La plupart des entreprises ne seront jamais en mesure de bâtir une organisation remplie d’experts en sécurité, alors que pouvez-vous faire pour développer le plus d’expertise possible dans votre entreprise? Comment créer un programme de formation sur la cybersécurité et la sécurité des courriels? Quels devraient être vos objectifs pour y parvenir efficacement?
Comme nous l’avons mentionné dans notre billet précédent sur la mise en place d’un programme de sensibilisation et de formation en cybersécurité , tout plan de formation doit être fondé sur une sensibilisation adéquate à la cybersécurité. Avant de commencer une formation, vous avez besoin de l’adhésion de toute votre organisation, tant du haut vers le bas que de la base. Votre organisation doit être consciente du leadership en cybersécurité fourni par son service informatique, sinon tout effort de formation sera de courte durée et tombera dans l’oreille d’un sourd.
Une cybersécurité efficace et des courriels est invisible pour la plupart des gens – la plupart des stratégies ne sont pas évidentes tant qu’elles ne cessent de fonctionner, et les bonnes échouent rarement. Les utilisateurs n’ont pas besoin de voir toutes les menaces continues que vous et votre équipe faites un si bon travail de prévention, mais, dans le cadre du plan de sensibilisation, leur dire comment vous vous en sortez contre les menaces communément connues les rassurera sur leur protection. En s’appuyant sur cette sensibilisation, la formation en cybersécurité et en sécurité des courriels devrait donner à vos utilisateurs les connaissances minimales requises pour assurer un niveau de connaissance et de confiance organisationnelle.
Ainsi, une stratégie efficace de formation en cybersécurité fait 3 choses.
- Trains – Permet aux utilisateurs de connaître les pratiques dont ils sont responsables.
- Informe – Informe régulièrement les utilisateurs sur les nouvelles normes et applications.
- Donne une paranoïa saine – Peut-être plus important encore, permet aux utilisateurs de savoir quand appuyer sur le « bouton rouge ».
Bien que chaque organisation ait ses propres exigences en matière de sécurité en fonction de sa taille, de son secteur d’activité et d’autres préoccupations, les principes fondamentaux d’un programme de formation efficace en cybersécurité demeurent les mêmes, ce qui favorise à la fois la responsabilisation et un sentiment de sécurité pour les utilisateurs ordinaires. Donc, en nous basant sur les principes ci-dessus, examinons comment chacun peut s’appliquer à votre organisation.
Ce dont les utilisateurs sont responsables :
Pratiques en matière de mots de passe
La première chose que fait tout nouvel employé est de configurer un mot de passe pour son courriel ou d’autres comptes, et de maintenir un mot de passe fort. Nous avons beaucoup écrit sur ce sujet dans le passé et pour une bonne raison. Un mot de passe volé, hameçonné, forcé ou enregistré peut causer des dommages incroyables à votre réseau de travail. La formation de vos utilisateurs consiste à s’assurer non seulement de la façon de créer un mot de passe efficace, mais aussi de ne jamais le donner, d’éviter les sites suspects ou illicites qui pourraient télécharger des logiciels espions sur leur appareil, de remettre en question les liens d’hameçonnage potentiels et d’autres messages qui pourraient leur parvenir (sans un filtre efficace comme modusCloud de Vircom) sont tous des problèmes prioritaires en matière de gestion des mots de passe.
En plus de choisir un mot de passe fort et de ne jamais le donner, assurez-vous que tous les appareils sont protégés par un mot de passe, en particulier les appareils mobiles qui, s’ils sont consultés, peuvent fournir aux pirates une porte d’entrée vers toutes vos informations sensibles. Il en va de même pour les périphériques et les clés USB qui peuvent être manipulés à l’intérieur ou à l’extérieur du bureau.
Installation du logiciel
Presque tous les services auront des besoins logiciels distincts. Une politique informatique trop restrictive peut souvent mener à des logiciels médiocres et contre-productifs pour les objectifs spécifiques d’un service, mais les employés doivent également comprendre comment assumer la responsabilité du logiciel qu’ils veulent utiliser et où stocker et gérer ses accès. En validant les logiciels préférés des employés et en fournissant un endroit pour stocker et gérer les mots de passe séparément de vos applications de messagerie et de traitement de texte, vous créez un environnement à la fois sécurisé et coopératif qui répond aux besoins des utilisateurs et aux exigences de sécurité des TI.
Identifier les courriels, les liens, les pièces jointes et les sites Web malveillants.
La capacité de faire preuve de jugement pour empêcher les clics sur des liens malveillants est importante. L’erreur humaine est le plus grand risque en cybersécurité – malgré tous les efforts déployés pour sécuriser les systèmes et les serveurs, les utilisateurs qui y accèdent peuvent toujours faire des erreurs. Assurez-vous que vos utilisateurs comprennent ce qu’est un courriel falsifié et comment l’identifier. Il en va de même pour une pièce jointe qui pourrait être malveillante, un lien d’hameçonnage ou un site Web dangereux.
Beaucoup de gens cliquent souvent sur un lien par curiosité, une tendance que les escrocs sont experts à exploiter, tandis que les fenêtres contextuelles sont conçues pour obtenir des réactions instantanées d’utilisateurs qui ne pensent pas aux conséquences de l’action qu’ils pourraient entreprendre. Il est essentiel de comprendre cet élément psychologique et d’avertir vos utilisateurs des risques.
Une solution de cybersécurité et de sécurité des courriels réduira ces risques de près de 0% possible, mais la formation que vous offrez à vos utilisateurs peut aider à améliorer cela d’autant plus.
Utilisation du Wi-Fi public
Avec les tendances des travailleurs à distance, des travailleurs à temps partiel, des pigistes et des consultants, il existe des risques pour le réseau qu’un pare-feu ne peut pas contrôler. Les réseaux Wi-Fi publics sont vulnérables et doivent être évités par les utilisateurs à tout prix. Les utilisateurs ne doivent pas entrer de mots de passe sur des sites où des renseignements financiers peuvent être recueillis ou se connecter à leur courriel, tout en utilisant 2FA et des sites Web sécurisés. En général, les utilisateurs devraient également essayer de s’en tenir à leurs données cellulaires, en connectant leurs autres appareils lorsque cela est possible. Des précautions particulières doivent être prises lorsque vous vous connectez au Wi-Fi à votre hôtel et à d’autres endroits, car les réseaux d’imposteurs et le volume élevé d’utilisateurs augmentent le risque de partage d’informations sensibles.
Utilisation de l’authentification à 2 facteurs (2FA/MFA) (2FA/MFA)
La protection des renseignements personnels est essentielle, et toute connexion à distance ou demande similaire devrait nécessiter, au minimum, une authentification à deux facteurs. Si quelqu’un a besoin d’informations ou d’un transfert de fonds « immédiatement », les employés doivent toujours l’aborder avec scepticisme et s’assurer qu’ils peuvent confirmer la validité de la demande et l’identité des personnes concernées. Avec les transactions financières, vos utilisateurs doivent savoir qu’ils doivent obtenir plusieurs niveaux d’autorisation, et un peu de scepticisme sain est de mise.
Chiffrement des courriels
Selon le type de chiffrement utilisé, formez votre organisation à savoir comment et quand il doit être utilisé. Un service de chiffrement des courriels efficace et sécurisé utilisera une variété de méthodes, y compris des dictionnaires gérés et des déclencheurs intelligents, qui chiffrent automatiquement les courriels contenant des informations sensibles, tandis que les déclencheurs de ligne d’objet peuvent également garantir que vos utilisateurs peuvent l’exploiter efficacement et intuitivement pour votre sécurité et celle de vos clients.
Mise à jour des utilisateurs sur ces normes et applications
Pour compléter la formation et les compétences de base dont tous vos utilisateurs ont besoin, il est important de leur fournir des mises à jour qui donnent un contexte à leurs actions, à ce qui est attendu d’eux et de les tenir au courant de la terminologie de base en matière de sécurité.
Sauvegardes (machine et courriel)
Expliquez comment s’exécutent les sauvegardes, tant des courriels que des dossiers partagés pour assurer la continuité. Si un appareil tombe en panne ou qu’un courriel est supprimé par erreur, montrez à vos utilisateurs qu’ils peuvent compter sur leur service informatique pour les aider.
Solutions de sécurité des courriels
Avec une solution de sécurité des courriels, bon nombre des fonctionnalités importantes qui empêchent les menaces d’y accéder sont intégrées. Expliquer cela peut aider vos utilisateurs à se détendre et à gagner en confiance en sachant qu’il existe une solution puissante qui fonctionne en tandem avec leurs efforts plus « humains ». Communiquez les concepts sous-jacents à la défense des URL, à la prévention de l’usurpation de domaine et d’e-mail, au DMARC, au filtrage des pourriels, à la protection contre l’hameçonnage ciblé, à l’analyse des virus des e-mails et plus encore en tant que mécanismes de défense sophistiqués contre bon nombre des attaques les plus ciblées d’aujourd’hui et leurs tactiques.
Analyse des logiciels malveillants et antivirus
Tous les ordinateurs connectés à vos réseaux doivent être équipés d’une protection contre les logiciels malveillants et les virus. Cela devrait inclure la sécurité Web, l’analyse en temps réel et un VPN sécurisé, que vos utilisateurs doivent comprendre à la fois en termes de protection et de protection. Avec ces grosses menaces de porte-porte hors de leur esprit, ils peuvent comprendre quand repérer les attaques d’ingénierie sociale qui les ciblent plus spécifiquement.
Pare-feu
Expliquez aux utilisateurs comment ils fonctionnent et leur importance, contre quel type de menaces ils protègent et comment ils empêchent vos utilisateurs d’être exposés à des menaces plus dangereuses.
Quand appuyer sur le bouton d’alarme
Encouragez vos utilisateurs à ne pas hésiter à communiquer avec le service informatique ou à sonner l’alarme s’ils ne sont pas sûrs de la nature d’une demande d’accès ou de fonds. Adoptez l’approche selon laquelle aucune question n’est une mauvaise question, et chaque fois qu’une question que vous pourriez considérer comme « mauvaise » apparaît, utilisez-la comme exemple de quelque chose à inclure dans vos efforts de formation et de sensibilisation supplémentaires. Si vos utilisateurs se sentent à l’aise de porter votre attention sur les courriels qu’ils reçoivent, les logiciels qu’ils utilisent ou les endroits où ils prennent leurs appareils, vous pouvez réduire considérablement les risques d’erreur humaine et augmenter la visibilité des solutions si et quand quelque chose de grave se produit.
Il est également essentiel que les membres de votre équipe à haut risque et moins compétents en technologie reçoivent une attention particulière. Les pirates savent comment cibler les plus vulnérables, et les plus vulnérables sont plus susceptibles de commettre une « erreur humaine ». Trouvez une façon d’aborder le sujet de manière agréable, sans qu’il ait l’impression d’être pointé du doigt. En tant que membre de ce groupe à haut risque, les cadres supérieurs doivent faire l’objet d’une attention approfondie , car ils sont des décideurs clés et peuvent facilement commettre des erreurs coûteuses au milieu de leurs emplois du temps chargés.
Élaborer un plan de formation complet en cybersécurité pour votre organisation
Il existe des quiz en ligne, des entreprises spécialisées dans la prestation de formations et des consultants en formation en sécurité à embaucher pour vous aider à élaborer un plan de formation complet. Nous avons inclus quelques idées et liens ci-dessous pour compléter nos conseils ci-dessus.
Pour réitérer, vous ne devriez pas vous attendre à constituer une équipe d’experts en cybersécurité. Leur demander de faire la différence entre le harponnage et la chasse à la baleine, ou ce qu’est un correctif ou un exploit SQL, ne rendra pas votre entreprise plus sûre. Cela submergera votre public. Au lieu de cela, donnez des conseils pratiques sur des sujets qui peuvent clairement intéresser vos utilisateurs, et vous verrez une pratique efficace s’enraciner.
Autres documents et idées :
Trousse d’outils de Microsoft sur la sécurité Internet pour les entreprises et les organisations
Documents distribuables sur la cybersécurité du CERT – l’équipe américaine de préparation aux urgences informatiques
De l’Institut InfoSec – Comment obtenir des résultats rapides
Ou quelques idées pour la formation sur la ludification de la cybersécurité
