Je prenais un café l’autre jour et, comme d’habitude, j’ai sorti mon téléphone pour utiliser sa fonction de laissez-passer. Le barista semblait inquiet à ce sujet, demandant « n “êtes-vous pas préoccupé par la sécurité de votre compte en utilisant cette chose?”. J’y ai réfléchi un instant et j’ai conclu que non, mais que c» était le cas parce que je comprenais les protections en place pour sécuriser mon portefeuille virtuel. Je sais que mon empreinte digitale et mon mot de passe fonctionnent comme 2FA (authentification à 2 facteurs) si mon téléphone est volé, que le toucher de mon appareil de paiement ne fonctionne pas pour plus de 100 $ à la fois et, en cas de piratage, je sais que les banques ont un « plan de secours», des limites quotidiennes, qu’il y a des fonctions supplémentaires en place pour prédire et prévenir les achats inhabituels. avec de nombreuses autres caractéristiques de sécurité qui me donnent confiance dans l’utilisation de la fonction Paypass de mon téléphone. On pourrait dire que je suis sensibilisé à la sécurité bancaire.

Dans le même ordre d’idées, je sais comment reconnaître un courriel d’hameçonnage, utiliser l’authentification multifacteur (MFA) lorsque des transactions financières sont nécessaires, et je sais que je peux faire confiance à la technologie de la passerelle de messagerie sécurisée de mon entreprise (p. ex. Défense des URL et des pièces jointes, Filtres anti-pourriel, Protection avancée contre les menaces, Archivage, ChiffrementAntivirus à double couche) pour me protéger de la majorité des menaces qui me visent au travail. Bien que ces connaissances puissent vous responsabiliser, vous et vos collègues, ne pas les avoir ne peut que créer un environnement effrayant ou aléatoire. Pire encore, au-delà d’un environnement effrayant, vous pourriez être frappé par l’une des mêmes attaques qui semblent faire les manchettes chaque mois, ce qui pourrait paralyser votre organisation.

Qu’est-ce qu’une bonne formation de sensibilisation à la cybersécurité et à la sécurité des courriels?

Une bonne stratégie de sensibilisation à la cybersécurité fait principalement 2 choses : sensibiliser les utilisateurs d’une organisation et leur offrir une formation préventive. Nous discuterons de la formation sur la sécurité des courriels dans le suivi de cet article – pour l’instant, nous voulons discuter des principes fondamentaux de la sensibilisation à la cybersécurité et à la sécurité des courriels au sein de votre organisation.

Il est difficile de rester à l’affût du paysage de la cybersécurité. De par leur conception, les pirates informatiques et les cybercriminels ont l’intention d’exploiter l’erreur humaine. Leurs exploits visent à garder une longueur d’avance et à jouer sur la plus grande vulnérabilité de vos données : ses utilisateurs. Avec un bon plan de cybersécurité et de sécurité des courriels, vous pouvez réduire les risques d « être victime d’une attaque à près de 0% (cela suppose, par exemple, que plus de 99,95% des courriels malveillants sont bloqués avant d’atteindre vos utilisateurs). L » élimination de l’erreur humaine est le plus grand défi dans ce processus, surtout face aux tactiques avancées d’ingénierie sociale utilisées par les cybercriminels. Cela rend la sensibilisation et la formation à la cybersécurité et à la sécurité des courriels impératives pour atténuer les comportements les plus risqués au sein de votre organisation.

Le philosophe grec Héraclite était célèbre pour avoir dit : « Le chemin vers le haut est le chemin vers le bas ». Bien que nous ne sachions pas nécessairement si cela signifie quelque chose (ou si c’est censé le faire), il offre un modèle simple sur la façon d’aborder la cybersécurité de votre organisation de manière holistique – en examinant votre sécurité et votre sensibilisation à partir des approches descendante et ascendante – en veillant à mettre de l’avant un effort d’équipe pour arrêter les menaces entrantes, quelle que soit la façon dont elles peuvent atteindre votre organisation.

L’approche descendante

Dans tout régime, vous avez besoin de l’adhésion des dirigeants si vous vous attendez à ce que votre programme soit soutenu. Des budgets sont nécessaires pour les services de sécurité, les sauvegardes, la pizza pour les séances de formation et plus encore. Les politiques de mots de passe mises à jour, les politiques de travail à distance et les logiciels qui peuvent nécessiter d « être installés à l » échelle du réseau nécessitent du temps, de l’argent et des efforts pour une mise en œuvre réussie. Plus important encore, il peut être difficile de modifier les comportements des membres de votre haute direction, qui sont les personnes les plus ciblées de votre entreprise. Ils sont constamment en déplacement, reçoivent des centaines de courriels par jour, prennent des décisions en une fraction de seconde et ne sont pas toujours ouverts à changer leurs habitudes. En plus de cela, ce sont eux qui approuveront le transfert de fonds – où une compromission de courriels professionnels ou une attaque d’hameçonnage ciblée peut vraiment nuire aux résultats.

La meilleure façon d’obtenir l’adhésion est d’utiliser « à la fois la carotte et le bâton ». Les carottes comprennent : la protection proactive de votre organisation contre les menaces, l’impact important sur les résultats si vous avez déjà été victime d’une petite attaque ou la réduction d’autres incidents de sécurité qui vous font perdre du temps et, bien sûr, la pizza gratuite susmentionnée lors des séances de formation. Les bâtons sont assez simples : il suffit de lire ce rapport du FBI, ou ce billet sur la compromission des courriels professionnels, ou de télécharger notre livre blanc sur les tendances en matière de cybersécurité pour comprendre les risques réels auxquels chaque organisation est confrontée aujourd’hui de la part de cybercriminels organisés, déterminés et rusés.

L’approche ascendante

Avec l’adhésion de la haute direction, l’adhésion de vos collègues ou des employés de l’entreprise est une prochaine étape importante. Quelques chiffres effrayants et la pizza ne peuvent pas vous mener loin. Si vous voulez obtenir l’adhésion de tous les participants de votre organisation, vous devrez faire preuve de transparence sur l’ensemble du processus. À un moment ou à un autre, beaucoup d’entre nous ont travaillé dans des entreprises avec des politiques de mots de passe strictes et des réinitialisations mensuelles, sans jamais comprendre pourquoi elles sont mises en place. Les utilisateurs doivent non seulement connaître, mais aussi comprendre les pires scénarios. Impliquez vos équipes dans le processus, expliquez comment chaque étape du processus est essentielle au processus.

Pour être franc, le « bâton » ici peut vous obliger à réfléchir à certains des scénarios négatifs auxquels elle peut être confrontée, y compris la perte de temps, la productivité et même les emplois – et de milliers à millions de dollars volés sur la base d’attaques uniques ou de points faibles. Une fois qu’ils ont réalisé à quel point il est important d’adopter des habitudes qui empêchent ces attaques de se produire, envoyez-leur un message stimulant sur le fait que, avec les bonnes actions, les cybercriminels ne sont pas à craindre. Comment faites-vous cela? Tenez compte des étapes que nous vous proposons ci-dessous

Devenir un leader d’opinion interne en TI

Les TI peuvent être un sujet difficile à comprendre pour de nombreux employés non technologiques, et même ceux qui travaillent dans le domaine. Chaque fois qu’une attaque WannaCry, ROPEMAKER ou autre attaque à la mode fait les manchettes, ou qu’une attaque DNS frappe et détruit des morceaux du Web, la plupart des gens se tournent vers le service informatique pour obtenir des commentaires, pour comprendre ce qu’il y a à craindre. Bien que ces menaces n’affectent pas souvent directement votre organisation, elles offrent d’excellentes occasions de rédiger un élément de réflexion important pour les communications internes. Utilisez des statistiques dans la mesure du possible pour expliquer l’ampleur des attaques et comment elles affectent les organisations concernées. Les données sont toujours utiles pour communiquer l’efficacité de vos propres solutions. Combien d’attaques malveillantes ont été arrêtées par votre filtre de courriel? Comment les nouvelles attaques se comparent-elles aux précédentes? Quelles sont les attaques les plus folles et les plus incroyables de l’année dont vos utilisateurs n’ont peut-être pas entendu parler? Avec ces histoires, partagez toujours comment l’impact de telles attaques aurait pu être évité. Il est important d’expliquer sans équivoque ces attaques : si vous leur faites peur sans les responsabiliser, vous risquez d’effrayer vos collègues pour qu’ils n’ouvrent pas leur courriel, plutôt que de leur donner le pouvoir de signaler les menaces.

Sensibilisation mensuelle à la sécurité

Une fois que vous avez établi la crédibilité de votre approche en cybersécurité, vous n’avez pas besoin d’attendre qu’une catastrophe survienne pour communiquer des informations utiles à ce sujet. Obtenez l’adhésion de haut niveau pour faire une présentation aux assemblées générales, ou même envoyer un rappel trimestriel sur vos politiques et les nouvelles menaces dont vous avez entendu parler. Les gens sont occupés, vous ne pouvez pas vous attendre à une présence volontaire – obligez la présence en offrant quelque chose en échange (dîner gratuit, chotchkies, autres façons d’avoir un impact mémorable tout en étant du bon côté de vos collègues). En fin de compte, ces rencontres devraient montrer des exemples de victimes ainsi que des menaces émergentes et comment les éviter. Un petit conseil ici : travaillez avec vos propres équipes de marketing ou de communication de votre propre entreprise pour élaborer un plan d’horaire et des messages internes qui se connectent vraiment à vos collègues. Des silos de panne.

Rapports annuels sur la sécurité

À la fin de l’année, montrez comment fonctionne votre plan. Combien de courriels de virus ont été mis en quarantaine? Combien de courriels d’hameçonnage et de liens malveillants ont été bloqués? Combien de mots de passe ont été bloqués à l’extérieur de l’organisation? Combien de rapports d’incident ont été traités avec succès? Combien de jours depuis le « dernier incident de cybersécurité »?

Prêt à l’emploi : Piratez-vous

Vous voulez vraiment avoir un impact, obtenir un soutien descendant et faire comprendre à vos collègues comment nous pouvons tous être des victimes? Testez la vulnérabilité de votre réseau. Envoyez votre propre « courriel d’hameçonnage » et voyez combien de personnes dans votre organisation l’ouvriront. Rendez les résultats anonymes pour que personne ne soit mis à l’écart, mais indiquez clairement combien de personnes au sein de votre organisation sont tombées dans le piège de votre simple ruse et à quel point elles peuvent être plus vulnérables à un cybercriminel expert.

Trop souvent, les TI sont le « grand frère » secret, travaillant avec diligence en arrière-plan sans que personne ne connaisse vraiment tous les résultats positifs de leurs efforts. En termes simples, le fait que les opérations commerciales fonctionnent peut être attribué à une bonne cybersécurité. Utilisez la sensibilisation à la cybersécurité et à la sécurité des courriels comme une occasion de communiquer l’efficacité et l’importance de votre travail, et de donner à vos collègues une visibilité sur les détails quotidiens de vos activités. Communiquer les détails de votre routine quotidienne peut créer une plus grande valeur dans les services offerts par les équipes informatiques.