Mme si de nombreuses entreprises investissent plus que jamais pour financer des outils et des technologies avancs de cyberscurit, les experts pensent que, pour les entreprises amricaines, le cot des cyberattaques va augmenter considrablement en 2023.
Les cybercriminels professionnels et les auteurs de menaces de nations trangres qui perptrent des attaques extrmement sophistiques continuent faire les gros titres de lactualit. Toutefois, daprs les tendances remarques, on peut sattendre de nombreux incidents rsultant de menaces extrmement efficaces et difficiles dtecter, comme les tentatives dhameonnage et les attaques dingnierie sociale.
Mme si elles ncessitent moins de comptences techniques, de telles attaques parviennent nanmoins contourner les technologies de cyberscurit les plus avances, car elles sont lafft derreurs humaines auxquelles on peut imputer 95 % des failles de cyberscurit, daprs une tude ralise par IBM.
Pour neutraliser ces menaces et rduire tout risque derreur humaine susceptible de provoquer un incident, les entreprises renforcent leur technologie de cyberscurit grce des programmes de formation des employs. Lorsquils sont implments de manire efficace, ces programmes peuvent amliorer les connaissances des employs dans le domaine de la cyberscurit et limiter tout risque quun employ soit victime dune attaque. Vu qu lheure actuelle toute violation moyenne peut coter des millions, cette formation est plus importante que jamais.
Chrystal Taylor, Head Geek, SolarWinds
Voici trois conseils qui pourront vous aider amliorer le programme de formation de votre entreprise en matire de cyberscurit :
1. Simulation dattaques pour amliorer les comportements
Le vieux proverbe Cest en forgeant quon devient forgeron prend tout son sens, surtout quand il sagit de formation sur la cyberscurit.
Mais comment les entreprises peuvent-elles sentraner dtecter et empcher divers types de cyberattaques ? Grce des simulations !
Pour apprendre aux employs comment reconnatre, viter et signaler des menaces potentielles, peu de mthodes sont aussi efficaces que la simulation dattaques risquant de se produire en ralit.
Heureusement, plusieurs socits et programmes, ces derniers tant souvent disponibles via un modle SaaS (Software as a Service) facile utiliser, peuvent actuellement aider les entreprises renforcer leur scurit en gnrant des tentatives dhameonnage et en simulant des logiciels malveillants, ainsi que dautres cyberattaques susceptibles de viser les employs. Ces campagnes de test ciblent alors les membres du personnel, lesquels doivent dtecter et neutraliser ces tentatives de piratage.
Ces simulations de scnarios rels et pertinents peuvent aider les employs tre plus vigilants et mieux prpars face aux menaces, dans un environnement qui ne prsente pas denjeux. Un environnement favorisant le renforcement positif est plus susceptible dinciter les employs signaler dventuelles tentatives dhameonnage/dhameonnage par SMS, mme sil savre que leurs soupons sont injustifis. Ils devront ventuellement vrifier davantage de rapports, mais seront plus conscients des menaces, et plus mfiants.
2. Rduction de la dsensibilisation aux messages de scurit par petites tapes et association des menaces un contexte
On a limpression que, toutes les semaines, une nouvelle cyberattaque fait les gros titres. Cette profusion de nouvelles sest traduite par un phnomne dangereux connu sous le nom de dsensibilisation aux messages de scurit , autrement dit une dsensibilisation lexposition rpte au mme message, au fil du temps .
Selon une tude ralise par Malwarebytes, 80 % des participants ont signal un certain niveau de dsensibilisation aux messages de scurit en termes de cyberscurit. Cette dsensibilisation aux messages de scurit prsente des dangers et peut se traduire par un comportement ngligent susceptible de fragiliser et de menacer gravement la cyberscurit.
Pour combattre la dsensibilisation aux messages de scurit et rappeler aux employs que leurs actions sont critiques pour la scurit globale des entreprises, ces dernires peuvent procder initialement par petites tapes. Pour commencer, elles peuvent envisager limplmentation, lchelle de lentreprise, de protocoles rgissant les mots de passe. En obligeant les employs modifier leurs mots de passe quelques mois dintervalle et utiliser lauthentification deux facteurs, les entreprises leur rappellent simplement, mais fermement, quils doivent contribuer activement la position globale de lentreprise en termes de cyberscurit.
Les entreprises peuvent galement contextualiser les communications concernant la cyberscurit pour que les employs comprennent mieux les consquences relles dun incident potentiel, par exemple en signalant lventuel impact montaire dun cyberincident sur leurs bonus et salaires.
3. Implmentation dun environnement de privilge minimum et de confiance zro, et application des principes Secure by Design
Malgr tous les efforts quelles dploient, les entreprises ne peuvent pas se permettre de ne compter que sur les employs pour empcher les cyberattaques. Elles doivent donc toutes envisager limplmentation de mesures de cyberscurit de confiance zro et dun environnement de privilge minimum.
Le modle de cyberscurit de confiance zro protge essentiellement les ressources de lentreprise tout en adoptant une mentalit de violation suppose . Cela signifie que chaque demande daccs aux informations ou services dune entreprise fait lobjet dune vrification afin de bloquer tout accs non autoris au rseau.
De la mme faon, un environnement de privilge minimum peut empcher tout accs indsirable des logiciels, services, serveurs, matriel, etc., partir de comptes ne ncessitant pas cet accs. En imposant des contrles daccs efficaces soumis des valuations et mises jour rgulires, les entreprises limitent considrablement la surface dattaque.
Alors que de plus en plus dentreprises adoptent des environnements de travail hybrides long terme, les principes de confiance zro et de privilge minimum sont des outils puissants pour empcher et attnuer les vulnrabilits.
lavenir, les entreprises devraient crer des produits et des logiciels conformes aux principes Secure by Design, qui intgrent des fonctions de scurit. En adoptant lapproche Secure by Design, les entreprises se concentrent sur les individus, les infrastructures et le dveloppement de logiciels pour optimiser leur infrastructure de scurit. Si les entreprises appliquent ce nouveau modle, il peut empcher et attnuer les futures cyberattaques.
Source : SolarWinds
Et vous ?
Qu’en pensez-vous ?
Voir aussi :