Il est temps de s'attarder dans la lutte contre les cybercriminels • Le …

Sponsorisé Demandez à n'importe qui en informatique ce qui les tient éveillés la nuit et la plupart répondront probablement «sécurité». Explorez ce qui les inquiète spécifiquement et vous découvrirez probablement que ce n'est pas la partie technologique, mais plutôt comment amener les employés à prendre la sécurité plus au sérieux.

Le rapport State of The Phish de Proofpoint, récemment publié, révèle que 90% des entreprises ont subi une sorte d'attaque de phishing en 2019, avec 88% la cible d'attaques par hameçonnage et 86% traitant des attaques de compromis par e-mail d'entreprise (BEC).

Le dernier rapport sur les tendances des activités d'hameçonnage du groupe de travail anti-hameçonnage a montré 162 155 sites d'hameçonnage détectés au quatrième trimestre, soit une augmentation de 17% en glissement annuel.

Il y a eu également un changement correspondant dans la nature des attaques. Aujourd'hui, les attaques visent un gain monétaire: le rapport de l'APWG a révélé que des criminels avaient exigé des cartes-cadeaux dans 52% des attaques de la BEC, ainsi que des détournements de salaires (16%) et des virements bancaires directs (22%). De combien parlons-nous? Aux États-Unis seulement, la BEC a coûté 1,7 milliard de dollars aux entreprises en 2019, selon le dernier rapport Internet Crime du FBI.

Problème de personnes

Revenons au point d'ouverture. Vous pouvez essayer de parer à tout cela à l'aide d'un logiciel et vous pouvez filtrer les e-mails de phishing et empêcher les utilisateurs de se rendre sur des sites Web malveillants, mais pour tout cela, il suffit d'un seul e-mail pour passer et pour qu'une personne clique sur cet e-mail pendant votre entreprise à compromettre. Un tiers des utilisateurs qui ouvrent des e-mails de phishing simulés sont susceptibles d'interagir avec eux, exposant ainsi vos données, applications et réseau selon Proofpoint.

Quelle est la réponse? Un système de défense à plusieurs niveaux qui englobe la technologie, les processus et les personnes. Les adopter isolément ne réduira pas vos chances d'attaque réussie par des cybercriminels. Adenike Cosgrove, stratège de la cybersécurité de Proofpoint, explique que compte tenu du vaste paysage de la police et du fait que les professionnels de la sécurité sont déjà tendus, vous devez créer une culture de la sécurité qui rend tout le monde responsable de la lutte contre le phishing. «Donner la recommandation à une équipe de sécurité de tout regarder est presque impossible», dit-elle. "C'est pourquoi nous disons que vous devez examiner votre surface d'attaque d'un point de vue centré sur les personnes et déterminer qui les cybercriminels cibleraient dans votre entreprise et pourquoi."

La création de cette culture nécessite une formation et cette formation doit permettre aux employés de comprendre les menaces auxquelles ils sont confrontés et comment éviter d'être victime. Il devrait également se concentrer sur ceux qui détiennent les informations cruciales que les escrocs sont susceptibles de vouloir – connus sous le nom de personnes très attaquées (VAP).

Qui sont les VAP? Personnes au sein de la C-Suite oui, mais pas exclusivement: Proofpoint a découvert que les travailleurs en dehors de cette bande élue peuvent également être ciblés s'ils ont des responsabilités qui leur donnent accès à des documents sensibles, des données et des systèmes clés ou d'autres ressources désignées souhaitables. Les VAP doivent donc être priorisés pour la formation, avec une attention supplémentaire accordée à la vérification de leurs comptes pour un compromis potentiel, mais ils ne sont pas les seuls que vous devez former.

Retour à l'école

La formation que vous entreprenez doit briser les habitudes existantes et enseigner un ensemble de nouvelles compétences pour être efficace. Cette formation doit donc être un processus complet, régulier et interactif; il ne peut pas être effectué à l'aide de méthodes «passives», comme l'envoi de courriels et de documents sur la politique.

Elle doit également être appliquée à tous les employés, pas seulement aux VAP, mais à des degrés différents. Cosgrove déclare: «Les meilleures pratiques de cybersécurité doivent être appliquées quotidiennement pour faire la différence. Les employés ne peuvent pas apprendre à le faire si l'éducation à la cybersécurité n'est discutée qu'une seule fois par an. »

Le problème que la formation doit résoudre est que les employés ne se considèrent pas responsables de détecter et d'éviter le phishing. En outre, comme le montre le rapport State of The Phish, ils ignorent souvent les types de menaces. Seulement 61% ont correctement identifié une attaque de phishing tandis que la moitié d'entre eux ont pu identifier correctement les ransomwares. La meilleure façon d'amener les gens à comprendre les menaces est de leur montrer à quoi elles ressemblent et de les former à l'aide de campagnes de simulation de phishing adaptées à leur profil d'utilisateur.

"Vous ne pouvez pas changer de comportement si vous ne savez pas quel est le risque", explique Cosgrove. «Les professionnels de la sécurité font un excellent travail pour empêcher les courriels néfastes d'atteindre les utilisateurs, mais ils n'informent pas les utilisateurs de ce qui les cible.»

C'est là que quelque chose comme la formation sur la sensibilisation à la sécurité de Proofpoint peut vous aider. Il comprend une suite de formation anti-hameçonnage qui combine des simulations personnalisables, des modules de formation interactifs et des outils de business intelligence, et vous permet d'attaquer vos propres employés avec des menaces basées sur de vrais e-mails de phishing. Vous pouvez tester trois types de leurres: liens malveillants, pièces jointes dangereuses et demandes de données sensibles. Le point ici est que vous contrôlez la formation: vous avez la possibilité d'explorer l'efficacité et la sensibilité des employés à différents leurres et types d'attaque.

Bien sûr, le personnel peut réagir différemment et Proofpoint recommande d'adopter un mélange d'évaluation et de formation. Cela peut impliquer de délivrer un bref message avec quelques conseils à la fin d'un exercice lorsqu'un utilisateur peut se sentir gêné, effrayé ou même irrité ou en colère par un test, suivi d'une mission formelle un peu plus tard lorsqu'il pourrait être plus réceptif. Une autre approche consiste à utiliser la formation informatique à la demande, car cela permet au personnel de s'engager lorsqu'il se sent peut-être plus à l'aise et préparé.

Le conseil est de faire de tout cela un programme bien soutenu. "Si je suis une cible majeure pour le phishing d'informations d'identification, et que je prends un cours sur le phishing d'informations d'identification et que je ne réussis pas le test, alors je vais continuer à recevoir la formation", explique Cosgrove. "Cependant, cela est également complété par une formation basée sur des scénarios afin que je puisse essayer de former mon cerveau pour comprendre les menaces et changer mon comportement."

Ce modèle vous permet d'aller au-delà de cette approche passive et standard de partage d'une politique par e-mail ou documents avec une méthodologie basée sur l'engagement qui comporte une boucle de rétroaction. C'est le meilleur moyen pour le personnel de briser les habitudes passées et de favoriser le développement des nouvelles compétences en cybersécurité dont vous avez besoin.

Quelle est l'efficacité de cette approche? La Royal Bank of Scotland (RBS) avait connu une augmentation constante des attaques et des logiciels malveillants pénétrant dans leur système.Par conséquent, elle a choisi de former le personnel à l'aide de Proofpoint pour des évaluations de phishing régulières et continues à l'aide de modèles de courrier électronique qui émulaient de véritables leurres de phishing. En conséquence, RBS a réduit sa sensibilité globale au phishing de plus de 78%, tandis que, au cours des deux premiers mois d'engagement, le taux de clics est passé de 47% à 22% et oscille désormais autour de 7 à 9%.

Il y a bien sûr certains obstacles à l'obtention du type de formation dont vous avez besoin pour créer la nouvelle culture de la sécurité. La construction de la culture n'est pas purement interne et vous devez considérer ceux qui ne font pas partie de l'entreprise. La plupart des organisations travaillent avec un éventail d'agences externes, de sous-traitants et de fournisseurs qui peuvent avoir accès à vos données et systèmes. Ces personnes peuvent être particulièrement vulnérables aux attaques BEC des attaquants se faisant passer pour vos employés. Ils devraient donc également être inclus dans tout programme de formation et de sensibilisation à la cyber.

Enfin, vous avez besoin de l'adhésion de la légendaire C-suite – un puissant groupe d'individus qui peut sanctionner la formation et aussi aider à la renforcer en faisant ressortir le besoin de vigilance du personnel. Une technique éprouvée pour intégrer votre C-suite consiste à leur montrer l'effet qu'une cyberattaque peut avoir sur le résultat et à parler de l'exposition aux risques.

La culture peut être une chose difficile à quantifier en général, mais en ce qui concerne la cybersécurité dans l'entreprise moderne, un sens des responsabilités collectivement partagé est le seul moyen de réussir. Les fondements de cette culture sont les personnes et les transformer en atouts dans la guerre contre les cybercriminels plutôt que, au mieux, des observateurs neutres et, au pire, des victimes, nécessite une formation solide et pratique.

Parrainé par Proofpoint.

Sponsorisé:
                    Exploiter la valeur des données

Il est temps de s'attarder dans la lutte contre les cybercriminels • Le …
4.9 (98%) 32 votes
 
à lire :  Comment investir de l'argent: un guide pour accroître votre patrimoine en 2020

Julien