Bien qu’elles soient en mesure de constater l’efficacité des formations sur la cybersécurité, de nombreuses organisations offrent ces formations une seule fois par année.
Chaque année, CIRA réalise un sondage auprès des décideurs canadiens responsables de la sécurité des technologies de l’information pour mieux comprendre comment ils résistent aux cyberrisques. The Strategic Counsel a réalisé le sondagede cette année en juillet et août, et a recueilli les réponses de 500 professionnels des TI de tout le pays. Il s’agit duquatrième des cinq blogues de la série de 2021.
En 2018, la Cybersecurity & Infrastructure Security Agency (CISA) a émis une alerte publique intitulée « Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors », sur les activités cybernétiques du gouvernement russe visant le secteur de l’énergie ainsi que d’autres secteurs d’infrastructures essentielles. Cette attaque en particulier avait pour objectif d’exploiter ce que le secteur de la cybersécurité considère souvent comme étant le point faible de la sécurité d’une entreprise : les humains.
Selon la CISA, les attaquants ont étudié leurs cibles et les entreprises avec lesquelles elles ont fait affaire. Ils ont ensuite utilisé ces renseignements pour lancer une campagne d’hameçonnage ciblé, ce qui signifie qu’ils ont envoyé des courriels conçus spécialement pour duper leurs cibles. Les cibles dupées ont téléchargé une charge infectée. Une fois cela fait, les pirates informatiques ont été en mesure de recueillir des informations normalement confidentielles concernant des systèmes de contrôle industriels.
Dans ses conseils pour se protéger des campagnes de piratage, la CISA se concentre sur la formation de sensibilisation à la cybersécurité entre autres mesures. Son message est clair : éviter les cyberattaques n’est pas uniquement la responsabilité du service des TI, c’est également la responsabilité de tous les employés.
D’après l’agence, les utilisateurs finaux doivent être formés sur les indicateurs courants d’hameçonnage et chargés de signaler les courriels suspects. Penchons-nous maintenant sur le paysage de la cybersécurité au Canada : où en est la formation de sensibilisation à la cybersécurité au sein des organisations canadiennes? Les employés possèdent-ils les connaissances nécessaires pour repérer et signaler les courriels malveillants? Découvrons-le.
Des données de 2021 indiquent que les organisations canadiennes offrent maintenant une formation sur la sensibilisation à la cybersécurité, sous une forme ou une autre.
La formation des employés fait désormais partie des pratiques exemplaires et les organisations canadiennes semblent y accorder de l’importance. Selon notre Sondage sur la cybersécurité 2021, 93 % des organisations offrent une formation de sensibilisation à la cybersécurité à quelques employés au moins.
Des données ouvertes de 2021 indiquent que les organisations canadiennes offrent maintenant une formation sur la sensibilisation à la cybersécurité, sous une forme ou une autre.
Les organisations canadiennes abordent la formation à l’aide de différentes méthodes.
La méthode de formation la plus courante est de créer du matériel de formation et d’en faire la promotion en interne (d’après 61 % des organisations). Des ateliers de type dîners-causeries sont organisés par 39 % des organisations et 38 % des organisations autorisent la création de bibliothèques de cours auxquelles les employés ont accès.
Les simulations d’hameçonnage sont la méthode de formation au rythme de croissance le plus rapide. Dans le cadre de ce type de simulations, le service des TI (ou un service grand public) agit comme des pirates informatiques afin de surprendre les employés qui relâchent leur surveillance.
Pourquoi les formations sur l’hameçonnage sont-elles essentielles?
Une étude en collaboration réalisée par Jeff Hancock, professeur de l’Université Stanford, et Tessian, fournisseur de produits de sécurité informatique, a révélé que 88 % des cas de violation de données sont causés par des erreurs des employés. De plus, la moitié des employés qui ont participé à cette étude ont admis avoir fait une erreur au travail qui aurait pu entraîner des problèmes de sécurité.
Duper un employé afin qu’il clique sur le mauvais lien ou qu’il ouvre une pièce jointe est l’un des moyens les plus simples pour un pirate informatique d’introduire sa charge dans une organisation. Les autres vecteurs d’attaque nécessitent soit un accès physique, soit une technique sophistiquée de piratage exigeant des compétences techniques et beaucoup de temps, soit une vulnérabilité non corrigée que des robots informatiques peuvent déceler. Les employés qui reçoivent des douzaines de courriels par jour sont susceptibles de faire des erreurs de jugement tôt ou tard et le but est de réduire la possibilité que cela se produise ainsi que les conséquences d’un tel incident.
Les lieux de travail devraient songer à offrir des formations plus souvent
Si vous envisagez d’augmenter la fréquence de vos activités de formation, voici deux éléments importants à considérer.
- N’exagérez pas. Si trop de cours obligatoires sont assignés, les employés se sentiront accablés par ce qui leur est demandé. Il existe un équilibre entre enseigner des comportements essentiels aux utilisateurs et leur prendre trop de temps.
- Les équipes des TI peuvent également envisager de recourir à la plateforme d’un tiers comme la formation sur la sensibilisation à la cybersécurité de CIRA afin de se libérer d’une partie du temps et des ressources nécessaires pour éduquer les employés. Des cours préconçus sur divers sujets et les simulations d’hameçonnage aident à apprendre aux utilisateurs les différents aspects de la sensibilisation à la cybersécurité.
Cela dit, il y a quelques raisons pour lesquelles une formation par année ne suffit peut-être pas :
- Adopter de nouveaux comportements prend du temps. Lorsque je discute de simulations d’hameçonnage avec les membres d’un auditoire, je leur indique souvent que les utilisateurs ont besoin de temps pour reconnaître les indices d’hameçonnage courants (comme les imitations de logos ou les URL suspectes) et prendre l’habitude de signaler ces courriels suspects au service des TI. Les formations mensuelles sur l’hameçonnage à l’aide de courriel donnent la chance aux utilisateurs de faire du signalement d’incidents une seconde nature. De plus, les cybercriminels évoluent constamment. Les points de contact de formation fréquents permettent aux équipes de sécurité d’éduquer les utilisateurs au sujet des nouvelles menaces et des tactiques utilisées.
- Les formations fonctionnent.Une des principales conclusions de notre recherche est que presque toutes les organisations (95 %) sont convaincues que la formation réduit efficacement les incidents de sécurité et les comportements à risque en ligne. Si les formations sont efficaces, augmenter leur fréquence (même si c’est uniquement avec un segment des utilisateurs à haut risque) pourrait réduire le nombre d’incidents.
- Les menaces évoluent au fil du temps et les formations doivent demeurer pertinentes. Bien que les fraudes et les cyberattaques aient normalement des éléments de base communs, les cybercriminels modifient constamment leurs tactiques pour parvenir à leurs fins. Les organisations semblent comprendre cette réalité, car elles adaptent leurs formations au télétravail. Notre recherche a dévoilé que huit organisations sur dix ont formé leurs employés sur le télétravail sécuritaire et que 79 % ont offert des formations sur l’utilisation sécuritaire de logiciels de vidéoconférence.
Lisez un autre blog de cette série où nous explorerons davantage la manière dont les organisations se sont adaptées à la pandémie du point de vue de la cybersécurité.
Erin apporte à CIRA son bagage du marketing dans les secteurs de l’enseignement supérieur et des organismes sans but lucratif. En 2016, elle a participé au Programme Jeunesse@IGF de l’ISOC et s’est rendue à Guadalajara, au Mexique, pour participer à l’IGF. Elle est titulaire d’un baccalauréat en commerce international délivré par l’Université Carleton.
