité, telles que la mise à jour automatique et l'authentification multi-facteurs. Les employés sont plus susceptibles d'adhérer aux politiques de sécurité s'ils sont automatiquement activés et peu contraignants dans leur vie quotidienne.

Lors de l'intégration de nouveaux employés, donnez-leur une idée des fonctionnalités de sécurité que vous avez automatiquement activées, afin de mieux comprendre le contexte dans lequel une décision a été prise d'implémenter certaines bonnes pratiques de sécurité.

Par exemple, encouragez l'utilisation d'un gestionnaire de mots de passe automatisé ou d'une technologie d'authentification unique (SSO) pour tous les employés. Expliquez le besoin d'une telle technologie en expliquant comment la réutilisation des mots de passe peut entraîner un risque accru de violation. Une étude récente de LogMeIn a montré que, bien que si 91% des personnes comprennent les risques liés à la réutilisation des mots de passe, 59% l’ont tout de même fait...

Utiliser les informations

Chaque jour, une nouvelle violation de la cybersécurité, un piratage ou un incident de menace interne domine les gros titres. Le plus souvent, ces incidents sont causés par une erreur humaine. Dans certains cas, l'erreur d'une entreprise peut constituer une excellente étude de cas sur ce qu'il ne faut pas faire.

Qu'il s'agisse d'une erreur d'authentification à deux facteurs comme la récente violation de Timehop ou d'une attaque d'ingénierie sociale comme la fameuse violation Anthem , utilisez les titres pour démontrer comment une pratique exemplaire peut permettre d'éviter une violation. Ces titres ne sont pas destinés à faire peur aux utilisateurs, mais plutôt à fournir des exemples concrets de la façon dont de bonnes habitudes de sécurité peuvent empêcher de tels incidents.

Essayez d'incorporer des nouvelles dans vos sessions de formation sur la bonne hygiène en cybersécurité et testez les connaissances des employés sur la manière dont chaque violation aurait pu être évitée grâce à une pratique de sécurité spécifique.

Test & Learn

Des séances régulières de sensibilisation à la cybersécurité sont essentielles pour maintenir une bonne hygiène de la cybersécurité dans toute l’organisation.

Par exemple, le NIST fournit des directives robustes sur la manière de mettre en place une formation de sensibilisation à la sécurité, allant des sessions de lunchs&learn aux refresh plus réguliers.

Plutôt que d'avoir des employés qui oublient une session de formation au moment de partir, testez régulièrement ce qu'ils ont appris dans des scénarios réels. Par exemple, exécutez des attaques de phishing aléatoires simulées pour voir si les utilisateurs peuvent identifier à quoi ressemble un e-mail de phishing. S'ils échouent au test, expliquez pourquoi le courrier électronique était suspect, ils ne seront donc pas trompés par de futures tentatives.

Pour déterminer si les employés conservent les connaissances que vous perdez lors des sessions de formation à la sensibilisation à la sécurité, essayez des questionnaires réguliers qui offrent aux employés une incentive, telle qu'une carte-cadeau, pour les remplir efficacement dans les délais.

Enfin, si votre entreprise utilise une solution de gestion des menaces internes , telle qu'ObserveIT , vous pouvez avertir les utilisateurs en temps réel lorsqu'ils prennent une mesure considérée comme risquée ou hors politique, en intégrant un contexte dans leurs actions et en les évitant à l'avenir.