Présentation de la sensibilisation à la sécurité
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Définir ce qu’est la sensibilisation à la sécurité
- Décrire l’importance d’avoir un programme de sensibilisation à la sécurité
Présentation de la sensibilisation à la sécurité
Quel que soit l’endroit où vous travaillez, la confiance, la sécurité et la tranquillité d’esprit des employés et des clients sont probablement des valeurs importantes pour vous. Pour que votre organisation puisse maintenir la confiance, il est essentiel que tous ses membres participent activement à un programme de cybersécurité dans le cadre de leurs tâches quotidiennes. Cela implique de comprendre les procédures de cybersécurité et de savoir quand et comment demander de l’aide.
Les organisations implémentent des programmes de sensibilisation à la sécurité afin de promouvoir une culture de la cybersécurité en leur sein. L’objectif de ces programmes est de présenter aux utilisateurs les menaces potentielles et de les sensibiliser au sujet des situations susceptibles de mettre en danger les données, les systèmes ou les réseaux. Les organisations ont recours aux programmes de sensibilisation à la sécurité pour inculquer un sentiment de responsabilité et d’utilité aux employés qui traitent et gèrent des informations sensibles. Les employés doivent prendre conscience que leur comportement au quotidien et les décisions qu’ils prennent sont d’une importance fondamentale pour assurer la sécurité des organisations.
L’un des objectifs d’un programme de sensibilisation à la sécurité est de réduire les risques que court une organisation. Plus les employés sont conscients des menaces potentielles et de la manière dont ils peuvent les atténuer, moins l’organisation risque d’être vulnérable aux attaques. Les spécialistes de la sensibilisation à la sécurité s’efforcent de permettre à chaque utilisateur de prendre sa part de responsabilité dans la protection de l’organisation. Ils appliquent également les politiques et procédures mises en place par l’organisation pour protéger ses données en proposant des formations et en évaluant la conformité.
Importance de la sensibilisation à la sécurité
Lorsque les employés sont sensibilisés à la sécurité et s’en préoccupent, ils s’efforcent de promouvoir des pratiques de cybersécurité efficaces autour d’eux. Cet aspect humain de la cybersécurité est particulièrement crucial pour sécuriser les données, puisque les attaquants ciblent souvent les utilisateurs faisant partie de la chaîne de sécurité d’une organisation. Tous les dispositifs de contrôle techniques du monde (systèmes de détection d’intrusion, pare-feux, prévention des pertes de données, etc.) ne suffiront pas à protéger les données si les utilisateurs ne comprennent pas les politiques et les procédures, la manière d’utiliser les outils et la marche à suivre en cas de violation.
Voici quelques méthodes d’attaque courantes utilisées pour exploiter l’aspect humain de la chaîne de sécurité.
- Les logiciels malveillants sont des logiciels pirates qui tentent d’endommager les appareils, de voler des données ou de compromettre les systèmes informatiques en incitant les utilisateurs à télécharger des virus, des chevaux de Troie et des logiciels espions sur leur ordinateur.
- L’hameçonnage est un type d’attaque consistant en l’envoi par une personne malveillante d’e-mails prétendant provenir d’entreprises ou de particuliers réputés afin d’inciter un utilisateur à révéler des informations personnelles, telles qu’un nom d’utilisateur et un mot de passe.
- L’ingénierie sociale est une tactique utilisée par les attaquants pour manipuler les individus afin qu’ils réalisent une action souhaitée. L’ingénierie sociale peut être utilisée pour renforcer l’effet des logiciels malveillants ou de l’hameçonnage. Par exemple, un attaquant peut utiliser les réseaux sociaux pour identifier le nom d’un employé d’une entreprise qui occupe un poste dans le domaine de la sécurité. L’attaquant peut ensuite recourir à l’ingénierie sociale pour découvrir l’école que fréquente la fille de l’employé et lui envoyer, en usurpant l’adresse e-mail de l’établissement, un e-mail auquel est joint un fichier PDF. Ce PDF peut inclure des informations sur des fermetures d’urgence liées aux conditions météorologiques dans la région, créant ainsi chez la victime un sentiment qui la pousse à agir de manière précipitée. L’attaquant peut intégrer un logiciel malveillant dans le PDF, de sorte que lorsque l’employé l’ouvre, un fichier malveillant est téléchargé et exécuté. L’utilisation d’informations personnelles sur l’employé via l’ingénierie sociale augmente les chances de succès de l’attaque.
- Lorsqu’un employé de l’entreprise agit de façon inappropriée pour accéder à des données, les modifier ou les supprimer, cela constitue ce que l’on appelle une menace interne. L’employé peut commettre de tels actes à des fins financières, d’espionnage ou encore parce qu’il est mécontent, par exemple parce qu’il n’a pas reçu de promotion ou qu’il a découvert qu’il allait être licencié. Des outils spéciaux sont nécessaires pour suivre et surveiller les menaces internes potentielles. Les autres employés jouent également un rôle clé dans le signalement des activités suspectes. Il existe également des menaces internes involontaires, qui se manifestent lorsque des employés se comportent de manière inconsciente et commettent des erreurs qui mettent l’organisation en danger. Par exemple, cela peut consister en l’envoi d’un e-mail contenant des informations confidentielles à la mauvaise personne. Dans l’environnement de travail actuel, où les distractions sont nombreuses et les employés doivent agir vite, les erreurs sont inévitables.
- Les pertes de données ont lieu lorsque des données sont détruites accidentellement ou intentionnellement, partagées avec des parties non autorisées ou utilisées à des fins non autorisées. Une perte de données peut survenir si un employé modifie accidentellement ou délibérément les informations du compte d’un client. Un tel cas de figure se produit également si un employé transfère des informations sur une clé USB externe et la perd. Si un employé envoie accidentellement par e-mail des données sensibles, telles que le numéro de sécurité sociale d’un client, à un tiers, cela constitue également une perte de données. L’organisation de formations appropriées sur le traitement des données sensibles, ainsi que l’implémentation de politiques et de contrôles techniques visant à prévenir la perte de données sont indispensables pour améliorer la sensibilisation à ce problème.
La sensibilisation à la sécurité renforce la capacité d’une organisation à se protéger contre l’exploitation des faiblesses et des erreurs humaines. Les politiques et procédures de sécurité servent de base aux programmes de sensibilisation à la sécurité en documentant comment les utilisateurs sont censés protéger leurs données, qui est responsable de quelles tâches et que faire en cas d’urgence. Une fois ces éléments de base en place, il est judicieux d’implémenter un programme de sensibilisation à la sécurité et d’organiser des formations connexes destinées aux utilisateurs. La sensibilisation à la sécurité devenant une priorité, les organisations peuvent alors se concentrer sur l’implémentation de mesures de sécurité telles que la gestion des correctifs, l’agrégation des journaux et le déploiement de protections antivirus. Lorsque ces contrôles sont implémentés et que les utilisateurs comprennent comment les utiliser, les programmes de sensibilisation à la sécurité établissent et collectent des métriques de performance clés. Ces métriques aident à mieux comprendre à quel point l’organisation se conforme aux politiques et procédures et à déterminer si le programme de sensibilisation atteint ses objectifs.
Ressources
-
Site externe : Forum économique mondial (FEM) : Qu’arrive-t-il à une organisation lorsqu’elle n’a pas de culture de la sécurité ?
-
Trailhead : Principes de cybersécurité pour les dirigeants
