Agence web » Actualités du digital » Pourquoi votre personnel est votre maillon faible en matière de cybersécurité

Pourquoi votre personnel est votre maillon faible en matière de cybersécurité

Shutterstock / Ribkhan

L'ensemble de votre personnel est en première ligne en matière de cybersécurité. Ce sont eux qui tiennent les remparts, il est donc vital qu’ils soient capables et désireux. Ils ont besoin de connaissances, vous avez besoin de leur adhésion.

Le maillon faible?

Vos effectifs ne sont pas seuls, bien sûr. Vous identifierez et investirez dans les technologies appropriées, tant matérielles que logicielles, en fonction de l’évaluation des menaces de votre organisation et de son appétit pour le risque. Vous mettrez en œuvre les politiques et procédures appropriées pour assurer la gouvernance, le contrôle et les conseils.

Bien entendu, la mise en œuvre et la maintenance de ces mesures dépendent de votre personnel, et vos collaborateurs sont également les utilisateurs quotidiens de vos systèmes informatiques. Donc, que ces systèmes soient conçus, installés, entretenus ou utilisés, cela dépend toujours des gens. Vous ne pouvez pas supprimer le facteur humain.

C’est pourquoi il est essentiel que chaque utilisateur d’ordinateur de votre organisation soutienne ce que vous essayez de réaliser, comprenne pourquoi vous le faites et comment cela les affecte. Cela signifie qu'ils doivent comprendre ce qu'ils doivent et ne doivent pas faire et, surtout, comprendre pourquoi.

Vos défenses sont toujours aussi fortes que votre membre le plus faible de votre équipe. Les plus faibles peuvent signifier qu’ils ne comprennent pas, et ils font donc une erreur. Cela pourrait signifier qu'ils ne souscrivent pas à l'ensemble de l'accord de cybersécurité et le considèrent comme un autre fardeau qui leur est imposé: plus de paperasse et de responsabilité. Donc, soit ils l'ignorent, soit ils coupent les coins ronds et enfreignent sciemment les règles.

Toutes les chaînes ont un maillon le plus faible. Mais le maillon le plus faible d'une chaîne de qualité supérieure est susceptible d'être plus solide que tous les maillons d'une chaîne de mauvaise qualité. Pourquoi votre personnel est-il le maillon le plus faible de votre cybersécurité?

Parce que vous ne les avez pas transformés en votre plus grand atout de sécurité.

Le Saint Graal de l'adhésion du personnel

Le Saint-Graal est une main-d'œuvre soucieuse de la sécurité qui suit les meilleures pratiques, utilise le bon sens éclairé et est diligente mais pas paranoïaque. Se rapprocher de cela peut ressembler à la définition même d'une lutte difficile.

Les gens n'aiment pas le changement. Il y aura du recul. Que pouvez-vous faire? Des lancinements répétés finissent par devenir un bruit de fond. Adopter une approche punitive, ou lier des transgressions mineures à une procédure disciplinaire, aliénera au mieux les gens et, au pire, les conduira à tomber dans les outils.

Mais c'est incontournable. Si votre organisation veut être protégée contre la cybercriminalité, vous devez que tout le monde tire dans la même direction et le fasse de son plein gré.

Ces huit points vous aideront à tracer la voie vers l'adhésion du personnel.

Un: partager des informations

Personne n'essaie de dire que la cybersécurité est simple. Au contraire, cela peut être complexe. Mais ne gardez pas votre personnel dans l’ignorance. Vous n’avez pas besoin de leur donner un compte rendu détaillé des raisons techniques pour lesquelles vous avez choisi une approche particulière. Mais dites-leur quelles sont les menaces. Faites-leur comprendre que ces menaces sont réelles et potentiellement catastrophiques. Expliquez ce que l'organisation a fait pour contrer les menaces et détaillez ce que l'on attend d'elles.

Vos employés comprennent-ils qu’ils jouent un rôle vital dans la sécurité et qu’ils ont une responsabilité lorsqu'ils utilisent les services informatiques de l’entreprise? C'est exactement la même chose que s'ils utilisaient une voiture de société. Ils doivent l'utiliser correctement – conformément au code de la route – et le traiter avec respect. Ils en sont responsables pendant qu’ils l’utilisent. Il en va de même pour votre réseau et vos données. Et si votre organisation est touchée par un ransomware et est incapable de négocier, tout le monde en souffre.

Si vous n'êtes pas à l'aise avec le sujet, envisagez de l'externaliser à une entreprise spécialisée. Faire appel à une expertise extérieure démontre votre engagement en faveur de la cybersécurité et le sérieux que vous accordez à faire les bonnes choses de la bonne manière. Cela vous donne également la possibilité de bénéficier d'un point de vue indépendant.

Deux: les données commerciales incluent les données personnelles

Lorsque les gens sont occupés, ils se concentrent sur ce qu'ils doivent faire pour terminer la tâche sur laquelle ils travaillent. Il est difficile de s'inquiéter de la situation dans son ensemble lorsque vous êtes en marche vers la mort vers une date limite. Mais si quelque chose les affecte personnellement, ils le garderont à l'esprit.

Votre organisation détient des données personnelles sur chaque employé, ce ne sont donc pas seulement les données de l'entreprise qui sont en jeu. Les cybercriminels sont tout aussi intéressés par les données personnelles du personnel que par les informations de l'entreprise.

Les données personnelles d’un employé sont protégées par les mesures mises en place par l’organisation et par la volonté de ses collègues de suivre les procédures. Ils doivent chacun avoir le dos l'un de l'autre.

Trois: montrer qu'il n'y a pas d'exceptions

Tout le monde a besoin d'une formation de sensibilisation à la cybersécurité et tout le monde doit adhérer aux politiques et procédures. Vous ne pouvez pas avoir de changement de cap ou de culture si cela ne s'applique qu'à certains départements ou équipes, ou si certains niveaux supérieurs pensent qu'ils sont exemptés.

De même, tout le monde dans l'organisation doit passer par les mêmes processus d'introduction de politique et de déploiement de procédure. Sachant que les niveaux supérieurs sont soumis à la même gouvernance informatique et de sécurité, les règles du jeu seront équitables aux yeux du personnel. Et la suite a besoin de savoir en quoi consiste la formation de la main-d’œuvre. Ils doivent savoir qu'il est efficace, bien fourni, pertinent et couvre tout le monde, y compris eux-mêmes.

Pensez à faire un petit test à la fin des sessions, avant les questions et réponses finales. Non seulement cela attirera l'attention du public, mais cela fournira également des mesures sur les scores. Si une section particulière est généralement une section à faible score, cette zone de la session peut nécessiter quelques retouches pour faire passer le message.

Quatre: créer des politiques et des procédures accessibles

Vous ne pouvez pas vous attendre à ce que les gens se comportent de la bonne manière si vous n’indiquez pas clairement ce qui est acceptable en premier lieu. Ainsi, les documents de politique doivent être rédigés pour communiquer clairement ce qui est exigé de tout le personnel. Les documents clairs, simples et rédigés en clair sont les meilleurs. N'essayez pas de les rendre impressionnants, essayez de les rendre accessibles et sans ambiguïté.

En règle générale, vous aurez besoin de documents qui interfonctionnent pour fournir un cadre de gouvernance informatique global, y compris une politique de sécurité, une procédure d'incident informatique, une procédure de violation de données, une politique d'utilisation acceptable, une politique de mot de passe et éventuellement des procédures et des documents pour satisfaire la législation locale, comme le Règlement général sur la protection des données (RGPD) ou le California Consumer Privacy Act (CCPA). Vos documents peuvent avoir des noms différents, mais ils doivent aborder ces sujets.

Il y en aura beaucoup plus opérationnel les procédures qui contrôlent les activités, telles que le déploiement des correctifs de sécurité; les calendriers de sauvegarde, y compris les tests; et de nouvelles procédures de départ, de changement de rôle et de départ. Celles-ci sont spécifiques à l'équipe et au service. Si vous n'êtes pas en informatique, vous ne préparerez pas de comptes pour de nouveaux utilisateurs, mais chaque nouvel utilisateur ou changement de rôle doit être créé conformément à la procédure.

Cinq: ça commence le premier jour

Les nouveaux entrants subiront un processus d'intégration. Dans le cadre de cette induction, la protection des données et la cybersécurité doivent être abordées. C'est votre chance de convaincre les employés frais et enthousiastes que c'est ainsi que vous le faites ici. Ne leur donnez pas le temps de prendre de mauvaises habitudes et profitez-en pour éliminer les mauvaises habitudes qu'ils apportent avec eux.

Ne le déchirez pas aussi vite que possible. Ce n’est pas un exercice consistant à cocher des cases. Couper les coins ici fera penser à votre nouveau démarreur que ce n'est pas important; ce n’est que de la paperasse. Mais bien fait, cela amène votre nouveau démarreur dans le giron avec la bonne attitude.

Vous pourrez peut-être l'ouvrir à un public plus large et l'utiliser comme un rappel de sensibilisation à la cybersécurité pour ceux qui n'ont pas eu de recharge récemment. Le fait d'avoir plus de personnes dans la salle que de simples nouveaux venus renforce le fait que la cybersécurité n'est pas quelque chose qui est mentionné lors de la première semaine d'emploi, puis ignoré.

Faites-leur signer qu'ils comprennent ce qui est exigé d'eux et qu'ils se conformeront à vos politiques.

Six: Rendez-le régulier

Tenez un registre de la formation de sensibilisation du personnel à la cybersécurité et assurez-vous que tout le monde y est entraîné. Ensuite, répétez-le, au minimum absolu, chaque année.

Faire de la protection des données et de la cybersécurité un point permanent à l'ordre du jour des réunions de la direction et du conseil d'administration. Ce n’est pas un complément à l’informatique, c’est un ensemble distinct de mesures qui traitent les risques. Tout comme vous avez des gicleurs, des exercices d'incendie et une assurance incendie pour atténuer les risques d'incendie, vous avez besoin de mesures pour lutter contre les cybermenaces. Vérifiez si vos défenses sont toujours appropriées et efficaces, et examinez et débriefez tout incident de sécurité ou de protection des données.

Planifiez et exécutez des essais à sec de vos procédures de gestion des violations et des incidents de sécurité. N'attendez pas que le navire ait un trou pour répéter votre plan de canot de sauvetage. Créez un incident fictif et laissez vos équipes le traiter comme s'il était réel. Ensuite, comblez les lacunes révélées par la course à sec.

Sept: Choisissez le fruit à portée de main

Faites les premiers pas les plus simples. Ils auront toujours un impact important sur l'élévation de votre niveau de cybersécurité et habitueront les employés à intégrer des activités axées sur la sécurité dans leurs routines.

  • Ne laissez personne partager des mots de passe.
  • Ne laissez aucun tiers accéder à votre réseau Wi-Fi d'entreprise. Avoir un réseau Wi-Fi invité qui va directement à Internet. Ils n'ont pas besoin d'être sur votre réseau; ils ont juste besoin de recevoir leur e-mail. Vous n'aurez peut-être même pas à acheter d'équipement pour le faire, votre matériel actuel pourrait déjà le prendre en charge.
  • Tous les mots de passe doivent être uniques et ne doivent pas être des mots de passe déjà utilisés ailleurs.
  • Définissez des règles de complexité des mots de passe et appliquez-les.
  • Si les utilisateurs ont trop de mots de passe à mémoriser, sélectionnez et promouvez un gestionnaire de mots de passe approuvé par l'entreprise.
  • Utilisez l'authentification à deux facteurs chaque fois que cela est possible.
  • Offrez une formation sur l'identification du phishing, du spear phishing et d'autres menaces transmises par e-mail.
  • Offrez une formation pour aider le personnel à détecter et à éviter l'ingénierie sociale.
  • Assurez-vous que tous les systèmes d’exploitation et toutes les applications respectent le cycle de vie du support des fabricants.
  • Appliquez tous les correctifs de sécurité aux serveurs et aux ordinateurs, ainsi qu'aux périphériques réseau tels que les routeurs, les commutateurs et les pare-feu.
  • Mettez en place une élimination sécurisée des équipements informatiques mis hors service et obtenez des certificats de nettoyage des données.

Une fois qu'un cadre de base est en place, les couches les plus complexes auront une base sur laquelle s'asseoir.

Huit: Mesurer et signaler

Intégrez de bonnes pratiques de cybersécurité à vos programmes d'évaluation du personnel ou d'évaluation des performances.

Rassemblez et présentez des statistiques sur un tableau de bord destiné aux employés.

Fournissez un moyen simple de signaler les problèmes et encouragez le personnel à identifier les vulnérabilités présumées de votre système. Un petit prix mensuel pour quelqu'un qui détecte un risque de sécurité potentiel, ou propose une amélioration, est un bon moyen d'impliquer les gens.

Effectuer périodiquement des tests de sensibilité du personnel. Les attaques de phishing bénignes et les drop USB sont un bon moyen d'identifier le personnel qui a besoin de compléter sa formation, ou qu'une procédure doit être mise à jour, clarifiée ou renforcée.

N'oubliez pas de signaler le département le plus amélioré, de sorte que lorsque les tailleurs progressent dans le classement, ils soient reconnus. Si vous ne souhaitez pas classer les départements selon un tableau de classement, utilisez leurs scores pour les déplacer vers des régions sur un système de feux de signalisation. Tout le monde devrait viser à être dans le vert.

Indiquez également les étapes que l'organisation a menées, telles que le nombre de jours depuis le dernier test d'intrusion, le nombre de problèmes identifiés et le nombre de ces problèmes résolus. De cette façon, vous représentez un aperçu des efforts conjoints de l'organisation et de votre personnel.

★★★★★