Il est important de noter que :
- La cybercriminalité continue d’augmenter le nombre d’attaques et la perte de valeur,
- La formation du personnel et la culture d’entreprise restent le maillon le plus faible du processus de sécurité.
La pandémie actuelle de virus rend le point 2 extrêmement important car le nombre d’attaques augmente et la main-d’œuvre se distancie socialement et travaille à domicile. Cela signifie que le fardeau de la sécurité pèse de plus en plus sur les épaules de chaque employé.
Le risque
Les entreprises perdraient des millions, des milliards et, en 2020, des milliards de dollars. Les chiffres augmentent – admettons simplement que le risque augmente et est important et ne vous inquiétez pas de la valeur absolue. Varonis a dressé une liste de 110 statistiques relatives à la cybersécurité en 2020. Cela rend la lecture choquante, et tout le monde serait sage de l’examiner au moins une fois. Construire un mur autour de vos systèmes informatiques n’est plus considéré comme la meilleure approche; quelqu’un trouvera un chemin. Surtout si vous avez des systèmes plus anciens qui ne peuvent pas ou n’ont pas été mis à jour. Une entreprise malchanceuse doit être la première à succomber à une faiblesse jusque-là inconnue. Et si c’est votre entreprise, vous devez avoir un autre plan qu’un simple mur plus haut. L’approche traditionnelle – Prévenir-Détecter-Répondre – n’est pas adaptée au monde d’aujourd’hui.
Choisir la meilleure approche
Si vous succombez à une attaque, il est essentiel que vous sachiez où se trouvent vos précieux systèmes et données. Ensuite, vous pouvez les protéger et vous préparer à l’attaque. Et lorsque cela se produit, votre besoin de savoir le plus tôt possible et vos employés doivent réagir. Ensuite, après l’attaque, vous pouvez démarrer le processus de récupération. La nouvelle approche doit être:
- Identifier
- Protéger
- Détecter
- Répondre
- Récupérer
Ces étapes sont discutées plus en détail dans le cadre du NIST.
Le rôle de l’employé
Afin d’identifier une attaque, vos employés ont besoin d’une certaine compréhension de la cybersécurité. Il semble donc logique, surtout aujourd’hui, que la solution commence par l’éducation des employés. Suivez cette première étape en gardant vos systèmes «corrigés» et à jour.
Faire participer les employés
En acceptant que le risque d’attaque soit toujours présent, les employés doivent penser à la sécurité. Cela s’applique partout, en ajoutant une nouvelle imprimante, en commençant un nouveau projet, en recrutant un nouveau membre de l’équipe. Et cela s’applique tout le temps. Cela doit devenir une seconde nature.
Certaines statistiques de la sortie de la société de sécurité fournissent une sauvegarde de la raison pour laquelle les employés sont essentiels. En août 2019: 4856 violations de données personnelles signalées au Commissariat à l’information (ICO) entre le 1er janvier et le 20 juin 2019, 60% étaient le résultat d’une erreur humaine.
L’an dernier également, le rapport d’enquête sur les violations de données, de Verizon, souligne le rôle des initiés dans les violations. Il varie de 5% à 59% avec une moyenne de 32%. Ajoutez à ces chiffres les étrangers qui ciblent les employés, par exemple par e-mail, et vous pouvez voir pourquoi les employés sont si importants.
La culture d’entreprise, du PDG à la baisse, stimule l’engagement et la conformité à la politique de sécurité et l’intègre dans le travail quotidien de chacun.
Nous recherchons des changements simples pour montrer que le changement est en cours. Nous ne nous contentons plus de cliquer sur des liens, d’ouvrir une pièce jointe dans un e-mail, de ne plus prendre une clé USB et de la brancher. S’ils le font, espérons-le, un outil qui informe immédiatement l’utilisateur qu’il prend un risque. Et à ce stade, il doit y avoir une rétroaction immédiate et une formation pour les personnes impliquées. Tout le monde doit savoir que la sécurité ne s’applique pas uniquement à l’environnement de bureau. Également:
Travail à la maison:
Les pratiques de travail flexibles et le travail à domicile sont essentiels pour tout le monde aujourd’hui. À domicile, les employés devraient au moins utiliser le modèle Prevent-Detect-Respond avec un pare-feu dans leur point d’accès sans fil et / ou à large bande. Mieux vaut vérifier cela cependant, et ces mots de passe par défaut. Ils peuvent également avoir un service cloud ou 2 et plus souvent plusieurs appareils IoT connectés dans leur maison, qui se connectent également à un cloud.
Sur la route:
Lorsque les employés sont en déplacement, dans un hôtel, un aéroport, un café, le modèle de sécurité est inconnu. Ici, nous devons agir de manière appropriée. La mobilité et l’IoT sont des vulnérabilités potentielles où les employés doivent être sur leurs gardes.
Smartphones:
Les utilisateurs utiliseront leur appareil personnel au bureau de la même manière qu’ils l’utilisent à la maison et résisteront à toute tentative de restreindre cela. Le rapport Verizon indique que «18% des personnes qui ont cliqué sur des liens de phishing test l’ont fait sur des appareils mobiles».
Confiance et ouverture
Évitons de pointer du doigt, de chasser les sorcières, de faire honte si quelqu’un signale une infraction. Il n’y a pas de temps. Les entreprises ne disposent que de 72 heures pour signaler à l’agence de contrôle compétente certains types de violations impliquant des données personnelles. Ce délai est déjà inclus dans des législations telles que le RGPD européen et le CCPA californien.
Changement culturel
Éducation pour tous, responsabilité partagée, sécurité et zéro confiance en tout. Préparez et pratiquez les procédures de récupération et surveillez tout le temps. Cependant, c’est un combat et souvent vous êtes derrière. Vous êtes naturellement concentré sur votre cœur de métier, pas sur la cybersécurité; votre ennemi est totalement concentré sur cela. Et les solutions ne sont pas garanties à 100%. Le jour viendra où ce sera votre tour: préparer, planifier et pratiquer.
