Selon Verizon, au cours de l’année écoulée, au niveau mondial, les trois quarts (74 %) des violations incluent « l’élément humain », cela signifie dans de nombreux cas une erreur, une négligence ou des utilisateurs victimes de phishing et d’ingénierie sociale. Les programmes de sensibilisation à la sécurité sont un outil important pour limiter ces risques. Mais il n’y a pas de voie rapide vers le succès. Il faut tout simplement changer le comportement des utilisateurs sur le long terme.
Cela ne peut se faire que si on établit des programmes en continu, permettant de bien garder la

formation en mémoire. Et veiller à ce que personne ne soit oublié, y compris les intérimaires, les sous-traitants et les cadres supérieurs. N'importe qui peut être ciblé, il suffit d'une seule erreur pour permettre aux criminels d’avoir accès. Il faut donc organiser des formations par petites étapes, pour que les messages restent bien en mémoire et prévoir des exercices de simulation ou de gamification pour expliquer une menace particulière.
Les formations peuvent même être personnalisées en fonction des tâches et des secteurs spécifiques, afin de les rendre plus pertinentes. Et les techniques de gamification sont un complément utile pour rendre la formation plus engageante et plus mémorisable.

1) BEC et phishing
La fraude Business Email Compromise (BEC) (compromission de mail professionnel), qui utilise des messages de phishing ciblés, reste une des catégories de cybercriminalité les plus rémunératrices. Dans les cas signalés au FBI l’an dernier, les victimes ont perdu plus de 2,7 milliards de dollars. C’est un crime fondé sur l’ingénierie sociale, consistant à inciter la victime à approuver un transfert de fonds de l’entreprise vers un compte contrôlé par l’escroc.
Différentes méthodes permettent d’y parvenir, en se faisant passer pour un PDG ou un fournisseur, et celles-ci peuvent être intégrées dans des exercices de sensibilisation au phishing. Elles doivent être combinées avec des investissements en sécurité avancée pour la messagerie électronique, des processus de paiement robustes et une double vérification de toutes les demandes de paiement.

Le phishing existe depuis des décennies et reste un des principaux vecteurs d'accès aux réseaux d'entreprise. Grâce aux travailleurs distraits et au télétravail, les criminels ont encore plus de chances d’atteindre leurs buts. Mais dans de nombreux cas, les tactiques évoluent, tout comme les formations de sensibilisation au phishing. Ici, les simulations en direct peuvent réellement contribuer à modifier le comportement des utilisateurs. Pour 2024, il faut inclure du contenu sur le phishing via des applis de SMS ou de messagerie (smishing), des appels vocaux (vishing) et de nouvelles techniques comme le contournement de l'authentification multifacteur (MFA).
Les tactiques d'ingénierie sociale changeant très souvent, il vaut donc mieux travailler avec un formateur qui peut mettre à jour le contenu de ses cours.

2) Sécurisation du télétravail et du travail hybride
Depuis longtemps, les experts disent que les employés sont plus susceptibles d’ignorer les directives /politiques de sécurité ou tout simplement de les oublier lorsqu’ils sont en télétravail. Une étude démontre que 80 % des travailleurs admettent que le télétravail, le vendredi en été, les rend plus détendus et distraits. Cela peut les exposer à un risque de compromission élevé, en particulier si les réseaux et les appareils domestiques sont moins bien protégés que leurs équivalents en entreprise. Les programmes de formation doivent donc intervenir avec des conseils sur les mises à jour de la sécurité pour les laptops, la gestion des mots de passe et l'utilisation limitée aux appareils approuvés par l'entreprise. Et doit s’accompagner d’une formation de sensibilisation au phishing.

La cyber-sécurité pour le lieu de travail hybride :
The hybrid workplace: What does it mean for cybersecurity?
Protecting the hybrid workplace through Zero Trust security
Tackling the insider threat to the new hybrid workplace
Why cloud security is the key to unlocking value from hybrid working
Examining threats to device security in the hybrid workplace

Aujourd’hui, le travail hybride est devenu la norme pour beaucoup d’entreprises. Une étude affirme que 53 % d’entre elles ont mis en place une politique sécuritaire et ce chiffre va augmenter. Mais se rendre au bureau ou travailler depuis un lieu public comporte des risques. D’une part, cela concerne les menaces provenant des points d’accès Wi-Fi publics qui peuvent exposer les travailleurs mobiles à des attaques d’adversaire au milieu (AitM), où les pirates accèdent à un réseau et écoutent les données circulant entre les appareils connectés et le routeur, et d’autre part les menaces « evil twin » (jumeaux maléfiques) où les criminels configurent un double point d'accès Wi-Fi se faisant passer pour un point d'accès légitime dans un endroit spécifique. Les séances de formation peuvent être une bonne occasion de rappeler au personnel les dangers du surf par-dessus l’épaule (shoulder surfing).

3) Protection des données

Depuis que les régulateurs répriment la non-conformité, les amendes du RGPD ont augmenté de 168 % par an pour atteindre plus de 2,9 milliards d’euros en 2022. C’est un argument suffisamment solide pour que les organisations s'assurent que leur personnel respecte correctement les politiques de protection des données.
Une formation régulière est un des meilleurs moyens pour garder à l’esprit les meilleures pratiques en gestion des données. Cela veut dire l'utilisation d'un cryptage fort, une bonne gestion des mots de passe, la sécurité des appareils et le signalement immédiat, au contact concerné, de tout incident.

Le personnel peut aussi bénéficier d'une actualisation de l'utilisation de la copie carbone invisible (CCI-BCC), une erreur courante qui entraîne des fuites involontaires de données par e-mail ainsi que d'autres formations techniques. Et ils devraient toujours se demander si ce qu’ils publient sur les réseaux sociaux ne devrait pas rester confidentiel.
Les cours de sensibilisation sont essentiels dans toute stratégie de sécurité. Mais ils ne peuvent pas fonctionner isolément. Les organisations doivent disposer de politiques de sécurité strictes, appliquées avec des contrôles et des outils stricts tels que la gestion des appareils mobiles. « Personnes, processus et technologie » est la base d’une culture d'entreprise plus cyber-sécurisée.

A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/