Barracuda full logo

À l'occasion du mois de la sensibilisation à la cybersécurité, instaurer une culture de la sécurité.

Thèmes: Mois de la sensibilisation à la cybersécurité aux États-Unis et mois de la cybersécurité en Europe
2 nov. 2021
|
Phil Muncaster

Tout au long du mois d'octobre s'est tenu le Mois de sensibilisation à la cybersécurité en Amérique du Nord et en Europe. Les deux régions ont prêté une attention particulière au comportement des utilisateurs cette année. La devise de l'année 2021 pour l'Union européenne est « Réfléchissez avant de cliquer », tandis que celle des États-Unis est « Faites votre part. Adoptez la cyberintelligence. » En tant que première étape vers un changement durable des comportements, la sensibilisation est essentielle pour améliorer à long terme la cybersécurité, que ce soit celle des entreprises mais également celle des consommateurs. Dans le monde des affaires, le changement n'est jamais facile mais il en vaut toujours la peine.

L'accent mis sur l'utilisateur est tout à fait pertinent puisque la sécurité est finalement une question de personnes. Ce sont vos employés qui peuvent se faire piéger par des e-mails d'hameçonnage, et ce sont d'autres personnes qui les piègent. Les efforts visant à renforcer la cyber-résilience doivent donc commencer par ces utilisateurs. La question est maintenant de savoir comment instaurer une culture de la sécurité.

Pourquoi devrions-nous nous en soucier maintenant ?


Les utilisateurs n'ont jamais eu les bons comportements en ligne mais les conséquences de leurs erreurs et la fréquence à laquelle ils subissent ce type d'attaque sont sans doute plus importantes aujourd'hui qu'auparavant. Cela est en partie dû à la pandémie qui a contraint les employés à travailler depuis leur domicile pendant plusieurs mois. Des recherches ont rapidement mis en évidence que ces personnes prenaient plus de risques en dehors du bureau, qu'elles étaient plus distraites par les membres de leur foyer et qu'elles demandaient moins facilement de l'aide à leurs collègues.

Une étude réalisée en début d'année a révélé que pas moins de 30 % des employés de bureau admettaient avoir autorisé une autre personne à utiliser leur ordinateur portable professionnel pour des activités telles que des achats en ligne, des téléchargements, des jeux et du streaming. De nombreux autres (53 %) ont déclaré avoir utilisé des appareils personnels potentiellement non sécurisés et non gérés pour accomplir des tâches professionnelles. Les risques internes représentent donc toujours la majorité des incidents de violation de données signalés auprès de l'Information Commissioner’s Office (ICO) du Royaume-Uni.

Une autre étude a constaté que l'erreur humaine était, dans 84 % des cas, la première cause des failles de sécurité internes les plus graves. Elle a révélé que les trois quarts (74 %) des entreprises interrogées avaient été victimes de failles de sécurité en raison du non-respect des règles par leur personnel et que presque autant (73 %) avaient subi des attaques par hameçonnage. Les conséquences peuvent être désastreuses. Selon une estimation, le coût moyen des menaces internes a augmenté de 31 % en deux ans pour dépasser 11 millions de dollars en 2020.

En quoi consiste la culture de la sécurité ?


Il est important de trouver des moyens d'inciter vos employés à adopter les bonnes pratiques en matière de sécurité car la technologie ne peut pas empêcher 100 % des risques de se produire. Même si vous possédez le meilleur anti-malware du monde, si un de vos employés est la cible d'une attaque par hameçonnage, les cybercriminels pourraient alors passer directement par la porte d'entrée en utilisant ses identifiants. Une fois à l'intérieur, ils deviennent de véritables maîtres de l'utilisation de techniques de type « living off the land » et d'outils légitimes pour obtenir un mouvement latéral. Cela explique en partie pourquoi le délai moyen nécessaire pour identifier et maîtriser une violation s'élève désormais à 287 jours.

Alors en quoi consiste la culture de la sécurité ? Selon le Centre national de cybersécurité (NCSC) du Royaume-Uni, elle peut se résumer à trois concepts clés :

  • Rappelez-vous toujours des bons comportements à adopter pour la sécurité

  • Adoptez-les toujours au bon moment et dans les bonnes circonstances

  • Privilégiez toujours des méthodes sécurisées quand il le faut


Le principal avertissement ici est que, dans certaines circonstances, il est préférable de finir un travail, même si cela n'est pas fait de manière sécurisée, plutôt que de l'ignorer. C'est le vieux débat sur la priorité à donner à la sécurité ou à la productivité.

Commencer par une formation de sensibilisation


Pour commencer, il est conseillé de proposer régulièrement une formation de sensibilisation à la sécurité à tous vos employés. Cependant, avec toutes les options disponibles sur le marché, il peut s'avérer difficile de savoir laquelle est la plus adaptée à votre entreprise. Tenez compte des points suivants pour optimiser votre recherche :

  • Proposez des cours réguliers mais de courte durée (entre 10 et 15 minutes)

  • Faites participer tout le monde, du PDG aux intérimaires en passant par les sous-traitants

  • Utilisez des simulations réelles pour que cela soit plus pertinent et que vous puissiez tester vos employés avec les dernières escroqueries qui circulent sur le Web

  • Choisissez des solutions permettant d'analyser les résultats pour améliorer les programmes


Les sujets à aborder


En plus de l'hameçonnage, vous pouvez également inclure d'autres éléments des bonnes pratiques de sécurité dans vos formations. En effet, les sujets suivants peuvent également s'avérer utiles :

  • La gestion des mots de passe

  • L'identification des escroqueries par compromission de la messagerie en entreprise

  • Des conseils sur la gestion des données et la confidentialité

  • La procédure à suivre pour signaler de nouvelles escroqueries ou menaces

  • L'importance de ne pas utiliser une adresse e-mail ou des identifiants professionnels pour créer des comptes destinés à des achats en ligne


Aller au-delà de la formation


Bien sûr, la création d'une entreprise vigilante ne se limite pas seulement à une meilleure sensibilisation du personnel. Dans l'idéal, il s'agit d'une approche globale à l'entreprise qui intègre les éléments suivants :

  • La création de politiques et d'outils de sécurité non intrusifs et favorisant la productivité

  • Une culture dans laquelle la transparence et l'honnêteté sont récompensées : les employés ne devraient pas se sentir réprimandés s'ils enfreignent accidentellement les règles

  • Un service informatique prêt à former, informer et conseiller ponctuellement

  • Une culture de la sécurité qui dépasse les différentes unités opérationnelles

  • Une participation active, de la direction au personnel

  • Une fonction de sécurité qui a une place importante et qu'il convient de consulter dès le départ dans le cadre de nouveaux projets


L'important est de s'assurer que la sécurité est parfaitement intégrée dans l'entreprise. Ainsi, cela deviendra une seconde nature pour le personnel de prendre les bonnes décisions et un dialogue ouvert sera privilégié par rapport au Shadow IT. Compte tenu des enjeux actuels, la cybersécurité ne devrait jamais passer au second plan.

Obtenez un pack gratuit de sensibilisation au phishing

Phil Muncaster

Phil Muncaster compte plus de 12 ans d'expérience en tant que rédacteur et éditeur dans le domaine de la technologie. Pendant sa carrière, il a contribué à quelques grands titres du secteur, notamment Computing, The Register, V3 et MIT Technology Review. Après une immersion d'un peu plus de deux ans au cœur de la scène technologique asiatique à Hong Kong, il est de retour à Londres, où il s'intéresse désormais de près à la sécurité de l'information.

Suivez Phil sur Twitter et connectez-vous avec lui sur LinkedIn.

Billets associés :
Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
 Pourquoi vous devriez vous familiariser avec le framework MITRE ATT&CK
Pourquoi vous devriez vous familiariser avec le framework MITRE ATT&CK
 Culture de la sécurité et son importance dans la protection des organisations
Culture de la sécurité et son importance dans la protection des organisations
 Attaques de social engineering : ce que les MSP doivent savoir
Attaques de social engineering : ce que les MSP doivent savoir
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.