...
🧠 Le blog est dédié au sujet du VPN et de la sécurité, de la confidentialité des données sur Internet. Nous parlons des tendances actuelles et des nouvelles liées à la protection.
person using Windows 11 computer on lap
Protection des donnéesVPN et confidentialitéVPN mobile

Sensibilisation des employés à la cybersécurité : conseils et meilleures pratiques

23
Teneur
Pourquoi la formation en cybersécurité est importante (selon les experts)
La cybersécurité n'est pas seulement pour le personnel informatique/technique
Sujets clés à inclure dans un programme de formation en cybersécurité
Favoriser une culture de sensibilisation à la cybersécurité et des meilleures pratiques
Finir

La plus grande tragédie des progrès scientifiques et technologiques est qu'ils progressent à un rythme beaucoup plus rapide que la sagesse collective de la société. C'est ce qu'a essentiellement dit Isaac Asimov il y a quelques décennies lorsqu'il commentait la relation entre la science et la société.

Avance rapide jusqu'à aujourd'hui, Internet est devenu un élément essentiel de presque tous les aspects de la vie moderne, de la sphère personnelle à la sphère professionnelle. Malgré notre dépendance croissante à Internet, il est surprenant que la sensibilisation à la cybersécurité reste largement ignorée.

Sur le plan personnel, un individu peut être excusé de ne pas comprendre les bonnes pratiques de cybersécurité. Mais au niveau de l'entreprise, la négligence des entreprises et le refus de promouvoir la sensibilisation à la cybersécurité auprès des employés est pour le moins ahurissant.

Selon un rapport publié par Chubb, seuls 31 % des employés interrogés ont déclaré avoir reçu une éducation et une formation à la cybersécurité à l'échelle de l'entreprise.

Alors que la pandémie de covid-19 augmente le besoin de connectivité en ligne pour la plupart des entreprises, le risque accru de failles de sécurité est trop élevé pour être pris à la légère. C'est donc un moment critique pour les entreprises. Si l'importance de la formation et de la sensibilisation à la cybersécurité continue d'être minimisée, les entreprises subiront le poids des attaques numériques. Dans une économie instable, cela pourrait avoir des conséquences dévastatrices.

Mon objectif en écrivant cet article était de jouer un petit rôle dans la promotion d'un sentiment d'urgence quant à la nécessité pour les entreprises d'investir dans la formation en cybersécurité de leurs employés. Plutôt que de construire des arguments en faveur de ma thèse, comme c'est mon style habituel lorsque j'écris des articles sur de telles questions, j'ai plutôt décidé d'inviter des professionnels de la sécurité et de partager leurs idées sur ce problème urgent mais souvent ignoré de notre époque.

Ce qui suit sont les citations de divers sont les pensées de divers professionnels de l'industrie à qui je suis redevable d'avoir partagé leurs idées avec nous.

Pourquoi la formation en cybersécurité est importante (selon les experts)

Nancy Sabino — PDG et co-fondatrice de SabinoCompTech

Les employés vont être la première ligne de défense dans la lutte contre la menace de cybersécurité. S'ils ne savent pas quelles sont les menaces, comment les remarquer et quoi faire à leur sujet, ils deviennent un risque plutôt qu'une source de prévention. Lorsque vous évaluez les risques dans votre organisation, le fait d'avoir des employés bien informés et conscients de ce qu'ils recherchent et de la manière de réagir rapidement si quelque chose devait se produire changerait considérablement le cadran pour réduire votre risque. Il est toujours préférable d'établir une prévention plutôt que de s'occuper de mesures correctives qui peuvent s'avérer extrêmement coûteuses et chronophages.

Personnellement, je profite de la formation continue offerte par mon entreprise pour continuer à perfectionner mes compétences et suivre les nouvelles tendances au fur et à mesure qu'elles apparaissent. Nous offrons également cela à tous nos clients afin qu'ils puissent également nous aider à être proactifs. Cela en valait vraiment la peine, car la prise de conscience à elle seule a réduit le nombre de clics qui se produisent dans les e-mails ainsi que la quantité de données saisies dans les e-mails de phishing, etc.

John Svazic – Fondateur et consultant principal chez EliteSec

Qu'on le veuille ou non, les employés restent le vecteur numéro 1 des parties malveillantes à poursuivre lorsqu'elles souhaitent accéder à votre entreprise. Par le biais des e-mails de phishing habituels au "vishing" (phishing vocal), ils profiteront de la bonne nature d'un employé pour accéder aux données, aux finances ou aux secrets commerciaux d'une organisation.

J'ai suivi et donné des formations en cybersécurité pendant de nombreuses années, et je peux dire que c'est indispensable si c'est fait correctement. Ne vous contentez pas de donner à vos utilisateurs finaux une vidéo de 30 minutes ou un module de formation sur ordinateur – fournissez-leur des exemples de ce qui peut arriver s'ils tombent dans l'un de ces e-mails. Quel est l'effet en aval ? Que peut-il arriver à l'individu? C'est bien plus utile que de simplement dire aux employés : "Ne cliquez pas sur les liens et ne téléchargez pas les pièces jointes d'e-mails suspects".

Steven Weisman – Expert en cybersécurité et professeur à l'Université Bentley

Les entreprises ne sont aussi sûres que si leurs employés pratiquent le moins de pratiques de cybersécurité. Les cyberattaques telles que les ransomwares, les violations de données et le vol de propriété intellectuelle importante ainsi que la compromission des e-mails professionnels peuvent avoir des effets dévastateurs sur les entreprises. Je suis un expert en cybersécurité et professeur à l'Université Bentley où j'enseigne la criminalité en col blanc. J'écris également le blog Scamicide où chaque jour je fournis des informations actualisées sur les derniers développements en matière de cybersécurité.

Chez Bentley, la cybersécurité est une priorité et la formation, en particulier pour reconnaître les e-mails de harponnage et pratiquer les bases importantes de la cybersécurité, comme ne pas cliquer sur des liens à moins qu'ils n'aient été confirmés comme légitimes, est continuellement soulignée. Lorsqu'une telle formation est effectuée d'une manière non critique et utile, elle est très efficace.

Andy Sauer – Expert en cybersécurité chez Steel Root

La sensibilisation à la cybersécurité est importante pour les employés dans un cadre organisationnel car le COVID-19 a complètement changé le paysage, faisant de la cybersécurité une menace commerciale beaucoup plus importante que jamais. Cela est dû à l'augmentation significative du nombre de personnes qui télétravaillent ; ce qui conduit aux facteurs suivants :

  • Changements de comportement : lorsqu'ils travaillent hors site, les employés ont tendance à être plus détendus et plus susceptibles de baisser leur garde, voire de répondre à des e-mails conçus pour fournir un accès aux données aux pirates. De plus, avec l'augmentation des niveaux de stress, le personnel pourrait être plus enclin à être réactif et moins stratégique dans ses actions.
  • Changements de situation : Travailler dans des endroits disparates, les instructions de sécurité et les règles d'accès peuvent passer entre les mailles du filet. Cela peut entraîner une surveillance moins stricte des transactions et d'autres flux de travail clés.
  • Changements technologiques: Soudain, les entreprises sont obligées d'étendre leurs pare-feux au-delà des limites physiques de leur bureau. Les systèmes de l'entreprise sont accessibles à partir d'un large éventail d'appareils, même des appareils personnels. Ces changements peuvent entraîner des compromis, une prolifération des données et d'autres défis.

Chris Silbaugh – Vice-président du développement commercial chez CyberKnights

J'ai participé à la formation en cybersécurité ainsi qu'à la formation et la partie la plus importante de l'appel au public est de l'aider à comprendre les impacts négatifs tels que la perte ou le vol d'informations personnelles, les informations commerciales et les sanctions légales. qui entraînent une perte financière. Aidez les gens à comprendre d'abord les conséquences afin qu'ils prennent le temps d'apprendre comment éviter que de telles conséquences ne se produisent

Steven M. Solomon – Vice-président chez SecurIT360

La sensibilisation à la cybersécurité réduit le risque d'incident de sécurité à fort impact susceptible de nuire à l'entreprise. D'après mon expérience, dispenser une éducation à la sécurité et une formation de sensibilisation est une activité précieuse qui est considérée par de nombreux chefs d'entreprise comme un évitement de coûts. Il rappelle formellement aux employés qu'il existe d'importantes politiques et procédures de sécurité à prendre en compte lors de l'exécution du travail et définit les conséquences du non-respect d'une bonne cyber-hygiène. Avec la prévalence des menaces et les coûts élevés des incidents de sécurité, les employés doivent être vigilants dans leurs activités quotidiennes.

Cindy Murphy – Présidente de Digital Forensics chez Tetra Defense

Les programmes de sensibilisation et les initiatives de formation à la sécurité des employés sont d'une importance cruciale pour la protection des données sensibles que possèdent les organisations. Je préconise de fournir une formation en cybersécurité afin que les employés soient en mesure de reconnaître les activités malveillantes. Par exemple, les escrocs utilisent encore principalement le courrier électronique pour tromper leurs victimes. Ce qui est nouveau à cette époque, c'est la messagerie frauduleuse dans les e-mails: le CDC demande des dons en Bitcoin. Vos documents d'allègement fiscal COVID-19 sont disponibles sur ce (faux) site Web. Un médecin de l'Organisation mondiale de la santé a des "conseils sur les médicaments" si vous cliquez ici. C'est de l'ingénierie sociale à son pire — et malheureusement, il est plus probable qu'elle fonctionne en ces temps incertains.

Les gens ne sont pas devenus plus crédules au cours des trois derniers mois et demi ; ils se sont habitués aux grands changements dans les petits messages. Lorsque le prochain titre de l'actualité pourrait être une question de sécurité ou de maladie, il est beaucoup plus facile de croire les informations qui apparaissent directement dans votre boîte de réception.

Mark Soto – PDG de Cybericus

L'une des principales raisons pour lesquelles la sensibilisation à la cybersécurité est importante pour les employés est due au fait que la grande majorité des violations de données (varie entre 60 et 80 % selon la source) sont dues à des erreurs internes des employés et que près de (30 % à 40 % même raison ci-dessus) des violations de données sont dues à des employés internes malveillants. Vos employés doivent être conscients des bases de la cybersécurité, des cyber-dangers à l'extérieur de l'entreprise comme à l'intérieur de celle-ci. Nous travaillons généralement avec des entreprises une fois qu'elles ont été attaquées, mais nous considérerions certainement qu'une formation en cybersécurité en vaut la peine.

Vous pouvez dépenser des millions de dollars sur le meilleur logiciel de cybersécurité hautement avancé pour votre entreprise, mais si vos employés ne sont pas suffisamment informés sur les meilleures pratiques, vous ne faites que gaspiller votre argent. Les logiciels ne peuvent pas faire grand-chose pour prévenir les attaques dues à une erreur humaine et si votre employé ne sait pas pourquoi il ne devrait pas brancher de clés USB aléatoires sur son ordinateur ou ne pas cliquer sur des liens de messagerie aléatoires à partir d'adresses e-mail louches, alors vous sont susceptibles d'être piratés, quel que soit le type de logiciel ou de technologie que vous utilisez.

Marty Puranik – Président et PDG d'Atlantic.net

Une tendance majeure que nous constatons maintenant et qui n'existait pas vraiment il y a des années est la formation des employés à la cybersécurité. Cela devrait faire partie de la culture de votre entreprise, et plus il est répandu dans votre entreprise, plus les gens y adhèreront. Essayez d'inclure votre CIO ou votre responsable informatique pendant le processus d'intégration pour bien faire comprendre aux nouveaux employés l'importance de la sécurité sur leur nouveau lieu de travail. Pour les employés de longue date, assurez-vous que votre message est transmis par l'intermédiaire de leurs chefs d'équipe. Essayez de rester à l'écart des longs e-mails et mémos dont beaucoup d'employés survoleront les premières phrases avant de les supprimer.

Au lieu de cela, essayez de créer des vidéos ou accrochez peut-être des infographies dans les principales zones du bureau, comme la salle de repos, près de la fontaine à eau et même dans les toilettes. Même si vos employés ne sont pas très intéressés par la sécurité, la lecture répétée de phrases et d'actions sous forme visuelle les aidera à se souvenir desdits messages lorsque quelque chose d'inhabituel se produit en ligne.

Nick Santora – PDG de Curricula

Selon divers rapports, il y a eu une augmentation de 500 % des cyberattaques depuis l'épidémie de coronavirus. Les pirates et les mauvais acteurs profitent de cette période malheureuse que nous traversons tous. Nous avons vu tant d'attaques de phishing ciblant des employés qui font désormais partie d'une main-d'œuvre massive à distance, et le manque de formation en cybersécurité est évident.

La stratégie de cybersécurité la plus efficace consiste à former vos employés à tous les niveaux de l'entreprise sur ce qu'il faut rechercher dans un e-mail suspect, une arnaque potentielle par hameçonnage ou même une attaque par ransomware.

Dr. Al Marcella – CISAM, CISA, président de Business Automation Consultants

Nous avions l'habitude de dire « la connaissance, c'est le pouvoir », cependant, dans notre monde connecté à l'échelle mondiale, toujours actif, 24 heures sur 24, 7 jours sur 7, dépendant de l'information, les données sont une marchandise – les données ont de la valeur. Ce n'est plus la connaissance qui engendre le pouvoir mais, aujourd'hui, «l'information, c'est le pouvoir ». Un employé qui n'agit pas de manière responsable pour protéger et sécuriser les actifs informationnels de l'organisation met invariablement l'organisation en danger… financièrement, concurrentiellement, juridiquement.

Je dispense des formations en cybersécurité depuis plus de 35 ans. Une formation qui amène un employé à s'arrêter et à réfléchir avant de cliquer sur un e-mail externe, de fournir des informations à un appelant, d'ouvrir un lien Web, de scanner un code QRC ou d'entreprendre toute action susceptible de mettre lui-même ou son organisation en danger, est positive, réceptive, une formation opportune et proactive.

La cybersécurité n'est pas seulement pour le personnel informatique/technique

J'ai remarqué que bien souvent, les discussions sur la formation en cybersécurité ont tendance à supposer que seul le personnel technique doit bien connaître les meilleures pratiques en matière de sécurité. Mais cela ne tient pas compte du fait que même si les personnes responsables de la conception des réseaux d'une entreprise font un travail minutieux pour minimiser les risques, il suffit qu'une personne dans une entreprise clique sur le mauvais lien pour annuler tout cela.

Il est nécessaire de tuer cette idée et de faire de la sensibilisation à la cybersécurité un programme global. Voici ce que certains experts ont à dire sur ce problème :

Dr Tom Keenan – Professeur à l'Université de Calgary
Même les réceptionnistes ont besoin d'une formation et d'une sensibilisation à la cybersécurité!

Je n'oublierai jamais le "Social Engineering Challenge" au DEF CON il y a quelques années où le but était d'extraire des informations des concessionnaires automobiles, soi-disant parce qu'ils allaient être présentés comme un faux "Concessionnaire du mois".

Les réceptionnistes ont abandonné des questions telles que "quelle version de Windows votre entreprise utilise-t-elle ?", "quels sont le nom et l'e-mail de votre directeur financier ?" et même "quel jour vos déchets sont-ils collectés ?", tous utiles pour les pirates et les voleurs d'identité. .

Ainsi, lorsque je me rends dans une entreprise pour suivre une formation de sensibilisation à la cybersécurité, j'ai généralement une conversation agréable avec la réceptionniste et je peux ensuite dire au DSI et au PDG toutes sortes de choses intéressantes sur leur entreprise. Fonctionne à chaque fois !

Gabe Turner – Expert en cybersécurité chez Security.org

Je pense que la formation devrait être axée sur tout type d'employé qui utilise des appareils électroniques à des fins liées à l'entreprise, en particulier s'il utilise Internet. Alors que les informaticiens seront évidemment appelés en cas de violation de données, la formation des employés eux-mêmes est une mesure préventive par rapport à une mesure réactive, ce qui réduit le risque pour l'entreprise d'avoir une violation de données en premier lieu.

Ilia Sotnikov – Vice-président de la gestion des produits chez Netwrix

Des sessions de formation régulières pour toutes les équipes, du personnel informatique aux employés non informatiques, aideront votre personnel à mieux comprendre comment il doit réagir aux activités des pirates. Par exemple, si vous incluez des informations sur le phishing et les escroqueries les plus récentes, il est possible que les employés ne cliquent pas sur les liens suspects dans les e-mails et envoient ces messages à l'équipe informatique.

De plus, ces formations aideront les employés de tous les niveaux et de tous les départements à comprendre qu'ils sont personnellement responsables de la posture de sécurité de l'organisation, ce qui peut les aider à être plus vigilants. Cela n'éliminera peut-être pas complètement le risque de violation de données, mais vous aurez certainement une meilleure culture d'entreprise et vos données et systèmes seront mieux protégés.

Darren Deslatte – Responsable des opérations de vulnérabilité chez Entrust Solutions

Le programme de formation en cybersécurité de votre entreprise doit absolument englober tous les employés. Près de 90 % des cyberattaques sont causées par une erreur ou une négligence humaine. L'un des meilleurs moyens de surmonter ces obstacles est de s'assurer que tous les membres de votre organisation comprennent leur responsabilité dans la cybersécurité de votre entreprise, du PDG à l'entrepreneur distant.

Sujets clés à inclure dans un programme de formation en cybersécurité

Pour qu'un plan de cybersécurité soit efficace, le programme de formation doit être conçu de manière appropriée pour inclure des sujets qui contribuent efficacement à la sensibilisation des employés sans les faire se sentir dépassés. C'est le consensus général des experts qui se sont prononcés sur ce sujet :

Chris Silbaugh – Vice-président du développement commercial chez CyberKnights

Il existe une variété de sujets de cybersécurité sur lesquels les employés doivent être formés et cela devrait dépendre en fin de compte du poste occupé par l'employé. responsabilité principale de gérer le réseau d'entreprises sous une forme ou sous une autre.

Les employés qui sont plutôt un utilisateur moyen du réseau de l'entreprise devraient suivre une autre forme de formation axée sur une approche plus simple de la gestion de la sécurité du domaine. Enfin, la formation ne doit pas être dans des formats longs qui permettent au collaborateur de perdre rapidement son attention. La formation doit être effectuée fréquemment, mais de plus courte durée. Le point culminant d'une année de formation s'avérera être un meilleur processus plutôt que quelques heures consacrées à la fois.

Nick Santora – PDG de Curricula

Certains sujets clés de formation à la sensibilisation à la cybersécurité seraient :

1 Hameçonnage – La majorité des cyberattaques contre une organisation proviendront de l'hameçonnage par courriel. Les employés doivent comprendre comment identifier une attaque de phishing et éviter de cliquer sur des liens suspects dans un e-mail.

2 Protection par mot de passe – Les employés doivent comprendre comment créer des mots de passe forts, par exemple ne pas utiliser de mots de passe faciles à deviner comme "1234". Ils doivent également comprendre le risque de réutilisation des mots de passe entre les comptes personnels et d'entreprise, comment utiliser un gestionnaire de mots de passe ("vault") et découvrez pourquoi les mots de passe sont si importants pour protéger leurs comptes en ligne.

3 Sécurité de l'information – «InfoSec» consiste à protéger les actifs d'information numérique de votre organisation. Les employés doivent comprendre que l'accès aux informations est un privilège et que l'accès "nécessaire de savoir" doit être pratiqué à tout moment. Le partage de données sensibles en dehors de l'organisation doit être pris très au sérieux et les employés doivent connaître la politique de votre organisation en matière de protection des informations.

4 Ransomware – Un ransomware est un logiciel malveillant qui crypte les données sur un ordinateur jusqu'à ce qu'une somme d'argent soit versée au pirate, et c'est l'une des menaces les plus populaires ciblant les entreprises à travers le monde. Si la rançon n'est pas payée, votre ordinateur et toutes ses données sont irrécupérables. La meilleure façon de se défendre contre les ransomwares est d'abord de les empêcher de se produire.

Dr. Al Marcella – CISAM, CISA, président de Business Automation Consultants

Les données sont un atout et ont de la valeur pour l'entreprise. Les employés doivent être formés pour considérer les données comme un actif essentiel de l'entreprise qui doit être protégé.

Cyber-risque. Qui sont les acteurs de la menace qui cherchent à obtenir un accès non autorisé aux actifs de données critiques de l'entreprise ? Quelles sont les vulnérabilités au sein de l'entreprise dont un acteur malveillant pourrait profiter ? Quelle est la possibilité que l'auteur de la menace profite de la vulnérabilité ? Quel serait l'impact (financier, juridique, réputationnel) sur l'organisation, si cela devait se produire ? Quel est le rôle de chaque collaborateur pour atténuer ces cyber-risques ?

Sécurité du réseau. Les employés ne doivent se connecter à Internet et aux réseaux de l'entreprise que via un service de réseau privé virtuel, ce qui permet de garder privés les échanges entre employés.

Cryptage. Éduquez les employés sur la mise en œuvre et l'utilisation cohérente de protocoles de cryptage solides pour protéger les actifs de données numériques critiques de l'organisation.

Cyberdétournements. Une formation cohérente et des informations mises à jour sur les escroqueries de plus en plus sophistiquées, les attaques de phishing, les stratagèmes d'ingénierie sociale, les faux e-mails et les sites Web tentants… tous conçus pour inciter un employé à divulguer, cliquer, agir ou répondre à des informations fictives, artificielles et trompeuses.

David Shrier – Directeur du programme Oxford Cyber ​​Futures de l'Université d'Oxford en partenariat avec Mastercard

Les employés doivent être formés sur un noyau de cyberhygiène et avoir une plus grande sensibilisation à des questions plus larges telles que la sécurité et la confidentialité des données, et la cyberéthique – qui créent toutes des risques et ouvrent des opportunités pour les entreprises. Oxford Cyber ​​Futures, par exemple, construit d'abord une base cyber solide, puis s'étend à l'identité numérique, à l'IA prédictive, à la banque ouverte et à d'autres domaines de croissance.

Pour qu'une entreprise collabore efficacement sur le cyber, elle doit renforcer la cyber capacité dans tous les domaines fonctionnels de l'organisation, pas seulement le personnel informatique. Trop souvent, le cyber est rendu impénétrable ou effrayant en termes de la façon dont il est enseigné, donc dans notre programme avec Oxford, nous avons cherché à démystifier la complexité et à aider les professionnels à comprendre le potentiel d'impact tangible sur les revenus et les bénéfices.

Heinrich Long – Expert en confidentialité chez Restore Privacy

En ce qui concerne la formation en cybersécurité pour les employés, je recommanderais fortement de faire appel à un fournisseur de formation professionnel tiers. Si vous ne parvenez pas à trouver un bon candidat pour votre entreprise, il est important de couvrir les sujets suivants :

1) Identifier les menaces et les risques potentiels en ligne pour votre entreprise.

2) Les processus et outils nécessaires pour prévenir les violations de données, y compris la gestion des documents, les mots de passe et l'hygiène de sécurité.

3) Utilisation sûre d'Internet et comment identifier les liens suspects.

4) Utilisation sûre du courrier électronique et comment éviter le phishing.

5) Utilisation responsable des médias sociaux.

6) Protéger le matériel de l'entreprise tel que les ordinateurs portables, les ordinateurs de bureau et les appareils portables.

Il est important de donner à votre personnel les moyens d'identifier les cybermenaces courantes et de lui fournir les outils nécessaires pour prévenir les violations de données.

Favoriser une culture de sensibilisation à la cybersécurité et des meilleures pratiques

Andrew Ryan – Fondateur et directeur général de Newtec Services

Chez Newtec Services, nous considérons les logiciels antivirus ou anti-malware comme la première étape pour les entreprises qui souhaitent protéger leurs données. Les gestionnaires doivent également prendre les précautions suivantes :

  • Assurez-vous que tous leurs logiciels sont à jour. Nous recommandons à nos clients une sécurité basée sur le cloud.
  • Mettre en œuvre la sécurité de bout en bout. Cela signifie s'assurer que toutes les données, y compris les messages, les vidéos, etc., sont entièrement cryptées.
  • Former les employés pour qu'ils respectent les exigences de sécurité plus strictes. Allez au-delà des politiques de sécurité internes et formez les employés à une sécurité approfondie spécifique au rôle de chaque travailleur.

La pile technologique de base du travailleur à distance doit inclure ces éléments pour renforcer la sécurité :

  • Sécurité des terminaux
  • Réseau privé virtuel
  • Sécurité mobile

Steve Tcherchian – Responsable de la sécurité de l'information chez XYPRO ,

Pour qu'un programme de cybersécurité réussisse, voici les éléments clés

  1. Prise en charge descendante. Si l'initiative n'est pas importante et soutenue au plus haut niveau de l'organisation, elle est vouée à l'échec. La sensibilisation à la cybersécurité n'est plus seulement "un problème informatique". C'est un risque commercial et il doit être traité de cette façon.
  2. Engagez vos employés. Donnez-leur la propriété du processus. Faites-en partie de la solution. Les employés sont toujours plus engagés et soutiennent l'initiative s'ils sentent qu'ils ont leur peau dans le jeu.
  3. Gamifiez le processus. Amuse-toi. Tout le monde aime la compétition, et un processus sain de gamification de l'expérience vous assurera d'obtenir la participation de la plupart des gens, même les opposants.

David B. Rounds – PDG de NetEffect

La sensibilisation à la cybersécurité est un sujet important de nos jours. Comment vous assurez-vous que vos employés sont sensibilisés à la cybersécurité ? Cela commence par le haut, et c'est comme n'importe quelle autre politique ou processus d'une entreprise. Il devrait y avoir une sensibilisation et une concentration sur la sécurité au niveau de la direction. Les préoccupations doivent être exprimées dans les conversations avec tout le personnel jusqu'à l'employé le plus élémentaire qui n'utilise que des systèmes de courrier électronique ou l'accès à une application de l'entreprise. C'est la base de toute culture d'entreprise.

Vous devez également avoir un programme de formation. Qu'il s'agisse de quelque chose de livré en interne par des employés ou des RH compétents, ou mieux encore, les entreprises peuvent trouver un programme de sensibilisation à la cybersécurité. Il y en a beaucoup là-bas. Certains ne coûtent que quelques dollars par mois et par utilisateur. Ces programmes peuvent inclure des éléments tels que de courtes « micro-formations » de 2 à 5 minutes, des simulations de tentatives de phishing par e-mail et même le suivi de la sensibilisation des employés à la cybersécurité et la surveillance de la reconnaissance des politiques de l'entreprise pour toutes les politiques de l'entreprise.

Cela peut aussi être amusant! Certains des systèmes affichent des scores de sécurité anonymes où les employés peuvent rivaliser pour voir qui est le plus élevé.

Chloé Messdaghi – Vice-présidente de la stratégie chez Point3 Security

L'hameçonnage de vos propres entreprises est une bonne pratique exemplaire. Je crois fermement qu'il faut s'assurer que les gens savent ce qu'est le phishing et comment le surveiller. Demandez à quelqu'un de faire un test de phishing. Il existe des entreprises que vous pouvez engager pour vous aider et vous aider à mettre en œuvre un programme de formation et de sensibilisation à la cybersécurité. Je suggérerais d'hameçonner votre équipe tout au long de l'année et de demander à vos coéquipiers de faire la même chose, par exemple de créer un faux personnage ; compte e-mail qui est sous le nom de votre patron (avec la permission bien sûr !) et envoyer des e-mails aux membres de l'équipe disant qu'ils font un excellent travail et voici une carte-cadeau Amazon, cliquez simplement sur le lien (lien non malveillant mais quelque chose qui suit si le lien a été utilisé)…

Beaucoup de gens pensent que la mise en œuvre de pratiques de sécurité représente beaucoup de travail. Le fait est que si un attaquant peut atteindre un seul de vos employés, il peut avoir accès à votre opération et à des informations confidentielles, donc la quantité de travail qui pourrait être impliquée en vaut la peine pour éviter une catastrophe potentielle. Assurez-vous que vos employés comprennent cela au maximum. Effectuez des tests de phishing comme un jeu, impliquez les employés en « jouant » tout en renforçant l'importance d'être conscient et de rester en sécurité non seulement en tant qu'individu, mais en tant que partie potentiellement vulnérable de l'entreprise dans son ensemble.

Finir

Si vous n'êtes pas submergé par tous les conseils et idées d'experts ci-dessus, voici un énoncé concis de conseils que chaque employé et organisation devrait suivre dans l'intérêt de bonnes pratiques de cybersécurité :

Paul Howard – Coordinateur d'enquête Développement commercial du Smith Training Center et de la Smith Investigation Agency

Gardez votre bureau propre; n'utilisez pas votre appareil personnel à des fins professionnelles ; gérer vos données ; utiliser des solutions de stockage externes ; adopter des habitudes Internet sûres ; soyez très prudent avec votre mot de passe ; limitez vos partages sur les sites de réseaux sociaux et soyez conscient de leurs vulnérabilités ; méfiez-vous des arnaques par e-mail ; être conscient de ce qu'est un logiciel malveillant ; et enfin, obtenez toujours les conseils d'un professionnel de l'informatique si vous remettez en question quelque chose qui semble déplacé.

Tu pourrais aussi aimer Plus de l'auteur
Plus d'entrées

PIA VPN Reddit – (Commentaires authentiques de…

Comment installer un accès Internet privé sur Kodi…

Comment annuler ipVanish et obtenir un remboursement…

1 of 441

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Plus de détails