Identification des risques et protection de votre organisation
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Décrire comment les spécialistes de la sensibilisation à la sécurité identifient les risques et les besoins en formation
- Présenter les types de programmes de sensibilisation implémentés par les professionnels de la sensibilisation à la sécurité
Identification des risques et des besoins en formation
Saviez-vous que les attaques par rançongiciels sont l’une des formes de cyberattaques les plus répandues et les plus dommageables ? Elles ont touché aussi bien des petites entreprises que des villes et des hôpitaux. Un rançongiciel est un type de logiciel malveillant conçu pour bloquer l’accès à un système informatique jusqu’à ce qu’une somme d’argent soit versée. Il fonctionne généralement en chiffrant les fichiers de l’ordinateur atteint, ce qui les rend inaccessibles. La plupart des rançongiciels sont transmis par des e-mails qui semblent légitimes et incitent les utilisateurs à cliquer sur un lien ou à télécharger une pièce jointe qui contient un logiciel malveillant. Ils peuvent également être diffusés via un site Web malveillant ou envoyés via les messageries des réseaux sociaux. L’impact d’une attaque par rançongiciels peut être dévastateur pour une organisation et, malheureusement, de nombreux employés de bureau n’ont pas conscience de cette menace. Étant donné que les pirates informatiques comptent sur les erreurs humaines pour diffuser des rançongiciels ou envoyer des e-mails d’hameçonnage à un utilisateur, une formation de sensibilisation à la cybersécurité est essentielle pour assurer la sécurité d’une organisation.
Lorsqu’ils décident du type de formation à implémenter, les spécialistes de la sensibilisation à la sécurité commencent par identifier les menaces, les vulnérabilités et les risques les plus pertinents pour leur organisation. Ce faisant, ils mettent en place un réseau de sensibilisation à la sécurité auprès des principales parties prenantes de l’organisation pour s’assurer qu’elles comprennent les risques et les objectifs commerciaux. Ensuite, ils examinent les rôles et les fonctions dans l’organisation pour identifier les connaissances, les compétences et les capacités nécessaires pour assurer la défense de l’entreprise, en accordant une attention particulière à la formation dont les utilisateurs privilégiés (administratifs) ont besoin. Ces étapes sont référencées dans le contrôle 14 du Center for Internet Security.
Le spécialiste de la sensibilisation à la sécurité explore également les lacunes en posant des questions critiques. Quels types de comportements des utilisateurs mettent l’organisation en danger ? Les utilisateurs savent-ils comment repérer un e-mail d’hameçonnage ? Quels contrôles sont en place pour détecter et empêcher les utilisateurs internes malveillants de causer des dommages ? Les spécialistes de la sensibilisation à la sécurité prennent également en compte les types de lois, de réglementations et d’exigences de conformité qui s’appliquent à leur organisation. Ils s’assurent que les utilisateurs ont conscience de leurs responsabilités en ce qui concerne ces exigences et adaptent également les initiatives de formation aux politiques de sécurité de l’entreprise. Ils travaillent avec l’équipe chargée de l’élaboration des politiques pour s’assurer que ces dernières sont mises à jour de manière à être conformes à la réglementation en vigueur et qu’elles sont claires pour les employés.
Implémentation d’initiatives de formation et de sensibilisation
Les spécialistes de la sensibilisation à la sécurité disposent de toute une gamme d’outils pour former le personnel à défendre l’organisation contre l’ingénierie sociale, l’hameçonnage, les rançongiciels, les utilisateurs internes malveillants et d’autres types de menaces. Les spécialistes de la sensibilisation à la sécurité planifient, conçoivent, développent, implémentent et gèrent un programme de sensibilisation complet. Ils créent du contenu de sensibilisation à la sécurité pour de multiples canaux, tels que les réseaux sociaux et les sites intranet. Ils diffusent également des communications techniques aux utilisateurs pour les informer de l’évolution des menaces, des nouvelles exigences réglementaires ou des changements apportés à la politique de l’entreprise. Ils créent des supports d’e-learning, tels que des formations en ligne, du contenu vidéo, des podcasts, des webinaires ou des forums de discussion.
Les formations peuvent être propres à un poste ou axées sur le renforcement des compétences du personnel contre des menaces spécifiques tirant parti des faiblesses des comportements humains. Par exemple, une formation propre à un poste peut notamment consister à apprendre à des analystes du centre des opérations de sécurité à utiliser un nouvel outil permettant de détecter les activités anormales sur le réseau. Les spécialistes peuvent également développer une formation destinée aux développeurs d’applications sur la façon d’assainir leur code pour le protéger contre les vulnérabilités d’injection et contribuer à sécuriser le cycle de vie du développement logiciel (SDLC). En règle générale, ils élaborent des formations sur les réglementations qui s’appliquent au travail d’un employé, pour l’aider à comprendre son rôle pour garantir la conformité de l’organisation. Par exemple, cela peut consister à prodiguer à un employé qui implémente des solutions d’authentification pour l’accès à distance, une formation sur les normes de sécurité des données de la PCI (Industrie des cartes de paiement) en lui transmettant des informations relatives aux meilleures pratiques de la PCI pour assurer la conformité PCI DSS.
D’autres types de formations et d’actions de sensibilisation peuvent avoir pour objectif d’attirer l’attention des utilisateurs sur des menaces spécifiques ou de tester des procédures organisationnelles par le biais de simulations. Par exemple, les spécialistes de la sensibilisation à la sécurité organisent souvent des exercices de formation pour attirer l’attention sur l’hameçonnage. Cela peut consister à former les utilisateurs à reconnaître les e-mails malveillants ou à protéger leur présence sur les réseaux sociaux contre l’ingénierie sociale. De nombreuses organisations utilisent également des e-mails d’hameçonnage simulés afin de s’assurer que les utilisateurs restent vigilants face à cette menace et d’évaluer la fréquence à laquelle les employés tombent dans le piège des tels messages. Cela permet de déterminer quel type de formation corrective est nécessaire pour modifier le comportement des utilisateurs.
Il existe aussi des formations composées d’exercices de mise en situation et de simulations, qui peuvent être réalisées avec le personnel opérationnel ou avec des cadres. Ces sessions de formation permettent à une équipe de participer à la simulation d’un scénario réel, tel qu’une attaque de rançongiciel, pour qu’elle puisse découvrir comment fonctionnent les processus de réponse organisationnels. Ces sessions peuvent également mettre en évidence les domaines dans lesquels il existe des lacunes et pour lesquels il serait judicieux d’approfondir les formations ou de renforcer les politiques/processus.
Les entreprises peuvent développer en interne des formations en ligne, des simulations d’hameçonnage et des exercices de mise en situation, ou sous-traiter ces tâches à un fournisseur de formation et de sensibilisation. Dans ce cas, le spécialiste de la sensibilisation à la sécurité supervise et gère les relations avec les fournisseurs, et s’assure qu’ils atteignent les objectifs de formation de l’entreprise. Alors, comment le spécialiste s’assure-t-il que les initiatives de formation remplissent leurs objectifs ? Vous le découvrirez dans la prochaine unité, qui traite de la détection des risques et de l’intégration de vos activités de sensibilisation à la sécurité aux dispositifs de réponse aux incidents.
