Cybersécurité : Les conseils de Vade

Cet article est tiré du site Vade : Lien vers l’article complet
Aller sur le site Internet de Vade
Les attaques de ransomware en France ont augmenté de 255% en 2020. 61% des entreprises françaises ont été ciblées par des ransomware alors qu’en moyenne, les entreprises françaises consacrent 10% de leur budget IT à la Cybersécurité. Les pertes engendrées par ces attaques et des milliers d’autres sont irrécupérables, et la situation ne va certainement pas s’améliorer. La sensibilisation à la cybersécurité constitue certes un investissement essentiel, mais elle est bien différente de la cybersécurité à proprement parler.

Différence entre la sensibilisation à la cybersécurité et la vigilance en matière de cybersécurité

La sensibilisation à la cybersécurité se concentre, à raison, sur le facteur humain des cyberattaques, à savoir les erreurs qui ouvrent grand les portes des systèmes et données des entreprises. Ces formations apprennent à choisir des mots de passe forts, à les modifier fréquemment, à ne pas les communiquer à des tiers, à ne jamais cliquer sur un lien de phishing et à suivre diverses autres bonnes pratiques. Dans un monde idéal, nous suivrions religieusement ces règles.
Mais dans la réalité, nous les oublions et les ignorons régulièrement. Par ailleurs, les formations proposées par les entreprises se déroulent généralement sur une base annuelle. Ce manque de régularité a une conséquence directe : les employés s’empressent d’oublier tout ce qu’ils ont appris. En 12 mois, les cybercriminels ont de plus largement le temps de faire évoluer leurs méthodes et de rendre ainsi obsolètes les formations passées.
La plupart des programmes de formation présentent les bons comportements et les réflexes à supprimer, tout en expliquant les problématiques en jeu. Toutefois, ils ne garantissent pas que plusieurs mois plus tard, les employés appliqueront ce qu’ils ont appris au quotidien. En effet, ce comportement implique de faire preuve de vigilance. Un utilisateur sensibilisé sait qu’une cyberattaque est possible. Un utilisateur vigilant anticipe cette attaque et agit de manière réactive et responsable lorsqu’elle se produit.
La grande question est donc la suivante : comment faire passer votre culture d’entreprise de la sensibilisation à la vigilance ?

La technologie n’est qu’un composant de la solution

La technologie évolue rapidement. Les hackers évoluent encore plus vite. La plupart des entreprises auront beau consacrer des sommes considérables à la mise à jour de leurs technologies, le jeu du chat et de la souris entre les hackers et les spécialistes de la sécurité ne s’arrêtera jamais. Un correctif logiciel est publié ? Une nouvelle vulnérabilité est découverte. La clé de déchiffrement d’un ransomware est diffusée ? Une nouvelle souche améliorée fait son apparition. Un email de phishing est bloqué ? Il réapparaît quelques jours plus tard, envoyé par une nouvelle adresse IP. La technologie constitue un point de départ, mais elle n’est pas l’alpha et l’oméga de la cybersécurité.
Aucune solution de cybersécurité n’est capable de bloquer toutes les menaces. Aussi, il est indispensable de faire appel à des renforts, et ces renforts ne sont nuls autres que les utilisateurs, pourtant parfois considérés comme les maillons faibles de la cybersécurité. En réalité, ils constituent votre dernière ligne de défense lorsque la technologie échoue, ce qui explique pourquoi les hackers essaient régulièrement de les pousser à la faute.

Créer une communauté vigilante

Dans le cadre d’une formation de sensibilisation à la cybersécurité, les utilisateurs doivent apprendre le fonctionnement des technologies de lutte contre le phishing et rôle qu’ils peuvent jouer dans leur amélioration. Par exemple, ils doivent savoir que le fait de signaler un email de phishing au service informatique déclenche toute une série d’événements dont ils n’ont probablement pas idée.
Un filtre de messagerie qui laisse passer un email de phishing doit être affûté pour reconnaître cet email si le hacker le renvoie par la suite, chose qui n’a rien d’improbable. Se contenter d’ajouter une adresse IP à une liste noire ne suffit pas. De nouvelles règles doivent être écrites, et les algorithmes d’IA, qui s’appuient sur les données fournies par les utilisateurs, doivent être encore entraînés. Si un utilisateur supprime un email sans le signaler, aucune de ces actions ne peut avoir lieu. L’email reviendra, et quelqu’un finira par cliquer dessus.
La meilleure façon de s’assurer qu’il ne revienne jamais consiste à fournir au moteur d’IA les données dont il a besoin pour s’améliorer, et mettre ainsi en place une boucle de rétroaction entre l’utilisateur et l’IA. Il en résultera un moteur plus intelligent et autonome, capable de prendre les bonnes décisions et d’apprendre de ses erreurs.
En formant vos utilisateurs au fonctionnement de la technologie conçue pour les protéger, vous leur apprenez les limites de la cybersécurité en matière d’attaques contre les personnes, et le rôle qu’ils peuvent jouer dans son amélioration. Les utilisateurs ont tendance à davantage signaler les emails de phishing lorsqu’ils savent qu’ils participent activement à l’évolution de la technologie et bénéficient de ses améliorations. De la même manière que les experts en cybersécurité forment des communautés, souvent composées de fournisseurs concurrents, vous devez créer une communauté d’utilisateurs signalant activement les emails pour protéger votre entreprise et, au final, leurs gagne-pain.
Pour passer de la sensibilisation à la vigilance, vous devez également renforcer la formation contextuelle, lorsqu’un utilisateur commet une erreur susceptible d’aboutir à une violation. Cliquer sur un lien de phishing constitue par exemple une erreur grave aux conséquences potentiellement désastreuses. La formation au moment du clic permet d’éliminer les comportements dangereux, de renforcer les bonnes pratiques et de favoriser la vigilance.

Contactez nous pour mettre à jour votre politique de cybersécurité !

https://www.llis-network.fr/contact/

Article écrit par Damien GIMENEZ