Bien sûr, vous n’allez pas demander à vos collaborateurs de devenir ingénieurs en cybersécurité. Mais la moindre des prudences, avec la hausse des attaques et l’augmentation de leur surface d’attaque en raison du télétravail ou encore du Cloud, est de les sensibiliser aux méthodes et profils des assaillants.
Tous les experts le confirment, les collaborateurs doivent être formés au risque et comprendre les bonnes pratiques de cybersécurité alors que les menaces augmentent et gagnent en sophistication. « Dans le cadre de l’évaluation des menaces, il convient de prévoir une formation adaptée du personnel, y compris la sensibilisation à la sécurité des nouvelles recrues ou des promotions récentes », indique ainsi Samy Reguieg, Regional Director France chez Acronis, un spécialiste de la sauvegarde et de la protection des données.
Selon le Gartner Market Report 2021, les collaborateurs auraient même un impact plus direct sur la sécurité que la technologie, les règles ou les processus. Le facteur humain a été impliqué dans 85 % des incidents. Pour 36 % d’entre eux, c’est le phishing qui a été le principal mode d’attaque, selon ce même cabinet de conseil et d’étude. Une enquête de Fortinet, éditeur en cybersécurité, indique de son côté que 73 % des entreprises ont subi au moins une intrusion ou un piratage qui peut être partiellement attribué à une carence de compétences en cybersécurité. Des pourcentages élevés qui montrent bien, s’il le fallait, que les entreprises souhaitant maîtriser les menaces doivent, outre mettre en place des moyens de défense, sensibiliser davantage leurs collaborateurs, car les menaces par ransomware (ou rançongiciel) ont considérablement augmenté. Tentatives de phishing, d’ingénierie sociale (pratique de manipulation visant à extorquer des informations confidentielles)… sont d’ailleurs de plus en plus difficiles à identifier, alors que les cyberattaquants emploient des techniques toujours plus sophistiquées.
Acteurs de la cyber et spécialistes formation
Certains acteurs sont spécialistes de la sensibilisation à la cybersécurité comme Conscio Technologies, avec des solutions logicielles spécialement conçues pour la mise en œuvre de campagnes de sensibilisation et de tests phishing : RapidAwareness et Sensiwave. Mais de plus en plus de fournisseurs dans la cybersécurité proposent dorénavant en complément des formations dédiées. Ainsi de Fortinet, spécialiste des réseaux BtoB sécurisées, qui a conçu en mai dernier un nouveau service dans le domaine. « Nous proposons le service Security Awareness and Training : les entreprises vont pouvoir améliorer la protection de leurs ressources critiques face aux cybermenaces, en misant sur la sensibilisation des collaborateurs. Ce service, adossé à la veille sur les menaces de FortiGuard Labs, permet aux collaborateurs d’être à la page des nouvelles méthodes et profils des cyberattaques », précise John Maddison, EVP of Products et CMO. La formation est large : sécurité de l’information, confidentialité des données, sécurité physique, protection des mots de passe et sécurité d’Internet. Le service permet de réduire la probabilité d’un incident causé par un collaborateur qui se fait piéger par un e-mail de phishing, qui clique sur un lien malveillant ou qui est victime de techniques d’ingénierie sociale. D’autre part, le service apporte aux entreprises les moyens de former leurs collaborateurs aux bonnes pratiques de conformité réglementaire. La formation s’appuie sur une variété de formats multimédias, des quiz et des vérifications des connaissances tout au long de la formation. Il faut noter aussi la possibilité de personnaliser la marque et de co-marquer le service.
Simuler des attaques
Vecteurs d’attaque le plus courant, les collaborateurs de l’entreprise peuvent déclencher par inadvertance une attaque de ransomware lorsqu’ils ouvrent des pièces jointes infectées ou cliquent sur des sites malicieux. Les ransomwares peuvent ainsi être particulièrement difficiles à éviter. Les actions de formation qui se basent sur la simulation d’attaque sont alors une ressource précieuse. La société marseillaise Mailinblack, connue notamment pour sa solution de protection de messagerie Protect, propose ainsi Cyber Coach qui permet, depuis août dernier, de personnaliser à 100 % les simulations d’attaques par e-mails pour tester de façon plus pertinente les collaborateurs : simulations avec la charte graphique de l’entreprise que l’on souhaite imiter (logo, police de caractère, identité visuelle, etc.), utilisation de codes internes et graphiques propres à l’organisation qui permet, par exemple, d’effectuer une simulation d’attaque de type spearphishing (fraude au président).
Personnaliser la simulation
Les organisations peuvent également reprendre un design spécifique à leur activité (autorité de régulation du secteur, clients ou fournisseurs) ou en lien avec l’actualité (Assurance Maladie, Compte Personnel de Formation, etc.). La personnalisation est poussée jusqu’au choix de l’adresse e-mail de l’émetteur avec pour objectif de créer une attaque adaptée à chaque entreprise pour une prévention plus efficace. « Pour contourner les progrès réalisés en matière de cybersécurité et de détection des e-mails frauduleux, les cyberattaquants personnalisent davantage leurs attaques, les rendant de plus en plus difficiles à détecter pour les collaborateurs. Le développement de cette nouvelle fonctionnalité de Cyber Coach permettra aux utilisateurs de personnaliser les simulations en fonction de leurs besoins, de renforcer les réflexes de vigilance de leurs collaborateurs et d’accroître leurs capacités à détecter les emails frauduleux », explique Cassie Leroux, directrice produit de Mailinblack.
Autre exemple : Core Security by HelpSystems, un fournisseur de solutions contre les cybermenaces, a ajouté à son logiciel de test d’intrusion, Core Impact, une nouvelle capacité de simulation de ransomware.
Détecter les utilisateurs les plus vulnérables
« La simulation de ransomware est une méthode de cybersécurité offensive (proactive) efficace aidant les organisations à découvrir leurs faiblesses avant que les attaquants ne les trouvent et ne les exploitent », précise Mark Bell, directeur général de la protection de l’infrastructure chez HelpSystems. « L’ajout de la simulation de ransomware aide les collaborateurs à mieux reconnaître les méthodes d’infection. Il peut également mettre en lumière qui est le plus sensible à ces attaques, ce qui peut déclencher une formation supplémentaire pour renforcer la vigilance des employés avant qu’ils ne cliquent sur un autre e-mail suspect. » « Avec une menace ransomwares constante, ce processus de simulation devrait être considéré comme un élément essentiel de la chaine de cybersécurité », poursuit-il.
