Convaincre vos collaborateurs d’adopter les bons réflexes en matière de cybervigilance, il faut plus que des campagnes de sensibilisation.
Les rançongiciels représentent la menace informatique actuelle la plus sérieuse pour les entreprises et les institutions comme le précise le récent rapport de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
En effet, près de 3 entreprises sur 4 infectées par un rançongiciel passent deux jours ou plus sans avoir accès à leurs fichiers.
30 % d’entre elles passent cinq jours ou plus, et ce malgré les sommes investies dans des outils de sécurité sophistiqués conçus pour détecter et prévenir les cyberattaques.
Les raisons sont nombreuses : les dispositifs mal configurés, tout comme les systèmes de sécurité trop compliqués, des solutions qui s’empilent et qui peuvent en fait réduire la visibilité.
Plus de 90 % de toutes les compromissions réussies, comme pour les rançongiciels, commencent par un simple email. Un utilisateur ouvre un fichier malveillant ou clique sur un lien envoyé par quelqu’un qu’il ne connaît pas.
Des études ont montré que jusqu’à 94 % des employés – et 96 % des cadres – ne peuvent pas faire la différence entre les vrais e-mails et les e-mails de phishing.
C’est particulièrement difficile lorsqu’il s’agit d’attaques ciblées (Spear Phishing, Fraude au président). Dans ce cas, les emails sont spécialement conçus pour tromper des cibles spécifiques au sein d’une organisation.
Prenez conscience du problème
La réponse évidente à ces problèmes est de sensibiliser davantage les collaborateurs et de les former à la cybersécurité.
Toutefois, l’un des paradoxes aujourd’hui est que la plupart de vos collaborateurs sont déjà sensibilisés aux questions de cybersécurité et aux meilleures pratiques.
Par exemple, la grande majorité d’entre eux savent que les mots de passe doivent être complexes et qu’ils doivent être changés souvent, qu’ils ne doivent pas cliquer sur les pièces jointes des emails, en particulier ceux provenant de personnes qu’ils ne connaissent pas.
Vos collaborateurs savent également que les données importantes doivent être protégées voire chiffrer.
Le problème, c’est qu’ils ne font tout simplement rien de tout cela.
Cette raison prend racine dans la pratique de la sécurité et l’état d’esprit de l’utilisateur.
D’une part, nous avons poussé les utilisateurs à adopter certaines pratiques.
Par exemple, plutôt que de développer un système simplifié pour gérer l’accès sécurisé à tous leurs comptes en ligne, les utilisateurs sont obligés de garder une trace de ces mots de passe par eux-mêmes.
Ainsi, ils utilisent le nom de leur animal de compagnie, leurs données personnelles comme pour leur mot de passe (date de naissance, prénom de leur enfant …).
D’autre part est que les collaborateurs ne s’approprient pas les principes sécurité que l’organisation met en œuvre.
Dans une enquête récente, près de la moitié des collaborateurs ont indiqué qu’ils pensaient que, bien qu’elle soit importante, la cybersécurité est la responsabilité de quelqu’un d’autre. Le responsable c’est donc « l’autre » !
Commencez par l’essentiel
Premièrement, cela commence par un engagement du sommet vers la base.
L’équipe dirigeante doit aussi assurer son engagement total pour promouvoir et mettre un bon comportement en matière de sécurité.
Elle doit également réaliser avec tous les managers un point sur les problèmes de sécurité auxquels l’entreprise est confrontée.
Vous devez également vous entourer de bonnes compétences internes et avoir préalablement identifié les compétences externes aptes à vous assister.
Malgré les efforts de l’équipe de sécurité, les courriels de phishing et les logiciels malveillants peuvent passer au travers. Ces derniers sont en mesure de vous aider à vous protéger ou à répondre efficacement.
Deuxièmement, vous devez également remettre à plat certains comportements très élémentaires.
Il est dans la nature humaine de ne rien dire, même lorsque quelque chose de préjudiciable se passe.
C’est pourquoi moins de 5 % des employés parleront ou signaleront des comportements suspects, tels que des inconnus qui téléphonent ou adressent un email pour recueillir des informations.
Une façon de remédier à ce problème est de mettre en place un système de reconnaissance pour les collaborateurs qui font ce qu’il faut.
De nombreuses organisations mènent des campagnes internes de phishing pour identifier les personnes qui cliquent sur des liens potentiellement malveillants.
Mais plutôt que de se contenter d’orienter les personnes qui échouent à ces tests vers une sorte de formation de rattrapage, il faut mettre en place un système qui reconnaisse les personnes qui signalent un courriel suspect à un manager.
C’est d’ailleurs cette approche que nous avons choisie pour Digital Crisis Response.
Modifiez votre profil de risque
En associant correctement vos employés à vos efforts de sécurité, vous pouvez réduire considérablement votre exposition aux attaques par rançongiciels et par phishing.
Pour ce faire, il faut cesser d’aller au plus simple qui consiste à mettre en place une énième application destinée à détecter et analyser les menaces.
Il faut être plus proactif en mettant en place une application qui motive les utilisateurs à changer volontairement leurs comportements.
Prendre rendez-vous pour tester Digital Crisis Response ? Besoin d’un complément d’information ? Contactez-nous
Sources :
État de la menace rançongiciel à l’encontre des entreprises et institutions – ANSSI, Février 2020
Large Majority of Enterprise Employees Understand What Effective Security Practices – Dtex Systems, Février 2019
Annual security report, Verizon 2017
Harpooning executives – intermedia, 2015
Ransomware, The new threat to business uptime – Intermedia, 2020
Managing the Human Security Factor in the Age of Ransomware – threatpost, Novembre 2019
Human Factor report 2019 – proofpoint, 2019