Vous pouvez forcer des mots de passe complexes, installer le cryptage des lecteurs et utiliser trois types différents d'applications de sécurité, mais rien de tout cela n'est important à moins de s'attaquer à la cause principale des problèmes de sécurité: vos employés. Bien qu'il ne s'agisse généralement pas d'un acte malveillant, les incidents de sécurité causés par les employés sont assez fréquents, les attaques de phishing 43 pour cent de toutes les violations de données. Outre des moyens techniques, un programme complet de formation à la sensibilisation à la sécurité est essentiel pour votre plan de sécurité global. Alors que de nombreuses entreprises organisent des séminaires de formation officiels, envoient des mises à jour par e-mail et testent même les employés sur leurs connaissances générales en matière de sécurité, les responsables informatiques éprouvent souvent des difficultés à répondre ... cela fonctionne-t-il réellement?
Qu'est-ce que la formation de sensibilisation à la sécurité?
La formation sur la sensibilisation à la sécurité consiste à informer les employés sur les meilleures pratiques, politiques et directives générales en matière de sécurité de l'information. La formation sur la sensibilisation à la sécurité devrait être un processus continu qui enseigne aux employés comment mieux se protéger et protéger leur entreprise contre les menaces potentiellement dangereuses. Donner aux employés les connaissances nécessaires, tout en leur rappelant les répercussions possibles d'une atteinte à la sécurité, devrait être au cœur des pratiques de sécurité générales de chaque entreprise.
Les dépenses mondiales de formation en sensibilisation à la sécurité pour les employés devraient atteindre 10 milliards par 2027
Comment savoir si mon programme de formation en sensibilisation à la sécurité fonctionne?
La formation en sensibilisation à la sécurité peut être coûteuse. Compte tenu de l'engagement de temps requis de la part des employés, de nombreux dirigeants hésitent à appuyer sur le financement de la formation en sécurité, car il est difficile de savoir si cela aide vraiment. Un moyen moderne d'obtenir des statistiques quantifiables sur leur programme de formation de sensibilisation à la sécurité pour un prix abordable est à travers des tests de simulation de phishing.
6 Conseils pour la formation à la sensibilisation à la sécurité
# 1: test de phishing simulé
Les tests d'hameçonnage sont des courriels d'hameçonnage simulés qui tentent d'inciter vos employés à ouvrir un courriel potentiellement frauduleux, à cliquer sur un lien et à entrer des informations d'identification privées sur une page d'atterrissage bidon conçue pour ressembler à la réalité (LinkedIn, DropBox, PlayStation, etc. ). Ces courriels semblent provenir d'une source connue, comme le président de l'entreprise, un employé ou un client bien connu, un site de médias sociaux ou même une banque ou une entité gouvernementale. Ces simulations exploitent des directives communes sur les meilleures pratiques en matière de sécurité des e-mails, ce qui signifie que les employés qui ont une bonne compréhension de la sécurité de l'information devrait passer le test. Ces simulations sont incroyablement utiles car elles brossent un tableau assez clair du niveau global de sensibilisation à la sécurité de votre entreprise en indiquant qui a été dupé par le test, y compris qui a entré ses informations d'identification privées sur la page de destination fictive. En outre, la plupart des programmes de simulation d'hameçonnage peuvent forcer les employés qui ont échoué au test à apprendre où ils se sont trompés et ce qu'ils auraient dû faire.
Les tests d'hameçonnage simulés peuvent être une activité à faible coût et à forte récompense, car ils aident à rééduquer l'ensemble de votre équipe tout en trouvant où se trouvent les trous et les lacunes.
Vos employés peuvent-ils identifier les courriels d'hameçonnage?
#2: Tests d'énumération des mots de passe
Les mots de passe sont l'une des formes les plus élémentaires de sécurité, mais de nombreux employés ignorent souvent les conseils et les directives pour créer des mots de passe forts. Dans une étude récente de Thycotique, 30% des personnes admises à utiliser encore leur date de naissance, leur adresse, le nom de leur animal de compagnie ou le nom de leurs enfants pour leur mot de passe… qui sont tous de gros no-nos de mot de passe.
Une façon rapide et peu coûteuse de tester votre plan de formation en sensibilisation à la sécurité est d'avoir un 3rd L'équipe de consultation du groupe organise un test d'énumération des mots de passe. Un test d'énumération de mots de passe est lorsqu'un professionnel de la sécurité formé et qualifié agit comme un hacker et tente de découvrir les mots de passe des employés en utilisant des méthodes de piratage courantes telles que les attaques par dictionnaire et par force brute. Les résultats de ces tests se présentent sous la forme d'un rapport amical destiné aux dirigeants, qui vous montre combien de mots de passe ont été découverts durant le test et où les employés ont mal compris lorsqu'ils ont créé leur mot de passe. Cela vous aidera, vous et votre équipe de sécurité, à créer des stratégies de mot de passe plus strictes en cas de besoin, et vous saurez où concentrer votre prochaine formation de sensibilisation à la sécurité.
#3: USB Drop
L'ingénierie sociale est quand un cyber criminel incite un employé à installer des logiciels malveillants ou à révéler des informations privées. Une forme courante d'ingénierie sociale consiste à utiliser des clés USB ou des lecteurs flash qui contiennent des logiciels malveillants laissés à l'air libre ou donnés à quelqu'un. Les lecteurs USB sont tombés un peu à la mode au fil des ans en raison d'une augmentation des problèmes de stockage et de sécurité dans le Cloud, mais beaucoup de gens conservent encore des données critiques et sensibles sur les clés USB.
Une clé USB est une forme de test d'ingénierie sociale où des clés USB «fictives» sont laissées autour de votre installation dans des lieux communs comme le parking, la salle de repos ou même sur un bureau des employés. Ces clés factices sont en fait installées avec un logiciel qui vous permettra de savoir à distance quand et où ils ont été branchés, ce qui révélera par inadvertance des employés qui ne comprennent pas complètement les dangers d'utiliser une clé USB inconnue.
#4: Le test de l'oeil
Un grand nombre de violations de la sécurité proviennent d'erreurs courantes, comme s'éloigner de votre ordinateur de bureau sans le verrouiller, laisser des données sensibles sur une imprimante pendant une période prolongée et ne pas respecter les règles relatives aux visiteurs. Promenez-vous dans votre bureau ou, mieux encore, demandez à un conseiller en sécurité qualifié de le faire et posez les questions suivantes:
- Voyez-vous des PC connectés et sans surveillance?
- Des documents sont-ils laissés sans surveillance sur une imprimante?
- Un entrepreneur de votre installation est-il sans surveillance ou sans insigne de visiteur?
- Les employés utilisent-ils des méthodes de partage de fichiers non approuvées telles que DropBox ou une clé USB?
- Est-ce que quelqu'un utilise un appareil non homologué à des fins commerciales? (ordinateur portable, tablette, téléphone, etc.)
- Les employés prennent-ils les appareils ou le matériel à la maison?
Rappelez-vous, pour que la sécurité soit efficace, il faut que ce soit la responsabilité de tout le monde, alors assurez-vous de souligner l'importance de la formation de sensibilisation à la sécurité tôt et souvent.