En matière de cybersécurité, l'un de vos principaux passifs est en fait vos employés. Formez votre personnel sur la manière d'éviter les menaces numériques au travail en le tenant au courant des tendances courantes en matière de phishing.

La formation de sensibilisation à la sécurité nous donne un outil de plus à utiliser contre les pirates.

Selon la société de sécurité EveryCloud, 90 % des violations réussies sont attribuées à une erreur humaine. D'après mon expérience en tant qu'analyste indépendant en cybersécurité, je peux attester de la validité de cette déclaration.

En 10 ans, j'ai aidé des centaines d'entreprises à renforcer leurs défenses après une brèche. Ils ont tous une chose en commun : ils disposaient de bons systèmes de défense de base. Dans la majorité des cas, les systèmes fonctionnaient bien. Les manquements peuvent souvent être attribués à des membres du personnel négligents.

C'est pourquoi je pense qu'un programme de sensibilisation à la sécurité est quelque chose que toutes les entreprises devraient envisager. Dans cet article, je vais vous expliquer comment vous pouvez créer votre propre programme efficace.

Comment former vos employés pour éviter les attaques de phishing

  • Identifier les lacunes dans les connaissances
  • Former votre personnel de manière créative
  • Mise en place d'un planning de formation
  • Utiliser les données pour mesurer l'efficacité de votre programme
  • Assurer la conformité
  • Impliquez la haute direction

1. Identifier les lacunes dans les connaissances

Ne présumez jamais que vos employés comprennent les dernières procédures de sécurité. Les gens font des suppositions basées sur ce qu'ils pensent savoir. Il y a vingt ans, un mot de passe sûr se composait de lettres et de chiffres. Aujourd'hui, c'est loin d'être assez varié.

Commencez par évaluer ce que vos employés savent de la cybersécurité. Créez un questionnaire pour voir ce qu'ils comprennent de la cybersécurité. Exécutez des tests de phishing pour voir s'ils tomberont amoureux d'eux. Et, comme dernier test, laissez traîner une clé USB et voir ce qui se passe.

Cela vous donnera une idée de ce sur quoi votre formation devrait se concentrer.

2. Former les employés sur la façon d'identifier les e-mails de phishing

Dans quelle mesure vos employés ont-ils réussi à reconnaître les e-mails de phishing ? Les attaques de phishing sont courantes et de plus en plus difficiles à détecter.

Passons par notre propre test de phishing ! Comparez les quelques images suivantes pour voir si vous pouvez repérer la différence. Je passerai en revue les réponses à la fin de la section.

De : XXX.subdomain.berkeley.edu@gmail.com.  Objet : paiement du fournisseur. "Êtes-vous dans le coin ?  Je dois payer un vendeur avec la blucard."

Ceci est un exemple d'un véritable e-mail de phishing qui a été envoyé.

Je peux voir en un coup d'œil qu'il s'agit d'un e-mail de phishing. Vous voyez ce qui m'a averti ? Je vais vous laisser y réfléchir une minute. En attendant, voici un exemple d'email réel.

De : XXX.subdomain.berkeley.edu@gmail.com.  Objet : Petite question. "Je suis en réunion et j'ai besoin d'aide pour obtenir des cartes-cadeaux Amazon."

Quelles différences pouvez-vous voir? Ce qui précède est la vraie affaire.

Je ne vais pas vous sortir de votre misère pour l'instant. Au lieu de cela, je veux vous donner un autre exemple. Cette fois, vous devez décider si c'est réel.

De : XXX.subdomain.berkely.edu.  Objet : Aidez-moi s'il vous plaît. "Je ne peux pas me rendre au bureau pour le moment et j'ai besoin que vous effectuiez un paiement pour moi."

Quel est votre verdict sur celui-ci ? Est-ce vrai ou faux ? Je vous laisse une seconde pour y réfléchir.

En attendant, ce qui m'a averti du premier exemple, c'est l'adresse e-mail. Si nous regardons l'exemple réel, l'adresse e-mail n'a pas “gmail.com” en annexe.

C'est un énorme drapeau rouge – les entreprises établies utilisent des comptes de messagerie de marque. Ils n'utiliseront pas les comptes Gmail à des fins professionnelles.

Quant au troisième e-mail, il est également clairement faux. Pourquoi? Encore une fois, cela se résume à l'adresse e-mail.

Avez-vous remarqué que le troisième “E” a été omis de “Berkeley” ? Auriez-vous remarqué si vous étiez occupé ou si vous ne lisiez pas un article sur le phishing ?

Les hameçonneurs rendent leurs e-mails aussi proches que possible de la réalité. Ils essaient d'imiter les domaines de messagerie établis pour voler vos informations. Les différences peuvent être minimes et à peine perceptibles, mais si vous vous concentrez, vous devriez les détecter.

Il peut arriver qu'une personne dans le courrier électronique de votre entreprise ait été piratée. Dans ces cas, méfiez-vous des demandes étranges d'argent ou d'informations ainsi que des e-mails qui vous incitent à cliquer sur des liens externes.

Contactez la personne d'une autre manière pour confirmer la demande.

3. Rendez la formation aussi amusante que possible

Je trouve la cybersécurité fascinante, mais ce n'est pas le cas de tout le monde. Lorsque vous configurez votre formation, pensez à utiliser des histoires pour rendre le contenu plus intéressant. Apportez des images et éventuellement des vidéos pour vous assurer que le message touche la maison.

Adaptez votre formation à vos employés. Quels formats leur conviendraient le mieux ? Dans quelle mesure conserveront-ils les informations ?

4. La formation n'est pas unique et terminée

Les choses changeant si rapidement dans le cybermonde, suivre les menaces est un processus continu. Vous devrez planifier des sessions de formation de suivi pour votre personnel afin de les mettre à jour. C'est aussi une bonne politique d'exécuter périodiquement des tests de phishing.

Envisagez également d'informer les employés des violations de données volumineuses qui ont fait la une des journaux ces derniers temps. La combinaison de la formation continue et des tests gardera vos employés sur leurs gardes. Ils apprendront qu'une attaque peut survenir à tout moment, ils doivent donc être prêts.

Planifiez une session pour chaque nouvel employé que vous embauchez et planifiez des sessions trimestrielles auxquelles tout le monde peut assister.

5. Surveillez vos progrès

Il est essentiel de tenir un journal de tous les incidents de sécurité rencontrés par votre entreprise. Cela vous aide à identifier les modèles d'une attaque plus déterminée. Il vous permettra également de suivre la réussite de votre formation.

Vous verrez si une formation supplémentaire est nécessaire et si vos systèmes de sécurité ont besoin d'une révision.

6. Respectez les règles de confidentialité

Les réglementations en matière de confidentialité exercent une forte pression sur les organisations.

Le non-respect des réglementations telles que PCI DSS, par exemple, peut entraîner de graves problèmes pour votre entreprise. Assurez-vous que vos systèmes de sécurité répondent aux normes établies.

7. Impliquez la haute direction

La haute direction doit montrer l'exemple. Leur implication garantit que votre nouveau programme de formation est correctement pris en charge. Idéalement, la haute direction devrait également assister aux séances de formation.

Si ce n'est pas possible, informez-les régulièrement des développements dans ce domaine.

Un programme efficace de sensibilisation à la sécurité nécessite du travail

Si vous souhaitez améliorer la cybersécurité de votre organisation, vous ne pouvez pas compter sur une seule ligne de défense. Votre programme antivirus est un bon point de départ, mais il ne suffit pas à lui seul.

Votre plus grande faiblesse est vos employés. Ils peuvent tomber par inadvertance dans un e-mail de phishing ou cliquer sur un site Web malveillant. C'est pourquoi vous devez mettre en place un excellent programme de sensibilisation à la sécurité.

Vous devez établir les niveaux de connaissances actuels de votre personnel. À partir de là, il est important de les former à identifier les e-mails de phishing. L'entraînement doit être amusant car vous allez devoir mettre en place un programme d'entraînement régulier.

Une fois le programme en place, surveillez les résultats que vous avez obtenus au cas où vous auriez besoin de faire des ajustements. Enfin, assurez-vous que le programme est conforme aux réglementations en matière de confidentialité et impliquez également la haute direction.