La sécurité pour tous commence par une formation de sensibilisation à la sécurité
Octobre est le mois de la sensibilisation à la cybersécurité. En 2021, le thème est "Do Your Part #BeCyberSmart" et vise à donner aux individus et aux organisations les moyens de s'approprier leur rôle dans la protection de leur partie du cyberespace.
Selon les données du rapport SANS 2021 sur la sensibilisation à la sécurité, plus de 75 % des professionnels de la sensibilisation à la sécurité consacrent moins de la moitié de leur temps à la sensibilisation à la sécurité, ce qui implique que la sensibilisation n'est peut-être pas complète. Malgré cela, la formation et l'éducation continuent de prouver leur importance, comme le montre le 2021 Microsoft Digital Defense Report, récemment publié, qui révèle une réduction de 50 %, d'une année sur l'autre, de la vulnérabilité des employés aux attaques par hameçonnage après une formation par simulation.
Renforcer ensemble notre écosystème collectif de sécurité numérique
Au-delà de la notion de conformité à diverses exigences de sensibilisation à la sécurité telles que COBIT, GDPR, ISO 27001, alors que le monde est devenu distant et que le travail hybride est devenu la norme, tout ce qui n'est pas une sécurité complète laissera une organisation vulnérable. Ainsi, Alyne partagera des conseils sur la façon dont nous menons une formation de sensibilisation à la cybersécurité pour les employés afin de renforcer notre écosystème numérique collectif. Ceci est particulièrement important car des événements importants - tels que la pandémie de coronavirus et l'acquisition d'Alyne par Mitratech - ont montré une recrudescence des tentatives d'hameçonnage et la nécessité d'une sensibilisation à la cybersécurité dans l'ensemble de notre entreprise.
Comment la pandémie de coronavirus a-t-elle affecté la sensibilisation à la sécurité ?
Alors que nous entrons dans l'ère post-pandémique, de nombreuses organisations ont adopté le modèle "Virtual First" (le virtuel d'abord). Cependant, lorsque les organisations ont commencé à s'installer sur un modèle de travail, beaucoup d'entre elles se sont précipitées à la recherche de différentes formes de communication, à la recherche du moyen de communication le plus sûr et le plus efficace.
Le modèle "Virtual First" et le travail hybride pourraient être l'avenir du travail. Toutefois, cette approche tend à créer des expériences différentes pour les employés et l'émergence de nouveaux risques. Il s'agit notamment d'un environnement physique domestique non sécurisé, d'un plus grand nombre de types d'appareils ou de connexions internet résidentielles avec des accords de niveau de service (SLA) réservés aux consommateurs.
Comment l'acquisition d'Alyne a-t-elle affecté la sensibilisation à la sécurité ?
Le fait d'être sous les feux de l'actualité a certainement déclenché l'envoi de messages d'hameçonnage de la part d'acteurs de la menace, qui voient une opportunité dans un nouvel environnement où il y a beaucoup de nouvelles personnes et de nouveaux noms, où tout le monde ne se connaît pas. Si l'on ajoute à cela la multiplication des communications par courrier électronique, en particulier en dehors de sa propre organisation, la vérification devient difficile et difficile à détecter, car elle aurait alors créé une menace pour la sécurité qui serait reproduite par d'autres cybercriminels.
Cinq pratiques adoptées par Alyne
1. Savoir ce que l'on a et ce que l'on fait
Chez Alyne, nous décrivons et documentons clairement le type de données que nous stockons et les processus que nous utilisons. Il est important de comprendre quels types de données et de processus vous possédez - et "où" ils se trouvent.
2. Attribuer la propriété
Il est toujours important de pratiquer l'obligation de rendre des comptes, car les échecs se produisent surtout là où personne ne se sent responsable.
3. Garder les données sensibles confidentielles
Alyne veille toujours à ce que les données sensibles soient stockées de manière sécurisée afin d'en garantir la confidentialité. Il s'agit notamment des données suivantes
- Documents relatifs aux clients et données sur les risques
- Informations personnelles identifiables
- Documents internes sensibles d'Alyne
4. Traçabilité des modifications pour l'intégrité des données
L'intégrité des données peut être compromise par une erreur humaine, un transfert, un piratage ou d'autres menaces cybernétiques. La traçabilité permet à Alyne et à d'autres organisations de planifier la continuité de leurs activités en inspectant et en vérifiant les documents d'identification enregistrés.
5. Éviter les distractions ou les obstacles pour le travail des personnes et les opérations générales
Dans un monde où nous sommes constamment distraits et interrompus par des notifications push et un espace de bureau de plus en plus réduit, il est important d'optimiser le processus opérationnel pour minimiser les problèmes et les failles de sécurité.
Facteurs de réussite d'un programme de formation à la sensibilisation à la sécurité
Lorsqu'ils mettent en œuvre des programmes de sensibilisation à la sécurité pour les employés, les professionnels de la sécurité doivent toujours garder à l'esprit que l'objectif principal de l'apprentissage est que chacun a un rôle à jouer dans la sécurité de l'information et que celle-ci ne relève pas uniquement de la responsabilité de la "personne/département chargé de la sécurité".
Nous avons ainsi identifié quatre propriétés généralement présentes dans les organisations considérées comme hautement sécurisées :
- L'adapter au contexte de chaque participant et de chaque équipe
- Rendre le cours aussi interactif que possible - Ne pas se contenter d'un cours magistral sec
- Inclure des conseils sur la sécurité des informations personnelles et leur lien avec la sécurité des informations de l'organisation.
- Se concentrer sur des messages de base simples et ne pas surcharger avec trop de détails (techniques) qui ne sont pas pertinents pour un public particulier.
Écrit par Stefan Sulistyo en collaboration avec Eunice Cheah.
