Sensibilisation à la cybersécurité : responsabiliser nos employés
Que ça nous plaise ou non, lorsqu’il s’agit de l’entreprise, nos employés sont le nouveau vecteur d’attaque. C’est pourquoi la formation sur la sensibilisation à la cybersécurité est si importante. Bien que nos solutions de gouvernance des identités contribuent à protéger et à responsabiliser l’entreprise, nous savons que la première ligne de défense est représentée par chaque personne se trouvant sous le toit proverbial de cette entreprise. Nous encourageons nos clients, sous-traitants, employés et partenaires à se tenir informés des formations sur la sensibilisation à la cybersécurité, car comme nous l’avons récemment remarqué, la violation des données crée souvent un effet domino avec de graves dommages collatéraux.
Le vecteur d’attaque humain
Comme nous l’avons constaté dans les médias, les cyberattaques deviennent de plus en plus sophistiquées et ciblées tandis que les hackers se dirigent vers la vulnérabilité inhérente du vecteur d’attaque humain. Comme je l’ai expliqué dans l’Anatomie de la violation des données, les hackers passent de longues périodes en phase de reconnaissance d’une attaque, isolant les cibles et menant des recherches minutieuses avant d’entrer en action. Ces attaques apparaissent sous différentes formes, notamment le cracking, le hameçonnage et le harponnage agressifs, l’ingénierie sociale par téléphone, en personne et même sur le lieu de travail. Au fil de l’évolution des technologies telles que le BYOD, le cloud et le personnel itinérant, la surface d’attaque s’élargit. Et les hackers en prennent note.
Il ne suffit pas que les employés soient conscients des pièges de cybersécurité potentiels au travail. Même si les employés respectent les protocoles de sécurité au bureau, ils oublient souvent les autres vecteurs d’attaque potentiels tels que les téléphones, tablettes et ordinateurs personnels, qui sont souvent utilisés pour accéder aux données de l’entreprise. Les employés fournissent également volontairement des informations personnelles précieuses via les médias sociaux qui, combinées aux informations disponibles sur Internet suite à de précédentes violations de données, offrent aux hackers une vue globale de l’identité d’un utilisateur. Avec toutes ces informations à portée de main, il est facile pour les hackers d’accéder aux comptes des employés, et par extension, de l’entreprise.
Et malheureusement, cela ne s’arrête pas aux employés. Les amis et la famille sont également des cibles, fournissant un accès aux informations sur les cibles visées. De ce fait, il est important que les employés mettent en avant l’importance de la sensibilisation à la cybersécurité auprès de leurs proches et respectent les meilleures pratiques en dehors de leur lieu de travail. Par exemple, ne jamais laisser un ami ou un membre de sa famille utiliser un appareil professionnel, ne pas se connecter à des réseaux non sécurisés depuis n’importe quel appareil et ne pas utiliser d’appareils non approuvés pour accéder aux applications et systèmes de l’entreprise.
Quel est votre rôle ?
Chaque personne au sein d’une entreprise joue un rôle clé contre la potentielle violation de données. Les employés peuvent apprendre à devenir de bons gardiens des données de l’entreprise en adoptant les meilleures pratiques de sécurité, en participant à des formations sur la sensibilisation à la cybersécurité, en gérant leur propre accès et en avertissant les contacts internes appropriés lorsqu’ils soupçonnent une tentative de piratage. En fin de compte, les employés doivent toujours supposer être une cible et agir en conséquence en prenant de simples mesures de sécurité telles que verrouiller leur ordinateur lorsqu’ils quittent leur bureau, désactiver le Wi-Fi lorsqu’ils ne sont pas sur le réseau et même en prenant des mesures physiques comme couvrir les caméras intégrées et enfermer les ordinateurs portables dans des lieux sécurisés lorsqu’ils quittent le bureau.
À l’inverse, le service informatique a pour mission de former et de sensibiliser les employés par le biais de formations sur la sensibilisation à la cybersécurité, notamment des tests internes tels que la formation à l’hameçonnage, les attaques ciblées et même l’ingénierie sociale afin de s’assurer qu’ils comprennent les différentes méthodes utilisées par les hackers pour pénétrer dans l’entreprise. Le service informatique peut également adopter une approche globale à l’égard de la gestion du cycle de vie, en suivant les employés dans le processus de Joiner, Mover and Leaver afin de s’assurer que leur accès est approprié à chaque étape. Afin de faire cela de façon efficace, le service informatique a besoin des bons outils de gouvernance des identités afin de suivre le cycle de vie de l’utilisateur, d’évaluer les accès et d’éviter la dérive des droits. La gouvernance des identités peut également apporter un niveau de sécurité supplémentaire qui permet à la fois d’améliorer la sécurité et d’autoriser les utilisateurs, comme la gestion des mots de passe et l’authentification unique. Le but ultime est de responsabiliser les employés plutôt que de les éloigner, éveiller leur confiance plutôt que la peur, le tout sans compromettre la sécurité. L’avantage de tout cela est que la gouvernance des identités nous donne le pouvoir de le faire, tout en garantissant la sécurité de nos données.
Luttons-nous pour une cause perdue ?
Les cyberattaques faisant la une des journaux quotidiennement, les employés et les entreprises s’épuisent et font face à une réalité à laquelle personne n’échappe (pas même la National Security Agency ni l’Office of Personnel Management). Beaucoup se demandent si nous luttons pour une cause perdue, faisant face à la dure réalité selon laquelle 1 entreprise sur 4 sera la cible de hackers. L’une des choses que nous avons apprises c’est que ce n’est pas si mal de se faire avoir. En effet, les entreprises deviennent plus ouvertes et honnêtes lorsqu’un piratage a lieu, et les autres entreprises sont moins susceptibles de reproduire les mêmes erreurs, au cas où elles seraient les prochaines sur la liste.
De nos jours, tout est une question d’équilibre entre prévention et détection. Si l’ancienne version de protection est le périmètre traditionnel, la prochaine vague consiste à trouver un équilibre entre prévention ET détection grâce à la sensibilité des employés et une sécurité axée sur l’utilisateur, notamment une plate-forme de gouvernance des identités robuste. Grâce à la gouvernance des identités, les mesures de prévention que nous prenons peuvent également permettre la détection, permettant de mieux connaître tous les éléments de l’écosystème informatique. La gouvernance des identités peut rapidement identifier les piratages et y remédier pleinement, faisant de ceux-ci un élément important dans un monde de vulnérabilité, de compromis, de détection et de réponse.
En fin de compte, considérez vos employés comme les principaux détenteurs de toutes les « clés » importantes du royaume. Armez-les des outils de sensibilisation à la sécurité dont ils ont besoin pour endosser le rôle de gestionnaires des données de votre entreprise. Non seulement cela conservera les données personnelles de chaque utilisateur en toute sécurité, mais apportera à votre entreprise un niveau supplémentaire de protection, afin de conserver l’avantage et avancer avec confiance.
Discussion