Security awareness training
À mesure que la technologie s’est répandue dans toutes les sociétés du monde, l’accent mis sur la sécurité de l’information a radicalement changé. Le nombre de personnes dont les fonctions professionnelles impliquent directement l’utilisation d’un ordinateur ou d’un système informatique a atteint des ordres de grandeur bien supérieurs à ceux observés il y a seulement quelques décennies. De plus, les individus sont aujourd’hui beaucoup plus habitués à utiliser des ordinateurs, des réseaux et des services d’échange de données dans leur vie privée qu’ils ne l’étaient encore en 2010.
La familiarité avec la technologie que les employés apportent sur leur lieu de travail peut réduire les coûts de formation opérationnelle et contribuer à améliorer la productivité. Elle engendre également des risques. À mesure que les barrières d’accès à l’espace de travail informatique ont diminué, celles qui protégeaient contre les cybermenaces se sont également affaiblies. Des script kiddies qui imitent les actions des professionnels de l’intrusion pour acquérir de l’expérience, aux amateurs de l’espionnage industriel à temps partiel, jusqu’aux membres de services de renseignement étrangers recrutés pour lancer des cyberattaques depuis l’intérieur des frontières — les entreprises font face à un paysage de menaces déroutant, qui comprend bien plus que quelques opérateurs utilisant une technologie domestique pour mener leurs attaques.
Les acteurs malveillants ont correctement identifié les utilisateurs comme le maillon le plus faible des fondations de la sécurité de l’information des entreprises modernes. La technologie de sécurité s’est considérablement améliorée ; en revanche, les utilisateurs sont plus vulnérables que jamais.
Lorsqu’ils sont confrontés à des courriels ou des appels téléphoniques semblant légitimes et prétendant provenir du support technique ou des services de sécurité de l’entreprise, et qu’on leur demande d’agir immédiatement, de nombreux employés ont tendance à obéir. Pire encore, en raison d’un manque de séparation des tâches et d’une mauvaise application du principe du moindre privilège, leurs comptes disposent souvent d’autorisations susceptibles de causer de graves dommages aux systèmes de l’organisation.
Pour contrer ces menaces, les entreprises doivent sensibiliser et former leurs employés aux principes adéquats de sécurité de l’information et de cybersécurité. Il est essentiel de renforcer la résistance face aux techniques d’ingénierie sociale utilisées par des individus non autorisés cherchant à les manipuler pour servir leurs objectifs malveillants. Ces tâches sont souvent simples : cliquer sur un lien, fournir un numéro de téléphone ou ouvrir une pièce jointe.
Enfin, rendre les utilisateurs plus résilients face aux tactiques des acteurs de la menace constitue l’un des objectifs principaux des programmes de formation et de sensibilisation à la sécurité. Mais ce n’est pas le seul : les utilisateurs représentent également la première ligne de défense, car une bonne formation et un jugement humain affûté peuvent permettre d’identifier des attaques en cours, même lorsqu’elles visent d’autres cibles.
Quand avez-vous suivi pour la dernière fois votre formation de sensibilisation à la sécurité ?
La familiarité avec la technologie que les employés apportent sur leur lieu de travail peut réduire les coûts de formation opérationnelle et contribuer à améliorer la productivité. Elle engendre également des risques. À mesure que les barrières d’accès à l’espace de travail informatique ont diminué, celles qui protégeaient contre les cybermenaces se sont également affaiblies. Des script kiddies qui imitent les actions des professionnels de l’intrusion pour acquérir de l’expérience, aux amateurs de l’espionnage industriel à temps partiel, jusqu’aux membres de services de renseignement étrangers recrutés pour lancer des cyberattaques depuis l’intérieur des frontières — les entreprises font face à un paysage de menaces déroutant, qui comprend bien plus que quelques opérateurs utilisant une technologie domestique pour mener leurs attaques.
Les acteurs malveillants ont correctement identifié les utilisateurs comme le maillon le plus faible des fondations de la sécurité de l’information des entreprises modernes. La technologie de sécurité s’est considérablement améliorée ; en revanche, les utilisateurs sont plus vulnérables que jamais.
Lorsqu’ils sont confrontés à des courriels ou des appels téléphoniques semblant légitimes et prétendant provenir du support technique ou des services de sécurité de l’entreprise, et qu’on leur demande d’agir immédiatement, de nombreux employés ont tendance à obéir. Pire encore, en raison d’un manque de séparation des tâches et d’une mauvaise application du principe du moindre privilège, leurs comptes disposent souvent d’autorisations susceptibles de causer de graves dommages aux systèmes de l’organisation.
Pour contrer ces menaces, les entreprises doivent sensibiliser et former leurs employés aux principes adéquats de sécurité de l’information et de cybersécurité. Il est essentiel de renforcer la résistance face aux techniques d’ingénierie sociale utilisées par des individus non autorisés cherchant à les manipuler pour servir leurs objectifs malveillants. Ces tâches sont souvent simples : cliquer sur un lien, fournir un numéro de téléphone ou ouvrir une pièce jointe.
Enfin, rendre les utilisateurs plus résilients face aux tactiques des acteurs de la menace constitue l’un des objectifs principaux des programmes de formation et de sensibilisation à la sécurité. Mais ce n’est pas le seul : les utilisateurs représentent également la première ligne de défense, car une bonne formation et un jugement humain affûté peuvent permettre d’identifier des attaques en cours, même lorsqu’elles visent d’autres cibles.
Quand avez-vous suivi pour la dernière fois votre formation de sensibilisation à la sécurité ?
Commentaires
Enregistrer un commentaire