La plus grande trag\u00e9die des progr\u00e8s scientifiques et technologiques est qu’ils progressent \u00e0 un rythme beaucoup plus rapide que la sagesse collective de la soci\u00e9t\u00e9. C’est ce qu’a essentiellement dit Isaac Asimov il y a quelques d\u00e9cennies lorsqu’il commentait la relation entre la science et la soci\u00e9t\u00e9.<\/p>\n
Avance rapide jusqu’\u00e0 aujourd’hui, Internet est devenu un \u00e9l\u00e9ment essentiel de presque tous les aspects de la vie moderne, de la sph\u00e8re personnelle \u00e0 la sph\u00e8re professionnelle. Malgr\u00e9 notre d\u00e9pendance croissante \u00e0 Internet, il est surprenant que la sensibilisation \u00e0 la cybers\u00e9curit\u00e9 reste largement ignor\u00e9e.<\/p>\n
Sur le plan personnel, un individu peut \u00eatre excus\u00e9 de ne pas comprendre les bonnes pratiques de cybers\u00e9curit\u00e9. Mais au niveau de l’entreprise, la n\u00e9gligence des entreprises et le refus de promouvoir la sensibilisation \u00e0 la cybers\u00e9curit\u00e9 aupr\u00e8s des employ\u00e9s est pour le moins ahurissant.<\/p>\n
Selon un rapport publi\u00e9 par Chubb<\/a>, seuls 31 % des employ\u00e9s interrog\u00e9s ont d\u00e9clar\u00e9 avoir re\u00e7u une \u00e9ducation et une formation \u00e0 la cybers\u00e9curit\u00e9 \u00e0 l’\u00e9chelle de l’entreprise.<\/p>\n Alors que la pand\u00e9mie de covid-19 augmente le besoin de connectivit\u00e9 en ligne pour la plupart des entreprises, le risque accru de failles de s\u00e9curit\u00e9 est trop \u00e9lev\u00e9 pour \u00eatre pris \u00e0 la l\u00e9g\u00e8re. C’est donc un moment critique pour les entreprises. Si l’importance de la formation et de la sensibilisation \u00e0 la cybers\u00e9curit\u00e9 continue d’\u00eatre minimis\u00e9e, les entreprises subiront le poids des attaques num\u00e9riques. Dans une \u00e9conomie instable, cela pourrait avoir des cons\u00e9quences d\u00e9vastatrices.<\/p>\n Mon objectif en \u00e9crivant cet article \u00e9tait de jouer un petit r\u00f4le dans la promotion d’un sentiment d’urgence quant \u00e0 la n\u00e9cessit\u00e9 pour les entreprises d’investir dans la formation en cybers\u00e9curit\u00e9 de leurs employ\u00e9s. Plut\u00f4t que de construire des arguments en faveur de ma th\u00e8se, comme c’est mon style habituel lorsque j’\u00e9cris des articles sur de telles questions, j’ai plut\u00f4t d\u00e9cid\u00e9 d’inviter des professionnels de la s\u00e9curit\u00e9 et de partager leurs id\u00e9es sur ce probl\u00e8me urgent mais souvent ignor\u00e9 de notre \u00e9poque.<\/p>\n Ce qui suit sont les citations de divers sont les pens\u00e9es de divers professionnels de l’industrie \u00e0 qui je suis redevable d’avoir partag\u00e9 leurs id\u00e9es avec nous.<\/p>\n Nancy Sabino \u2014 PDG et co-fondatrice de SabinoCompTech<\/a><\/strong><\/p>\n Les employ\u00e9s vont \u00eatre la premi\u00e8re ligne de d\u00e9fense dans la lutte contre la menace de cybers\u00e9curit\u00e9. S’ils ne savent pas quelles sont les menaces, comment les remarquer et quoi faire \u00e0 leur sujet, ils deviennent un risque plut\u00f4t qu’une source de pr\u00e9vention. Lorsque vous \u00e9valuez les risques dans votre organisation, le fait d’avoir des employ\u00e9s bien inform\u00e9s et conscients de ce qu’ils recherchent et de la mani\u00e8re de r\u00e9agir rapidement si quelque chose devait se produire changerait consid\u00e9rablement le cadran pour r\u00e9duire votre risque. Il est toujours pr\u00e9f\u00e9rable d’\u00e9tablir une pr\u00e9vention plut\u00f4t que de s’occuper de mesures correctives qui peuvent s’av\u00e9rer extr\u00eamement co\u00fbteuses et chronophages.<\/p>\n Personnellement, je profite de la formation continue offerte par mon entreprise pour continuer \u00e0 perfectionner mes comp\u00e9tences et suivre les nouvelles tendances au fur et \u00e0 mesure qu’elles apparaissent. Nous offrons \u00e9galement cela \u00e0 tous nos clients afin qu’ils puissent \u00e9galement nous aider \u00e0 \u00eatre proactifs. Cela en valait vraiment la peine, car la prise de conscience \u00e0 elle seule a r\u00e9duit le nombre de clics qui se produisent dans les e-mails ainsi que la quantit\u00e9 de donn\u00e9es saisies dans les e-mails de phishing, etc.<\/p>\n John Svazic \u2013 Fondateur et consultant principal chez EliteSec<\/a><\/strong><\/p>\n Qu’on le veuille ou non, les employ\u00e9s restent le vecteur num\u00e9ro 1 des parties malveillantes \u00e0 poursuivre lorsqu’elles souhaitent acc\u00e9der \u00e0 votre entreprise. Par le biais des e-mails de phishing habituels au "vishing" (phishing vocal), ils profiteront de la bonne nature d’un employ\u00e9 pour acc\u00e9der aux donn\u00e9es, aux finances ou aux secrets commerciaux d’une organisation.<\/p>\n J’ai suivi et donn\u00e9 des formations en cybers\u00e9curit\u00e9 pendant de nombreuses ann\u00e9es, et je peux dire que c’est indispensable si c’est fait correctement. Ne vous contentez pas de donner \u00e0 vos utilisateurs finaux une vid\u00e9o de 30 minutes ou un module de formation sur ordinateur – fournissez-leur des exemples de ce qui peut arriver s’ils tombent dans l’un de ces e-mails. Quel est l’effet en aval\u00a0? Que peut-il arriver \u00e0 l’individu? C’est bien plus utile que de simplement dire aux employ\u00e9s\u00a0: "Ne cliquez pas sur les liens et ne t\u00e9l\u00e9chargez pas les pi\u00e8ces jointes d’e-mails suspects".<\/p>\n Steven Weisman – Expert en cybers\u00e9curit\u00e9 et professeur \u00e0 l’Universit\u00e9 Bentley<\/strong><\/p>\n Les entreprises ne sont aussi s\u00fbres que si leurs employ\u00e9s pratiquent le moins de pratiques de cybers\u00e9curit\u00e9. Les cyberattaques telles que les ransomwares, les violations de donn\u00e9es et le vol de propri\u00e9t\u00e9 intellectuelle importante ainsi que la compromission des e-mails professionnels peuvent avoir des effets d\u00e9vastateurs sur les entreprises. Je suis un expert en cybers\u00e9curit\u00e9 et professeur \u00e0 l’Universit\u00e9 Bentley o\u00f9 j’enseigne la criminalit\u00e9 en col blanc. J’\u00e9cris \u00e9galement le blog Scamicide<\/a> o\u00f9 chaque jour je fournis des informations actualis\u00e9es sur les derniers d\u00e9veloppements en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n Chez Bentley, la cybers\u00e9curit\u00e9 est une priorit\u00e9 et la formation, en particulier pour reconna\u00eetre les e-mails de harponnage et pratiquer les bases importantes de la cybers\u00e9curit\u00e9, comme ne pas cliquer sur des liens \u00e0 moins qu’ils n’aient \u00e9t\u00e9 confirm\u00e9s comme l\u00e9gitimes, est continuellement soulign\u00e9e. Lorsqu’une telle formation est effectu\u00e9e d’une mani\u00e8re non critique et utile, elle est tr\u00e8s efficace.<\/p>\n Andy Sauer \u2013 Expert en cybers\u00e9curit\u00e9 chez Steel Root<\/a><\/strong><\/p>\n La sensibilisation \u00e0 la cybers\u00e9curit\u00e9 est importante pour les employ\u00e9s dans un cadre organisationnel car le COVID-19<\/strong> a compl\u00e8tement chang\u00e9 le paysage, faisant de la cybers\u00e9curit\u00e9 une menace commerciale beaucoup plus importante que jamais. Cela est d\u00fb \u00e0 l’augmentation significative du nombre de personnes qui t\u00e9l\u00e9travaillent ; ce qui conduit aux facteurs suivants :<\/p>\n Chris Silbaugh \u2013 Vice-pr\u00e9sident du d\u00e9veloppement commercial chez CyberKnights<\/strong><\/p>\n J’ai particip\u00e9 \u00e0 la formation en cybers\u00e9curit\u00e9 ainsi qu’\u00e0 la formation et la partie la plus importante de l’appel au public est de l’aider \u00e0 comprendre les impacts n\u00e9gatifs tels que la perte ou le vol d’informations personnelles, les informations commerciales et les sanctions l\u00e9gales. qui entra\u00eenent une perte financi\u00e8re. Aidez les gens \u00e0 comprendre d’abord les cons\u00e9quences afin qu’ils prennent le temps d’apprendre comment \u00e9viter que de telles cons\u00e9quences ne se produisent<\/p>\n Steven M. Solomon \u2013 Vice-pr\u00e9sident chez SecurIT360<\/a><\/strong><\/p>\n La sensibilisation \u00e0 la cybers\u00e9curit\u00e9 r\u00e9duit le risque d’incident de s\u00e9curit\u00e9 \u00e0 fort impact susceptible de nuire \u00e0 l’entreprise. D’apr\u00e8s mon exp\u00e9rience, dispenser une \u00e9ducation \u00e0 la s\u00e9curit\u00e9 et une formation de sensibilisation est une activit\u00e9 pr\u00e9cieuse qui est consid\u00e9r\u00e9e par de nombreux chefs d’entreprise comme un \u00e9vitement de co\u00fbts. Il rappelle formellement aux employ\u00e9s qu’il existe d’importantes politiques et proc\u00e9dures de s\u00e9curit\u00e9 \u00e0 prendre en compte lors de l’ex\u00e9cution du travail et d\u00e9finit les cons\u00e9quences du non-respect d’une bonne cyber-hygi\u00e8ne. Avec la pr\u00e9valence des menaces et les co\u00fbts \u00e9lev\u00e9s des incidents de s\u00e9curit\u00e9, les employ\u00e9s doivent \u00eatre vigilants dans leurs activit\u00e9s quotidiennes.<\/p>\n Cindy Murphy \u2013 Pr\u00e9sidente de Digital Forensics chez Tetra Defense<\/a><\/strong><\/p>\n Les programmes de sensibilisation et les initiatives de formation \u00e0 la s\u00e9curit\u00e9 des employ\u00e9s sont d’une importance cruciale pour la protection des donn\u00e9es sensibles que poss\u00e8dent les organisations. Je pr\u00e9conise de fournir une formation en cybers\u00e9curit\u00e9 afin que les employ\u00e9s soient en mesure de reconna\u00eetre les activit\u00e9s malveillantes. Par exemple, les escrocs utilisent encore principalement le courrier \u00e9lectronique pour tromper leurs victimes. Ce qui est nouveau \u00e0 cette \u00e9poque, c’est la messagerie frauduleuse dans les e-mails: le CDC demande des dons en Bitcoin. Vos documents d’all\u00e8gement fiscal COVID-19 sont disponibles sur ce (faux) site Web. Un m\u00e9decin de l’Organisation mondiale de la sant\u00e9 a des "conseils sur les m\u00e9dicaments" si vous cliquez ici. C’est de l’ing\u00e9nierie sociale \u00e0 son pire \u2014 et malheureusement, il est plus probable qu’elle fonctionne en ces temps incertains.<\/p>\n Les gens ne sont pas devenus plus cr\u00e9dules au cours des trois derniers mois et demi ; ils se sont habitu\u00e9s aux grands changements dans les petits messages. Lorsque le prochain titre de l’actualit\u00e9 pourrait \u00eatre une question de s\u00e9curit\u00e9 ou de maladie, il est beaucoup plus facile de croire les informations qui apparaissent directement dans votre bo\u00eete de r\u00e9ception.<\/p>\n Mark Soto – PDG de Cybericus<\/a><\/strong><\/p>\n L’une des principales raisons pour lesquelles la sensibilisation \u00e0 la cybers\u00e9curit\u00e9 est importante pour les employ\u00e9s est due au fait que la grande majorit\u00e9 des violations de donn\u00e9es (varie entre 60 et 80\u00a0% selon la source) sont dues \u00e0 des erreurs internes des employ\u00e9s et que pr\u00e8s de (30\u00a0% \u00e0 40\u00a0% m\u00eame raison ci-dessus) des violations de donn\u00e9es sont dues \u00e0 des employ\u00e9s internes malveillants. Vos employ\u00e9s doivent \u00eatre conscients des bases de la cybers\u00e9curit\u00e9, des cyber-dangers \u00e0 l’ext\u00e9rieur de l’entreprise comme \u00e0 l’int\u00e9rieur de celle-ci. Nous travaillons g\u00e9n\u00e9ralement avec des entreprises une fois qu’elles ont \u00e9t\u00e9 attaqu\u00e9es, mais nous consid\u00e9rerions certainement qu’une formation en cybers\u00e9curit\u00e9 en vaut la peine.<\/p>\n Vous pouvez d\u00e9penser des millions de dollars sur le meilleur logiciel de cybers\u00e9curit\u00e9 hautement avanc\u00e9 pour votre entreprise, mais si vos employ\u00e9s ne sont pas suffisamment inform\u00e9s sur les meilleures pratiques, vous ne faites que gaspiller votre argent. Les logiciels ne peuvent pas faire grand-chose pour pr\u00e9venir les attaques dues \u00e0 une erreur humaine et si votre employ\u00e9 ne sait pas pourquoi il ne devrait pas brancher de cl\u00e9s USB al\u00e9atoires sur son ordinateur ou ne pas cliquer sur des liens de messagerie al\u00e9atoires \u00e0 partir d’adresses e-mail louches, alors vous sont susceptibles d’\u00eatre pirat\u00e9s, quel que soit le type de logiciel ou de technologie que vous utilisez.<\/p>\n Marty Puranik \u2013 Pr\u00e9sident et PDG d’Atlantic.net<\/strong><\/p>\n Une tendance majeure que nous constatons maintenant et qui n’existait pas vraiment il y a des ann\u00e9es est la formation des employ\u00e9s \u00e0 la cybers\u00e9curit\u00e9<\/a>. Cela devrait faire partie de la culture de votre entreprise, et plus il est r\u00e9pandu dans votre entreprise, plus les gens y adh\u00e8reront. Essayez d’inclure votre CIO ou votre responsable informatique pendant le processus d’int\u00e9gration pour bien faire comprendre aux nouveaux employ\u00e9s l’importance de la s\u00e9curit\u00e9 sur leur nouveau lieu de travail. Pour les employ\u00e9s de longue date, assurez-vous que votre message est transmis par l’interm\u00e9diaire de leurs chefs d’\u00e9quipe. Essayez de rester \u00e0 l’\u00e9cart des longs e-mails et m\u00e9mos dont beaucoup d'employ\u00e9s survoleront les premi\u00e8res phrases avant de les supprimer.<\/p>\n Au lieu de cela, essayez de cr\u00e9er des vid\u00e9os ou accrochez peut-\u00eatre des infographies dans les principales zones du bureau, comme la salle de repos, pr\u00e8s de la fontaine \u00e0 eau et m\u00eame dans les toilettes. M\u00eame si vos employ\u00e9s ne sont pas tr\u00e8s int\u00e9ress\u00e9s par la s\u00e9curit\u00e9, la lecture r\u00e9p\u00e9t\u00e9e de phrases et d’actions sous forme visuelle les aidera \u00e0 se souvenir desdits messages lorsque quelque chose d’inhabituel se produit en ligne.<\/p>\n Nick Santora \u2013 PDG de Curricula<\/a><\/strong><\/p>\n Selon divers rapports, il y a eu une augmentation de 500 % des cyberattaques depuis l’\u00e9pid\u00e9mie de coronavirus. Les pirates et les mauvais acteurs profitent de cette p\u00e9riode malheureuse que nous traversons tous. Nous avons vu tant d’attaques de phishing ciblant des employ\u00e9s qui font d\u00e9sormais partie d’une main-d’\u0153uvre massive \u00e0 distance, et le manque de formation en cybers\u00e9curit\u00e9 est \u00e9vident.<\/p>\n La strat\u00e9gie de cybers\u00e9curit\u00e9 la plus efficace consiste \u00e0 former vos employ\u00e9s \u00e0 tous les niveaux de l’entreprise sur ce qu’il faut rechercher dans un e-mail suspect, une arnaque potentielle par hame\u00e7onnage ou m\u00eame une attaque par ransomware.<\/p>\n Dr. Al Marcella – CISAM, CISA, pr\u00e9sident de Business Automation Consultants<\/a><\/strong><\/p>\n Nous avions l’habitude de dire \u00ab\u00a0la connaissance, c’est le pouvoir\u00a0\u00bb, cependant, dans notre monde connect\u00e9 \u00e0 l’\u00e9chelle mondiale, toujours actif, 24 heures sur 24, 7 jours sur 7, d\u00e9pendant de l’information, les donn\u00e9es sont une marchandise – les donn\u00e9es ont de la valeur. Ce n’est plus la connaissance qui engendre le pouvoir mais, aujourd’hui, \u00abl’information, c’est le pouvoir \u00bb. Un employ\u00e9 qui n’agit pas de mani\u00e8re responsable pour prot\u00e9ger et s\u00e9curiser les actifs informationnels de l’organisation met invariablement l’organisation en danger\u2026 financi\u00e8rement, concurrentiellement, juridiquement.<\/p>\n Je dispense des formations en cybers\u00e9curit\u00e9 depuis plus de 35 ans. Une formation qui am\u00e8ne un employ\u00e9 \u00e0 s’arr\u00eater et \u00e0 r\u00e9fl\u00e9chir avant de cliquer sur un e-mail externe, de fournir des informations \u00e0 un appelant, d’ouvrir un lien Web, de scanner un code QRC ou d’entreprendre toute action susceptible de mettre lui-m\u00eame ou son organisation en danger, est positive, r\u00e9ceptive, une formation opportune et proactive.<\/p>\n J’ai remarqu\u00e9 que bien souvent, les discussions sur la formation en cybers\u00e9curit\u00e9 ont tendance \u00e0 supposer que seul le personnel technique doit bien conna\u00eetre les meilleures pratiques en mati\u00e8re de s\u00e9curit\u00e9. Mais cela ne tient pas compte du fait que m\u00eame si les personnes responsables de la conception des r\u00e9seaux d’une entreprise font un travail minutieux pour minimiser les risques, il suffit qu’une personne dans une entreprise clique sur le mauvais lien pour annuler tout cela.<\/p>\n Il est n\u00e9cessaire de tuer cette id\u00e9e et de faire de la sensibilisation \u00e0 la cybers\u00e9curit\u00e9 un programme global. Voici ce que certains experts ont \u00e0 dire sur ce probl\u00e8me :<\/p>\n Dr Tom Keenan \u2013 Professeur \u00e0 l’Universit\u00e9 de Calgary<\/strong> Je n’oublierai jamais le "Social Engineering Challenge" au DEF CON il y a quelques ann\u00e9es o\u00f9 le but \u00e9tait d’extraire des informations des concessionnaires automobiles, soi-disant parce qu’ils allaient \u00eatre pr\u00e9sent\u00e9s comme un faux "Concessionnaire du mois".<\/p>\n Les r\u00e9ceptionnistes ont abandonn\u00e9 des questions telles que "quelle version de Windows votre entreprise utilise-t-elle\u00a0?", "quels sont le nom et l’e-mail de votre directeur financier\u00a0?" et m\u00eame "quel jour vos d\u00e9chets sont-ils collect\u00e9s\u00a0?", tous utiles pour les pirates et les voleurs d’identit\u00e9. .<\/p>\n Ainsi, lorsque je me rends dans une entreprise pour suivre une formation de sensibilisation \u00e0 la cybers\u00e9curit\u00e9, j’ai g\u00e9n\u00e9ralement une conversation agr\u00e9able avec la r\u00e9ceptionniste et je peux ensuite dire au DSI et au PDG toutes sortes de choses int\u00e9ressantes sur leur entreprise. Fonctionne \u00e0 chaque fois !<\/p>\n Gabe Turner \u2013 Expert en cybers\u00e9curit\u00e9 chez Security.org<\/a><\/strong><\/p>\n Je pense que la formation devrait \u00eatre ax\u00e9e sur tout type d'employ\u00e9 qui utilise des appareils \u00e9lectroniques \u00e0 des fins li\u00e9es \u00e0 l’entreprise, en particulier s’il utilise Internet. Alors que les informaticiens seront \u00e9videmment appel\u00e9s en cas de violation de donn\u00e9es, la formation des employ\u00e9s eux-m\u00eames est une mesure pr\u00e9ventive par rapport \u00e0 une mesure r\u00e9active, ce qui r\u00e9duit le risque pour l’entreprise d’avoir une violation de donn\u00e9es en premier lieu.<\/p>\n Ilia Sotnikov \u2013 Vice-pr\u00e9sident de la gestion des produits chez Netwrix<\/a><\/strong><\/p>\n Des sessions de formation r\u00e9guli\u00e8res pour toutes les \u00e9quipes, du personnel informatique aux employ\u00e9s non informatiques, aideront votre personnel \u00e0 mieux comprendre comment il doit r\u00e9agir aux activit\u00e9s des pirates. Par exemple, si vous incluez des informations sur le phishing et les escroqueries les plus r\u00e9centes, il est possible que les employ\u00e9s ne cliquent pas sur les liens suspects dans les e-mails et envoient ces messages \u00e0 l’\u00e9quipe informatique.<\/p>\n De plus, ces formations aideront les employ\u00e9s de tous les niveaux et de tous les d\u00e9partements \u00e0 comprendre qu’ils sont personnellement responsables de la posture de s\u00e9curit\u00e9 de l’organisation, ce qui peut les aider \u00e0 \u00eatre plus vigilants. Cela n’\u00e9liminera peut-\u00eatre pas compl\u00e8tement le risque de violation de donn\u00e9es, mais vous aurez certainement une meilleure culture d’entreprise et vos donn\u00e9es et syst\u00e8mes seront mieux prot\u00e9g\u00e9s.<\/p>\n Darren Deslatte – Responsable des op\u00e9rations de vuln\u00e9rabilit\u00e9 chez Entrust Solutions<\/a><\/strong><\/p>\n Le programme de formation en cybers\u00e9curit\u00e9 de votre entreprise doit absolument englober tous les employ\u00e9s. Pr\u00e8s de 90 % des cyberattaques sont caus\u00e9es par une erreur ou une n\u00e9gligence humaine. L’un des meilleurs moyens de surmonter ces obstacles est de s’assurer que tous les membres de votre organisation comprennent leur responsabilit\u00e9 dans la cybers\u00e9curit\u00e9 de votre entreprise, du PDG \u00e0 l’entrepreneur distant.<\/p>\n Pour qu’un plan de cybers\u00e9curit\u00e9 soit efficace, le programme de formation doit \u00eatre con\u00e7u de mani\u00e8re appropri\u00e9e pour inclure des sujets qui contribuent efficacement \u00e0 la sensibilisation des employ\u00e9s sans les faire se sentir d\u00e9pass\u00e9s. C’est le consensus g\u00e9n\u00e9ral des experts qui se sont prononc\u00e9s sur ce sujet :<\/p>\n Chris Silbaugh \u2013 Vice-pr\u00e9sident du d\u00e9veloppement commercial chez CyberKnights<\/strong><\/p>\n Il existe une vari\u00e9t\u00e9 de sujets de cybers\u00e9curit\u00e9 sur lesquels les employ\u00e9s doivent \u00eatre form\u00e9s et cela devrait d\u00e9pendre en fin de compte du poste occup\u00e9 par l'employ\u00e9. responsabilit\u00e9 principale de g\u00e9rer le r\u00e9seau d’entreprises sous une forme ou sous une autre.<\/p>\n Les employ\u00e9s qui sont plut\u00f4t un utilisateur moyen du r\u00e9seau de l’entreprise devraient suivre une autre forme de formation ax\u00e9e sur une approche plus simple de la gestion de la s\u00e9curit\u00e9 du domaine. Enfin, la formation ne doit pas \u00eatre dans des formats longs qui permettent au collaborateur de perdre rapidement son attention. La formation doit \u00eatre effectu\u00e9e fr\u00e9quemment, mais de plus courte dur\u00e9e. Le point culminant d’une ann\u00e9e de formation s’av\u00e9rera \u00eatre un meilleur processus plut\u00f4t que quelques heures consacr\u00e9es \u00e0 la fois.<\/p>\n Nick Santora \u2013 PDG de Curricula<\/strong><\/p>\n Certains sujets cl\u00e9s de formation \u00e0 la sensibilisation \u00e0 la cybers\u00e9curit\u00e9<\/a> seraient\u00a0:<\/p>\n 1 Hame\u00e7onnage<\/strong> \u2013 La majorit\u00e9 des cyberattaques contre une organisation proviendront de l’hame\u00e7onnage par courriel. Les employ\u00e9s doivent comprendre comment identifier une attaque de phishing et \u00e9viter de cliquer sur des liens suspects dans un e-mail.<\/p>\n 2 Protection par mot de passe<\/strong> – Les employ\u00e9s doivent comprendre comment cr\u00e9er des mots de passe forts, par exemple ne pas utiliser de mots de passe faciles \u00e0 deviner comme "1234". Ils doivent \u00e9galement comprendre le risque de r\u00e9utilisation des mots de passe entre les comptes personnels et d’entreprise, comment utiliser un gestionnaire de mots de passe ("vault") et d\u00e9couvrez pourquoi les mots de passe sont si importants pour prot\u00e9ger leurs comptes en ligne.<\/p>\n 3 S\u00e9curit\u00e9 de l’information<\/strong> \u2013 \u00abInfoSec\u00bb consiste \u00e0 prot\u00e9ger les actifs d’information num\u00e9rique de votre organisation. Les employ\u00e9s doivent comprendre que l’acc\u00e8s aux informations est un privil\u00e8ge et que l’acc\u00e8s "n\u00e9cessaire de savoir" doit \u00eatre pratiqu\u00e9 \u00e0 tout moment. Le partage de donn\u00e9es sensibles en dehors de l’organisation doit \u00eatre pris tr\u00e8s au s\u00e9rieux et les employ\u00e9s doivent conna\u00eetre la politique de votre organisation en mati\u00e8re de protection des informations.<\/p>\n 4 Ransomware<\/strong> \u2013 Un ransomware est un logiciel malveillant qui crypte les donn\u00e9es sur un ordinateur jusqu’\u00e0 ce qu’une somme d’argent soit vers\u00e9e au pirate, et c’est l’une des menaces les plus populaires ciblant les entreprises \u00e0 travers le monde. Si la ran\u00e7on n’est pas pay\u00e9e, votre ordinateur et toutes ses donn\u00e9es sont irr\u00e9cup\u00e9rables. La meilleure fa\u00e7on de se d\u00e9fendre contre les ransomwares est d’abord de les emp\u00eacher de se produire.<\/p>\n Dr. Al Marcella – CISAM, CISA, pr\u00e9sident de Business Automation Consultants<\/a><\/strong><\/p>\n Les donn\u00e9es sont un atout<\/strong> et ont de la valeur pour l’entreprise. Les employ\u00e9s doivent \u00eatre form\u00e9s pour consid\u00e9rer les donn\u00e9es comme un actif essentiel de l’entreprise qui doit \u00eatre prot\u00e9g\u00e9.<\/p>\n Cyber-risque<\/strong>. Qui sont les acteurs de la menace qui cherchent \u00e0 obtenir un acc\u00e8s non autoris\u00e9 aux actifs de donn\u00e9es critiques de l’entreprise\u00a0? Quelles sont les vuln\u00e9rabilit\u00e9s au sein de l’entreprise dont un acteur malveillant pourrait profiter\u00a0? Quelle est la possibilit\u00e9 que l’auteur de la menace profite de la vuln\u00e9rabilit\u00e9\u00a0? Quel serait l’impact (financier, juridique, r\u00e9putationnel) sur l’organisation, si cela devait se produire\u00a0? Quel est le r\u00f4le de chaque collaborateur pour att\u00e9nuer ces cyber-risques ?<\/p>\n S\u00e9curit\u00e9 du r\u00e9seau<\/strong>. Les employ\u00e9s ne doivent se connecter \u00e0 Internet et aux r\u00e9seaux de l’entreprise que via un service de r\u00e9seau priv\u00e9 virtuel, ce qui permet de garder priv\u00e9s les \u00e9changes entre employ\u00e9s.<\/p>\n Cryptage<\/strong>. \u00c9duquez les employ\u00e9s sur la mise en \u0153uvre et l’utilisation coh\u00e9rente de protocoles de cryptage solides pour prot\u00e9ger les actifs de donn\u00e9es num\u00e9riques critiques de l’organisation.<\/p>\n Cyberd\u00e9tournements<\/strong>. Une formation coh\u00e9rente et des informations mises \u00e0 jour sur les escroqueries de plus en plus sophistiqu\u00e9es, les attaques de phishing, les stratag\u00e8mes d’ing\u00e9nierie sociale, les faux e-mails et les sites Web tentants\u2026 tous con\u00e7us pour inciter un employ\u00e9 \u00e0 divulguer, cliquer, agir ou r\u00e9pondre \u00e0 des informations fictives, artificielles et trompeuses.<\/p>\n David Shrier – Directeur du programme Oxford Cyber \u200b\u200bFutures<\/a> de l’Universit\u00e9 d’Oxford en partenariat avec Mastercard<\/strong><\/p>\n Les employ\u00e9s doivent \u00eatre form\u00e9s sur un noyau de cyberhygi\u00e8ne et avoir une plus grande sensibilisation \u00e0 des questions plus larges telles que la s\u00e9curit\u00e9 et la confidentialit\u00e9 des donn\u00e9es, et la cyber\u00e9thique – qui cr\u00e9ent toutes des risques et ouvrent des opportunit\u00e9s pour les entreprises. Oxford Cyber \u200b\u200bFutures, par exemple, construit d’abord une base cyber solide, puis s’\u00e9tend \u00e0 l’identit\u00e9 num\u00e9rique, \u00e0 l’IA pr\u00e9dictive, \u00e0 la banque ouverte et \u00e0 d’autres domaines de croissance.<\/p>\n Pour qu’une entreprise collabore efficacement sur le cyber, elle doit renforcer la cyber capacit\u00e9 dans tous les domaines fonctionnels de l’organisation, pas seulement le personnel informatique. Trop souvent, le cyber est rendu imp\u00e9n\u00e9trable ou effrayant en termes de la fa\u00e7on dont il est enseign\u00e9, donc dans notre programme avec Oxford, nous avons cherch\u00e9 \u00e0 d\u00e9mystifier la complexit\u00e9 et \u00e0 aider les professionnels \u00e0 comprendre le potentiel d’impact tangible sur les revenus et les b\u00e9n\u00e9fices.<\/p>\n Heinrich Long \u2013 Expert en confidentialit\u00e9 chez Restore Privacy<\/a><\/strong><\/p>\n En ce qui concerne la formation en cybers\u00e9curit\u00e9 pour les employ\u00e9s, je recommanderais fortement de faire appel \u00e0 un fournisseur de formation professionnel tiers. Si vous ne parvenez pas \u00e0 trouver un bon candidat pour votre entreprise, il est important de couvrir les sujets suivants\u00a0:<\/p>\n 1) Identifier les menaces et les risques potentiels en ligne pour votre entreprise.<\/p>\n 2) Les processus et outils n\u00e9cessaires pour pr\u00e9venir les violations de donn\u00e9es, y compris la gestion des documents, les mots de passe et l’hygi\u00e8ne de s\u00e9curit\u00e9.<\/p>\n 3) Utilisation s\u00fbre d’Internet et comment identifier les liens suspects.<\/p>\n 4) Utilisation s\u00fbre du courrier \u00e9lectronique et comment \u00e9viter le phishing.<\/p>\n 5) Utilisation responsable des m\u00e9dias sociaux.<\/p>\n 6) Prot\u00e9ger le mat\u00e9riel de l’entreprise tel que les ordinateurs portables, les ordinateurs de bureau et les appareils portables.<\/p>\n Il est important de donner \u00e0 votre personnel les moyens d’identifier les cybermenaces courantes et de lui fournir les outils n\u00e9cessaires pour pr\u00e9venir les violations de donn\u00e9es.<\/p>\n Andrew Ryan – Fondateur et directeur g\u00e9n\u00e9ral de Newtec Services<\/a><\/strong><\/p>\n Chez Newtec Services, nous consid\u00e9rons les logiciels antivirus ou anti-malware comme la premi\u00e8re \u00e9tape pour les entreprises qui souhaitent prot\u00e9ger leurs donn\u00e9es. Les gestionnaires doivent \u00e9galement prendre les pr\u00e9cautions suivantes :<\/p>\n La pile technologique de base du travailleur \u00e0 distance doit inclure ces \u00e9l\u00e9ments pour renforcer la s\u00e9curit\u00e9\u00a0:<\/p>\n Steve Tcherchian \u2013 Responsable de la s\u00e9curit\u00e9 de l’information chez XYPRO<\/a> ,<\/strong><\/p>\n Pour qu’un programme de cybers\u00e9curit\u00e9 r\u00e9ussisse, voici les \u00e9l\u00e9ments cl\u00e9s<\/p>\n David B. Rounds – PDG de NetEffect<\/a><\/strong><\/p>\n La sensibilisation \u00e0 la cybers\u00e9curit\u00e9 est un sujet important de nos jours. Comment vous assurez-vous que vos employ\u00e9s sont sensibilis\u00e9s \u00e0 la cybers\u00e9curit\u00e9\u00a0? Cela commence par le haut, et c’est comme n’importe quelle autre politique ou processus d’une entreprise. Il devrait y avoir une sensibilisation et une concentration sur la s\u00e9curit\u00e9 au niveau de la direction. Les pr\u00e9occupations doivent \u00eatre exprim\u00e9es dans les conversations avec tout le personnel jusqu’\u00e0 l'employ\u00e9 le plus \u00e9l\u00e9mentaire qui n’utilise que des syst\u00e8mes de courrier \u00e9lectronique ou l’acc\u00e8s \u00e0 une application de l’entreprise. C’est la base de toute culture d’entreprise.<\/p>\n Vous devez \u00e9galement avoir un programme de formation. Qu’il s’agisse de quelque chose de livr\u00e9 en interne par des employ\u00e9s ou des RH comp\u00e9tents, ou mieux encore, les entreprises peuvent trouver un programme de sensibilisation \u00e0 la cybers\u00e9curit\u00e9. Il y en a beaucoup l\u00e0-bas. Certains ne co\u00fbtent que quelques dollars par mois et par utilisateur. Ces programmes peuvent inclure des \u00e9l\u00e9ments tels que de courtes \u00ab\u00a0micro-formations\u00a0\u00bb de 2 \u00e0 5\u00a0minutes, des simulations de tentatives de phishing par e-mail et m\u00eame le suivi de la sensibilisation des employ\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et la surveillance de la reconnaissance des politiques de l’entreprise pour toutes les politiques de l’entreprise.<\/p>\n Cela peut aussi \u00eatre amusant! Certains des syst\u00e8mes affichent des scores de s\u00e9curit\u00e9 anonymes o\u00f9 les employ\u00e9s peuvent rivaliser pour voir qui est le plus \u00e9lev\u00e9.<\/p>\n Chlo\u00e9 Messdaghi \u2013 Vice-pr\u00e9sidente de la strat\u00e9gie chez Point3 Security<\/a><\/strong><\/p>\n L’hame\u00e7onnage de vos propres entreprises est une bonne pratique exemplaire. Je crois fermement qu’il faut s’assurer que les gens savent ce qu’est le phishing et comment le surveiller. Demandez \u00e0 quelqu’un de faire un test de phishing. Il existe des entreprises que vous pouvez engager pour vous aider et vous aider \u00e0 mettre en \u0153uvre un programme de formation et de sensibilisation \u00e0 la cybers\u00e9curit\u00e9. Je sugg\u00e9rerais d’hame\u00e7onner votre \u00e9quipe tout au long de l’ann\u00e9e et de demander \u00e0 vos co\u00e9quipiers de faire la m\u00eame chose, par exemple de cr\u00e9er un faux personnage\u00a0; compte e-mail qui est sous le nom de votre patron (avec la permission bien s\u00fbr\u00a0!) et envoyer des e-mails aux membres de l’\u00e9quipe disant qu’ils font un excellent travail et voici une carte-cadeau Amazon, cliquez simplement sur le lien (lien non malveillant mais quelque chose qui suit si le lien a \u00e9t\u00e9 utilis\u00e9)\u2026<\/p>\n Beaucoup de gens pensent que la mise en \u0153uvre de pratiques de s\u00e9curit\u00e9 repr\u00e9sente beaucoup de travail. Le fait est que si un attaquant peut atteindre un seul de vos employ\u00e9s, il peut avoir acc\u00e8s \u00e0 votre op\u00e9ration et \u00e0 des informations confidentielles, donc la quantit\u00e9 de travail qui pourrait \u00eatre impliqu\u00e9e en vaut la peine pour \u00e9viter une catastrophe potentielle. Assurez-vous que vos employ\u00e9s comprennent cela au maximum. Effectuez des tests de phishing comme un jeu, impliquez les employ\u00e9s en \u00ab\u00a0jouant\u00a0\u00bb tout en renfor\u00e7ant l’importance d’\u00eatre conscient et de rester en s\u00e9curit\u00e9 non seulement en tant qu’individu, mais en tant que partie potentiellement vuln\u00e9rable de l’entreprise dans son ensemble.<\/p>\n Si vous n’\u00eates pas submerg\u00e9 par tous les conseils et id\u00e9es d’experts ci-dessus, voici un \u00e9nonc\u00e9 concis de conseils que chaque employ\u00e9 et organisation devrait suivre dans l’int\u00e9r\u00eat de bonnes pratiques de cybers\u00e9curit\u00e9\u00a0:<\/p>\n Paul Howard – Coordinateur d’enqu\u00eate D\u00e9veloppement commercial du Smith Training Center<\/a> et de la Smith Investigation Agency<\/a><\/strong><\/p>\n Gardez votre bureau propre; n’utilisez pas votre appareil personnel \u00e0 des fins professionnelles\u00a0; g\u00e9rer vos donn\u00e9es\u00a0; utiliser des solutions de stockage externes\u00a0; adopter des habitudes Internet s\u00fbres\u00a0; soyez tr\u00e8s prudent avec votre mot de passe ; limitez vos partages sur les sites de r\u00e9seaux sociaux et soyez conscient de leurs vuln\u00e9rabilit\u00e9s ; m\u00e9fiez-vous des arnaques par e-mail\u00a0; \u00eatre conscient de ce qu’est un logiciel malveillant\u00a0; et enfin, obtenez toujours les conseils d’un professionnel de l’informatique si vous remettez en question quelque chose qui semble d\u00e9plac\u00e9.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":" La plus grande trag\u00e9die des progr\u00e8s scientifiques et technologiques est qu’ils progressent \u00e0 un rythme beaucoup plus rapide que la sagesse collective de la soci\u00e9t\u00e9. C’est ce qu’a essentiellement dit Isaac Asimov il y a quelques d\u00e9cennies lorsqu’il commentait la relation entre la science et la soci\u00e9t\u00e9.<\/p>\n","protected":false},"author":1,"featured_media":238257,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8517,8475,8455,8433],"tags":[],"class_list":["post-248623","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-protection-des-donnees","category-vpn-et-confidentialite","category-vpn-mobile","category-vpn-pour-ordinateurs"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/posts\/248623","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/comments?post=248623"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/posts\/248623\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/media\/238257"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/media?parent=248623"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/categories?post=248623"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/tags?post=248623"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Pourquoi la formation en cybers\u00e9curit\u00e9 est importante (selon les experts)<\/h2>\n
\n
La cybers\u00e9curit\u00e9 n’est pas seulement pour le personnel informatique\/technique<\/h2>\n
\nM\u00eame les r\u00e9ceptionnistes ont besoin d’une formation et d’une sensibilisation \u00e0 la cybers\u00e9curit\u00e9!<\/p>\nSujets cl\u00e9s \u00e0 inclure dans un programme de formation en cybers\u00e9curit\u00e9<\/h2>\n
Favoriser une culture de sensibilisation \u00e0 la cybers\u00e9curit\u00e9 et des meilleures pratiques<\/h2>\n
\n
\n
\n
Finir<\/h2>\n