Aller au contenu principal
  • Cybersécurité

Certains groupes d’employés sont-ils plus à risque face aux cybermenaces?

Par Erin Hutchison
Spécialiste des communications

L’accès, l’autorité et l’éducation sont des facteurs qui font que certains groupes sont plus à risque, ce qui pourrait signifier qu’ils devraient bénéficier d’une formation en cybersécurité supplémentaire.

Personne n’est à l’abri des cybermenaces. Nous constituons tous une cible et nous pouvons tous (même les informaticiens) avoir une mauvaise journée, nous faire prendre au dépourvu suite à une distraction, ou devenir trop arrogants pour croire qu’on se laisserait prendre au piège d’une escroquerie par hameçonnage.

Mais certains facteurs font que certains groupes d’employés sont plus à risque, ce qui pourrait signifier qu’ils devraient bénéficier d’une formation à la cybersécurité personnalisée ou supplémentaire.

Voici quelques questions à poser pour identifier ces groupes à haut risque.

À quels systèmes et données ont-ils accès?

L’équipe Web dispose d’un accès administrateur à votre site Web. Les départements des finances et de la comptabilité s’occupent des paiements. Les RH conservent probablement des données sensibles sur les employés. Chaque département, ainsi que les divers rôles au sein de chaque département, a accès à des données et des systèmes. Si ceux-ci devaient être compromis, cela affecterait la capacité de votre organisation à fonctionner.

N’oubliez pas qu’il y a des personnes autres que les employés traditionnels qui ont également accès aux systèmes. Les entrepreneurs et les stagiaires, par exemple, ne sont peut-être pas les premières personnes qui viennent à l’esprit lors de l’évaluation des risques pour votre organisation, mais ils sont cependant tout aussi vulnérables. N’oubliez pas de leur fournir également une formation en cybersécurité.

Quels pouvoirs spéciaux et quelle influence ont-ils?

La chasse à la baleine est une forme courante d’hameçonnage qui cible les cadres dans l’espoir d’accéder à des renseignements plus rentables ou plus sensibles. Cela signifie que les membres de l’équipe dirigeante courent un risque plus élevé d’être la cible de cybercriminels.

Une autre tactique courante d’hameçonnage consiste à usurper un courriel pour donner l’impression qu’il provient d’une personne occupant un poste élevé. Une demande d’accès à la connexion ou de paiement qui semble provenir d’un grand patron augmente l’urgence et la pression de cliquer sur le lien.

Quelle formation ont-ils reçue? Ont-ils cliqué sur des liens dans des simulations d’hameçonnage?

Lorsqu’un utilisateur commence la Formation en cybersécurité de CIRA, sa cote de cyberrisque est plus élevée, car il n’a pas encore démontré qu’il comprend les principes de base de la cybersécurité. Une fois qu’il aura suivi la formation de base, sa cote de cyberrisque s’améliorera. Au fur et à mesure qu’il continuera à signaler des courriels d’hameçonnage suspects au département des TI, sa cote de cyberrisque continuera à diminuer. S’il s’avère qu’il se fait toujours prendre par les simulations d’hameçonnage (les administrateurs informatiques peuvent apprendre comment identifier ces personnes lors de la formation), sa cote de cyberrisque augmentera et une formation supplémentaire sera automatiquement attribuée.


Que pouvez-vous faire pour aborder les groupes présentant un cyberrisque élevé?

Vous pouvez accepter qu’il y aura toujours une forme de cyberrisque avec certains groupes, mais voici quelques conseils pour vous aider à protéger les données et les systèmes de votre organisation :

  • Attribuez une formation supplémentaire : créez un flux de travail spécialisé pour certains départements ou rôles (combinaison de cours et de simulations d’hameçonnage ciblées)
  • Mettez en œuvre de nouveaux processus, outils et politiques : examinez la manière dont les employés demandent et accordent l’accès aux systèmes; introduisez des outils tels qu’un gestionnaire de mots de passe; ayez un processus clair pour traiter les paiements des fournisseurs
  • Mettez en œuvre un contrôle d’accès basé sur les rôles (RBAC) : chaque employé doit être en mesure d’accéder uniquement aux données nécessaires pour effectuer son travail. En outre, il est dangereux de supposer que les personnes qui occupent des postes de haut niveau devraient avoir accès à tout. Elles n’ont probablement pas besoin d’accéder à ces systèmes au quotidien.
  • Formation continue : les nouveaux employés ne connaissent pas encore les processus appropriés qui suivent les normes de cybersécurité et sont donc davantage exposés aux cyberrisques. Ceci dit, les employés de longue date peuvent aussi devenir complaisants et peuvent également être facilement victimes d’un hameçonnage. C’est pourquoi la formation continue est importante. La plupart de nos clients de formation optent pour l’envoi de simulations d’hameçonnage automatisées sur une base mensuelle.
  • Mesures plus extrêmes : tout le monde joue un rôle dans la sécurité des données et des systèmes d’une organisation, et pour les personnes qui se font prendre souvent, cela justifie une discussion impliquant le responsable sur les conséquences potentielles de leur comportement ou même la restriction de leur accès aux systèmes.

À propos de l’auteur
Erin Hutchison

Erin apporte à CIRA son bagage du marketing dans les secteurs de l’enseignement supérieur et des organismes sans but lucratif. En 2016, elle a participé au Programme Jeunesse@IGF de l’ISOC et s’est rendue à Guadalajara, au Mexique, pour participer à l’IGF. Elle est titulaire d’un baccalauréat en commerce international délivré par l’Université Carleton.

Chargement…