Préparer les cadres dirigeants aux cyberattaques
Dans mon précédent article de blog, j’ai partagé la raison pour laquelle tout ce qui permet à vos cadres dirigeants d’exceller dans leur domaine (leur visibilité et leur accessibilité) peut également faire d’eux les cibles principales des attaques. La question est maintenant de savoir comment les préparer à ces attaques, tout en protégeant et en maintenant les objectifs de votre entreprise. Voici quelques-unes des meilleures pratiques simples que nous devrions tous utiliser.
- Envisagez des compromis. Le meilleur point de départ pour cette discussion est de simplement partir du principe que le dirigeant subit des attaques et des menaces. Supposez que vos dirigeants (et tous les employés, au demeurant) feront des erreurs et que ces erreurs entraîneront leur vulnérabilité. Au vu du rythme des affaires et des nombreuses responsabilités d’un cadre dirigeant dans le monde numérique d’aujourd’hui, il est facile d’ouvrir une pièce jointe d’e-mail malveillante ou de poser son smartphone dans le salon d’un aéroport, rendant votre entreprise vulnérable aux cyberattaques. Nous sommes tous humains après tout, et les humains font des erreurs.
- Si vous ne faites pas confiance au réseau, ne vous connectez pas. Toute personne fortement exposée, en particulier les cadres dirigeants ayant accès à des données commerciales sensibles, devrait toujours utiliser une connectivité réseau fiable. Si vous devez vous connecter à un réseau non sécurisé, par exemple le Wi-Fi gratuit de l’aéroport ou le réseau local de Starbucks, utilisez toujours un tunnel VPN afin de communiquer grâce à un réseau sécurisé.
- Gérez votre réseau domestique. Les réseaux domestiques non sécurisés ne sont pas uniquement un problème personnel, mais également un problème professionnel. Si vos cadres dirigeants possèdent des réseaux domestiques faibles et non gérés, ils sont de retour à la case départ. Les réseaux domestiques hébergeant des dispositifs IdO ou un routeur avec un micrologiciel obsolète et des mots de passe par défaut sont tout aussi dangereux que les pires Wi-Fi publics. Encore une fois, commencez à envisager des compromis, attendez-vous à une attaque et prenez des précautions.
- Utilisez une authentification multifacteur intelligente. Parce que vous envisagez des compromis pour vos cadres dirigeants, il est impératif qu’ils mettent en place une authentification multifacteur intelligente pour les applications et services clés. L’authentification basée sur les connaissances (« veuillez indiquer le nom de jeune fille de votre mère… ») n’est pas une solution viable. Une recherche rapide sur Internet peut identifier la mascotte de lycée d’un cadre visible, le nom de jeune fille de sa mère ou le nom de son animal de compagnie préféré. De nombreuses options d’authentification multifacteur ne se limitent pas aux connaissances personnelles de base. Utilisez-les.
- Pratiquez la séparation des privilèges. Souvent, les entreprises souhaitent que leurs cadres dirigeants aient accès à tout, même ce dont ils n’auront jamais besoin. J’ai connu des plans de contrôle d’accès permettant aux cadres dirigeants d’accéder à tous les systèmes essentiels, juste au cas où, on ne sait jamais. Cependant, lorsque vous envisagez des compromis, vous devez également penser à la séparation des privilèges. N’autorisez aucun accès qui ne soit pas activement exploité. Pour les systèmes essentiels, pensez à un accès granulaire, avec une demande d’accès en libre-service et un provisioning et un de-provisioning automatisés. Autorisez le bon accès aux bonnes personnes et au bon moment, et reprenez-le lorsqu’il ne leur est plus d’aucune utilité. Cela doit être la politique dès le sommet de l’échelle hiérarchique.
- La sécurité physique va au-delà d’un badge nominatif. Lorsque l’on parle de « sécurité physique », beaucoup pensent à des portes verrouillées, des badges nominatifs et au talonnage. Mais la sécurité physique va bien au-delà de cela et inclut l’espace autour de vous et les personnes ayant accès aux écrans de vos cadres dirigeants. Nous avons tous déjà pris l’avion et regardé par-dessus une épaule et observé des informations sur un ordinateur portable. Fournir des filtres d’intimité à vos cadres dirigeants est une solution simple et économique. Cela permet de rappeler à chacun que les fuites d’informations peuvent se faire via une ligne de mire tout comme une ligne de mauvaises règles.
- Éducation et sensibilisation. Les cadres dirigeants sont l’exception permise aux nombreuses règles commerciales, mais l’éducation et la sensibilisation à la sécurité ne doivent pas en faire partie. Ils ont des emplois du temps chargés et manquent donc souvent de temps pour assister à des formations sur la sécurité. Le service informatique a tendance à frayer un chemin aux cadres dirigeants. Bien que le service informatique puisse couper l’accès au réseau à un employé s’il n’assiste pas à une formation sur la sécurité, ce n’est pas le cas pour les PDG. Cependant, il est impératif que vos dirigeants comprennent les risques et les mesures préventives que nous devons tous garder à l’esprit.
En fin de compte, la sécurité est comme toute initiative commerciale. Afin qu’elle soit efficace, il faut commencer par s’occuper des plus hauts dirigeants. Les dirigeants de votre entreprise doivent être les principaux évangélistes de la sécurité pour la société en montrant aux employés qu’ils souhaitent, eux aussi, opérer les bons choix entre commodité et contrôle pour le bien de l’entreprise et la sécurité de ses informations.
Discussion