Partager des articles ou des anecdotes pertinents, et encourager les autres à le faire également, peut susciter des discussions intéressantes et contribuer à l’instauration d’une culture de cyberconscience avancée au travail.
Rester à l’affût face aux nouvelles attaques des cybercriminels : quelques conseils pour une formation continue en cybersécurité
Déployer un programme de formation en cybersécurité dans votre entreprise est un véritable exploit. Mais votre rôle dans la réduction du risque de cybermenaces ne s’arrête pas au moment où tous vos employés terminent toutes les activités de formation et lorsque vous cochez une case pour officialiser la conformité de votre entreprise.
Une formation continue et une analyse permanente des données de formation vous aideront à déterminer comment mieux réduire les cyberrisques dans votre entreprise. De plus, les cybercriminels essaient toujours d’avoir une longueur d’avance en préparant des attaques plus sophistiquées.
ArsTechnica a récemment publié un article sur une tactique d’hameçonnage, nommée BitB, qui signifie « browser in the browser » (navigateur dans le navigateur). Il s’agit d’une fausse fenêtre de navigateur à l’intérieur d’une vraie fenêtre de navigateur pour usurper une page OAuth pour la capture d’informations d’identification. Bien que cette attaque ne soit pas nouvelle (elle a été signalée pour la première fois en 2020), elle illustre bien comment les cyberattaques peuvent être sophistiquées au point de tromper même les personnes qui connaissent bien la technologie.
Si vous cherchez à maintenir l’engagement des employés et à leur donner les moyens de reconnaître et de signaler les cybermenaces, voici quelques bonnes pratiques basées sur nos discussions avec les clients de notre plateforme de formation sur la sensibilisation envers la cybersécurité.
Conseils pour une formation continue en cybersécurité :
Faites lire des articles d’actualité pertinents à vos employés
« J’aime annoncer aux employés les dix mots de passe les plus populaires chaque année lorsque le rapport est publié. J’en profite pour leur rappeler que si l’un de ces mots de passe est semblable à celui qu’ils utilisent, ils doivent le modifier dès que possible, explique Eric Normandin, analyste de la sécurité de CIRA. Partager des articles ou des anecdotes pertinents, et encourager les autres à le faire également, peut susciter des discussions intéressantes et contribuer à l’instauration d’une culture de cyberconscience avancée au travail. »
Il peut s’agir simplement de partager un lien dans un groupe de clavardage réunissant tous les membres de l’entreprise, en ajoutant un peu de contexte, des instructions complémentaires ou un rappel de la politique du lieu de travail. En particulier, si une cyberattaque a lieu près de chez vous ou dans le secteur dans lequel vous travaillez, cela peut vous rappeler qu’aucune organisation n’est trop petite pour être la cible des cybercriminels.
Effectuez régulièrement des simulations d’hameçonnage
La plupart de nos clients décident d’envoyer chaque mois une simulation d’hameçonnage aux utilisateurs (choisie au hasard dans une banque de courriels rédigés d’avance). Cette cadence permet de créer l’habitude de reconnaître les signaux d’alarme des tentatives d’hameçonnage, sans pour autant déborder les utilisateurs avec trop de tests.
Les programmes de simulation d’hameçonnage sont un bon moyen de rappeler qu’on peut toujours apprendre quelque chose. Avec toute cette variété de tactiques utilisées dans les simulations (faire appel à différentes émotions, se présenter comme une organisation de confiance ou usurper une adresse électronique interne, par exemple), de nombreux administrateurs constatent que même leurs utilisateurs les plus compétents techniquement ne sont pas sur leurs gardes en tout temps.
Identifiez les groupes à haut risque
Certains départements de votre organisation, comme les finances, peuvent avoir accès à des données plus sensibles et il est donc logique de leur attribuer une formation supplémentaire. Au sein de notre plateforme de formation, vous pouvez facilement identifier ces groupes à haut risque en filtrant les rapports par département, grâce au mappage des divisions avec Active Directory. Vous pourrez consulter des rapports pour voir si certains départements sont plus enclins à cliquer sur un lien de simulation d’hameçonnage.
Assignez de nouveaux cours
Avec l’évolution vers le travail hybride et le télétravail, beaucoup de nos clients ont assigné des cours qui forment les employés sur des sujets tels que le fonctionnement des RPV et la cybersécurité en télétravail. La protection de la vie privée, les attaques basées sur les réseaux sociaux et l’hygiène des mots de passe ont également été des sujets de cours très répandus l’année dernière.
Plus de conseils sur le programme de formation
En nous appuyant sur les meilleures pratiques et en discutant avec des centaines de clients qui ont lancé le programme de formation en cybersécurité dans leur entreprise, nous avons élaboré un guide pour aider les administrateurs à utiliser avec succès la formation. Il n’est peut-être pas possible de se protéger totalement des cyberattaques, mais grâce à ces conseils, vous fournirez à vos employés les outils dont ils ont besoin pour vous aider à garder une longueur d’avance.
Erin apporte à CIRA son bagage du marketing dans les secteurs de l’enseignement supérieur et des organismes sans but lucratif. En 2016, elle a participé au Programme Jeunesse@IGF de l’ISOC et s’est rendue à Guadalajara, au Mexique, pour participer à l’IGF. Elle est titulaire d’un baccalauréat en commerce international délivré par l’Université Carleton.
