Les employés ont été identifiés comme la plus grande cybermenace pour les petites entreprises. Cependant, ces mêmes employés peuvent être formés pour devenir une cyber-force plutôt qu'une faiblesse.

Votre petite entreprise peut avoir le cadre de sécurité le plus solide, mais cela ne sert à rien si vos employés sont ceux qui sont ciblés.

En tant qu'analyste de sécurité expérimenté et passionné de longue date de sécurité et de confidentialité, je peux vous dire qu'il est beaucoup plus facile d'exploiter le facteur humain que d'essayer de passer à travers un logiciel de sécurité soutenu par des professionnels.

Une enquête indépendante du Ponemon Institute rapporte que parmi les petites entreprises qui ont subi des violations de données, 54 % ont trouvé que les employés négligents étaient la cause profonde.

C'est pourquoi la formation des employés à la cybersécurité peut grandement contribuer à les transformer en atouts plutôt qu'en faiblesses.

L'esprit humain est tout simplement plus facile à tromper qu'une machine. Cependant, cela ne doit pas être le cas.

Dans cet article, je vais parler de la façon dont vous pouvez améliorer la cybersécurité de votre petite entreprise en éduquant les employés sur les connaissances essentielles en matière de cybersécurité ainsi que sur les cyberattaques les plus courantes contre les petites entreprises et sur la meilleure façon de les éviter.

Connaissances essentielles en cybersécurité pour chaque employé

“Les bases sont la véritable innovation”, a déclaré Bob Lord, chef de la sécurité de la Convention nationale démocrate lors de son discours à CCSR 2019.

Je suis tout à fait d'accord, car les conseils de base qu'il a inclus lors de ce discours sont en fait parmi les conseils les plus courants que je donne lorsque les gens me posent des questions sur la sécurité.

Alors, quelles connaissances essentielles en matière de cybersécurité chaque employé doit-il connaître ?

Soyez attentif lorsque vous manipulez des informations sur l'entreprise

Les employés doivent toujours garder à l'esprit qu'ils possèdent des informations sur l'entreprise qui ne doivent jamais être partagées. Perdre un appareil de l'entreprise, partager des informations sur l'entreprise avec des amis et des proches, ou même simplement un simple selfie avec un tableau blanc ou un écran d'ordinateur en arrière-plan peut déjà révéler beaucoup de choses à un pirate astucieux.

Soyez prudent lorsque vous partagez des informations

Aller de pair avec la pleine conscience, c'est faire attention aux informations qu'ils peuvent partager. Les employés doivent faire attention aux informations qu'ils partagent, même en dehors des locaux de l'entreprise.

L'utilisation de messagerie non sécurisée, la connexion au WiFi public pour effectuer des tâches ou même le partage d'informations personnelles sur des sites de réseaux sociaux peuvent entraîner le vol de ces informations et leur utilisation dans des attaques.

Mettre régulièrement à jour le logiciel

Les fabricants publient des mises à jour d'applications lorsqu'ils découvrent une faille de sécurité dans leurs produits. Ces mises à jour apportent parfois des modifications aux interfaces utilisateur des applications, ce qui peut plutôt dérouter les employés. Cela peut éventuellement les amener à renoncer à installer des mises à jour.

Les employés doivent apprendre à ne jamais ignorer les mises à jour pour éviter les tentatives de piratage.

Renforcez vos mots de passe

Les employés doivent être formés à la formulation et à l'utilisation de mots de passe uniques forts. Un mot de passe fort se compose de lettres majuscules et minuscules, de chiffres et de symboles aléatoires. Vous pouvez demander aux employés de tester la force de leur mot de passe en accédant à HowSecureIsMyPassword.

Un mot de passe unique signifie avoir des mots de passe différents pour différents comptes. L'utilisation de mots de passe uniques réduira le risque de compromettre plusieurs comptes en cas de vol des identifiants de connexion d'un compte.

Pour s'assurer que seuls des mots de passe uniques forts sont utilisés, les employés peuvent être tenus d'utiliser un gestionnaire de mots de passe pour générer et conserver ces mots de passe uniques forts.

Enfin, les employés doivent être informés de toujours utiliser l'authentification à deux facteurs, le cas échéant. 2FA garantit que même si un pirate met la main sur les identifiants de connexion d'un employé, ce pirate devra fournir le code d'autorisation avant de pouvoir accéder au compte.

Les conseils de cette section ne couvrent que les connaissances les plus essentielles en matière de cybersécurité. Cependant, le fait que vos employés les suivent peut déjà améliorer considérablement la cybersécurité de votre petite entreprise.

Les cyberattaques courantes des petites entreprises et la meilleure façon de les éviter ou de les atténuer

Bien que la formation des employés aux connaissances de base en cybersécurité soit un pas dans la bonne direction, ce n'est que la première étape.

Une explication plus détaillée des cyberattaques les plus courantes des petites entreprises est nécessaire pour aider les employés à comprendre, identifier et éviter ou atténuer les menaces potentielles auxquelles ils peuvent être confrontés.

Hameçonnage et ingénierie sociale

Les attaques de phishing et d'ingénierie sociale utilisent toutes deux des tactiques psychologiques pour amener les cibles à effectuer une action spécifique, ce qui profite à l'attaquant, comme cliquer sur un lien malveillant ou fournir des informations.

Ces attaques sont le plus souvent effectuées par le biais d'e-mails apparemment convaincants. ZDNet rapporte que les e-mails de phishing sont en augmentation avec un e-mail sur 61 contenant des liens malveillants.

Les attaques d'hameçonnage et d'ingénierie sociale sont des plates-formes pour les virus, les vers, les chevaux de Troie, les pirates de chiffrement et l'usurpation d'identité.

Les employés doivent être informés de ne jamais paniquer lorsqu'ils sont confrontés à un e-mail non sollicité mais apparemment urgent de votre service informatique ou de votre fournisseur de logiciels. Demandez-leur plutôt de voir le message avec scepticisme et de vérifier d'abord les faits derrière le message.

Voici un exemple d'e-mail de phishing envoyé par Hameçonnage.org:

Exemple d'e-mail d'hameçonnage
Les employés peuvent survoler les liens fournis dans des e-mails comme celui-ci pour voir s'ils sont ce qu'ils semblent être.

Demandez à vos employés de vérifier le message pour les mots mal orthographiés ou la mauvaise grammaire, c'est généralement la marque des pirates étrangers. Après tout, cela est fait et l'employé est convaincu qu'il s'agit d'un vrai message, demandez-lui de contacter votre service informatique juste pour être sûr.

Attaques d'initiés

Une attaque interne est une attaque malveillante sur un réseau ou un système informatique commise par une personne disposant d'un accès autorisé au système.

Les attaques internes peuvent affecter tous les aspects de la sécurité informatique et réseau. Ils peuvent tout faire, qu'il s'agisse de diffuser des logiciels malveillants, de voler des informations sensibles sur l'entreprise ou même de faire planter des systèmes entiers.

Le problème est que ces attaques sont plus difficiles à prévenir et à détecter. Ils sont commis par des personnes qui ont déjà accès aux systèmes informatiques de votre petite entreprise et qui connaissent peut-être déjà les politiques de votre organisation.

Une autre raison est que la plupart des défenses de cybersécurité se concentrent souvent sur les menaces externes et non sur les menaces internes.

De nombreuses attaques d'initiés sont causées par le recrutement d'employés à l'extérieur. Les employés doivent être formés pour résister à ces tentatives de recrutement.

Si vous auditez l'accès aux données, diffusez ce fait pour informer les employés que toute tentative d'attaque aura des preuves pointant vers eux. Ils peuvent également être chargés de signaler tout signe d'exfiltration de données, par exemple lorsqu'un employé a été surpris en train de copier et d'envoyer par e-mail des données de l'entreprise à des tiers.

Logiciels malveillants

Les logiciels malveillants sont l'un des plus anciens types de cyberattaques. Les types de logiciels malveillants les plus courants peuvent tout faire, qu'il s'agisse d'endommager les systèmes informatiques de votre petite entreprise ou d'aider les pirates à saisir et à voler des informations via une porte dérobée, et même à détenir les données de votre petite entreprise contre rançon.

Les employés doivent être avertis de se méfier des sites non sécurisés. Vous pouvez savoir si un site est sécurisé en regardant simplement son URL.

URL d'embrayage

Un cadenas et “HTTPS” avant l'URL d'un site signifie qu'il est sécurisé avec une couche de sockets sécurisée (SSL). SSL crypte les données voyageant vers et depuis ce site.

Les logiciels malveillants peuvent également se propager via des e-mails de phishing, il est donc doublement important d'éviter ces derniers. Si votre politique autorise le BYOD, tous les appareils doivent être minutieusement analysés à la recherche de logiciels malveillants. Enfin, les employés doivent être tenus d'installer des logiciels de sécurité tels que des VPN et des programmes antivirus.

Piratage de compte

Le piratage de compte est un type d'usurpation d'identité. Dans cette attaque, un pirate informatique accède au courrier électronique, à l'ordinateur ou à tout autre compte d'un employé associé à un appareil ou à un service informatique en utilisant des identifiants de connexion volés.

Ces identifiants de connexion sont généralement volés par hameçonnage, e-mails usurpés ou tentatives de force brute et de dictionnaire.

Une fois qu'un pirate accède au compte d'un employé, ce pirate peut alors lancer une activité malveillante ou non autorisée.

Cette attaque peut être prévenue en demandant aux employés de suivre les règles essentielles pour les mots de passe que j'ai mentionnées ci-dessus. Une autre façon consiste à s'assurer que les employés évitent les e-mails de phishing qui les obligent à saisir des informations personnelles.

Les employés doivent également être invités à utiliser un VPN approuvé par l'entreprise lorsqu'ils travaillent à l'extérieur des locaux pour éviter de se faire voler leurs informations via des attaques MitM. Restez à l'écart de ces VPN qui fuient si votre petite entreprise cherche à en obtenir un.

Doter les employés de connaissances spécifiques sur les cyberattaques les plus courantes des petites entreprises les aide à les identifier et à s'y préparer. S'assurer que les employés savent comment réagir à une tentative de piratage permet à votre service informatique de lutter plus efficacement contre les menaces potentielles.

Le facteur humain n'a pas à être le maillon le plus faible

Votre petite entreprise peut avoir le cadre de sécurité le plus solide que vous pouvez vous permettre, mais cela ne sera d'aucune utilité si vos employés sont ceux qui sont ciblés.

Au cours de mes années en tant qu'analyste de la sécurité, j'ai découvert que les employés peuvent faire partie des forces de votre petite entreprise plutôt que de ses faiblesses s'ils reçoivent une formation appropriée.

  • Doter les employés des connaissances essentielles en matière de cybersécurité.
  • Gardez-les à l'esprit des informations sur l'entreprise qu'ils détiennent.
  • Laissez-les faire preuve de prudence lorsqu'ils partagent leurs informations personnelles.
  • Montrez-leur pourquoi les mises à jour logicielles ne sont pas à craindre.
  • Apprenez-leur à renforcer leurs mots de passe.

Les cyberattaques les plus courantes contre les petites entreprises peuvent être évitées si les employés apprennent à les identifier et à y réagir. Consultez une entreprise de cybersécurité expérimentée pour en savoir plus sur la meilleure façon de mettre en œuvre les pratiques de sécurité.