Chaque jour, il y a un nouveau rapport de violation de données et, avant le début de la pandémie de Covid-19, les cyberattaques étaient monnaie courante, même les plus grands conglomérats comme GE ont eu leurs défenses brisées au cours des derniers mois.

Maintenant que les organisations sont obligées d’adopter rapidement des pratiques de travail à distance comme norme, les cybercriminels se frottent les mains de joie. Les employés travaillant sur un réseau interne étaient déjà une cible molle pour le cybercriminel. Après tout, plus de 90% de toutes les violations de données sont causées par des erreurs humaines, en raison d’une formation inadéquate sur les risques de cybersécurité et les menaces potentielles. Et maintenant, les entreprises avec une main-d’œuvre distante sont encore plus vulnérables. Avec des employés dans la nature, les cybercriminels misent sur la ruée vers l’or qui accompagne le Far West virtuel.

La nécessité d’une formation en cybersécurité

Le problème est que, comme de nombreux informaticiens assiégés vous le diront, même les meilleures solutions techniques au monde ne peuvent pas sécuriser à elles seules votre infrastructure informatique. Un seul clic absent d’un employé dans un e-mail de phishing peut faire tomber même le système le plus sophistiqué et le plus robuste sur le plan technique. Les responsables informatiques qui travaillent dur conviendront que l’un de leurs plus grands défis est d’aider les utilisateurs du réseau à comprendre les risques, à quoi ressemble une cyberattaque et ce qu’il faut faire en cas d’attaque. C’est là que les organisations doivent aujourd’hui transformer ce problème en solution: faire de leur personnel le plus grand atout de sécurité qu’ils ont sur le réseau en les formant et en les éduquant à la cybersécurité, littéralement pendant leur travail et de manière critique non seulement sur un calendrier de formation, et en soutenant eux alors qu’ils font face à ces menaces en temps réel. Cela crée efficacement le pare-feu – un «pare-feu humain».

Les vulnérabilités les plus courantes commencent par Business Email Compromise (BEC) et Email Account Compromise (EAC), où les attaques ont coûté aux organisations plus de 26 milliards de dollars depuis 2016 (rapporté par le FBI). En fait, le FBI vient de signaler une augmentation de la fraude BEC liée à Covid-19 avec des criminels utilisant le virus comme excuse pour reprogrammer ou changer de paiement ou effectuer d’autres changements commerciaux afin de voler de l’argent et des données. Les principaux coupables se présentent sous la forme d’e-mails de phishing qui semblent provenir de sources familières ou fiables. Les criminels deviennent de plus en plus sophistiqués lorsqu’ils exploitent la psychologie du moment en exploitant les circonstances, se faisant passer pour des PDG ou des conseillers de confiance et trompant même les employés les plus conscients de la sécurité dans des attaques bien exécutées et ciblées.

La plupart des entreprises reconnaissent que la formation des employés est indispensable et pour les problèmes de cybersécurité, la mentalité de l’entreprise change et les entreprises traitent désormais la cybersécurité non seulement comme un problème informatique mais comme un véritable problème commercial.

L’éducation et la formation à la cybersécurité, même sur place, prennent du temps et des efforts: la planification et la programmation de la formation prennent du temps et peuvent être comme des troupeaux de chats et vous ne pouvez tout simplement pas répondre à ceux qui ne se rendent pas à une session. Les employés vont et viennent et il est difficile d’évaluer le niveau de connaissance au sein d’une main-d’œuvre en évolution.

Construire votre pare-feu humain

Aujourd’hui, il est important de reconnaître qu’avec l’évolution des pratiques de travail – comme le travail à distance – la formation doit également évoluer – en particulier avec la formation de sensibilisation à la cybersécurité. Les approches précédentes telles que la formation programmée ou les attaques de phishing simulées au hasard sont une bonne première étape mais ne résolvent pas complètement le problème. Les cybercriminels ont toujours une longueur d’avance. Il est donc essentiel de réviser toute méthodologie de formation existante et, dans la plupart des cas, il faut aller plus loin. Rester avec les mêmes méthodologies aboutira au même résultat net: un réseau compromis.

La formation à la cybersécurité doit faire partie de la sécurité de base mise en place sur n’importe quel réseau: chaque ordinateur, chaque appareil de communication est une porte ouverte pour un criminel et à tout moment, les employés ignorants n’ouvrent pas seulement la porte – ils la soutiennent involontairement. et les inviter. Chaque employé au sein d’une organisation, grande ou petite, doit être formé à la cybersécurité sur la manière de repérer les risques et d’y réagir.

Les bases demeurent: les manuels des employés et les politiques de l’entreprise doivent être adaptés, en messages faciles à comprendre, percutants et digestes pour s’assurer que les employés prennent les cybermenaces au sérieux. La formation devrait être mise en œuvre horizontalement et verticalement. Un cybercriminel ne se soucie pas du niveau d’employé qu’il cible ni du service dans lequel il travaille.

Enfin et surtout, surtout avec une main-d’œuvre éloignée, la formation doit être continue et elle doit être en temps réel: c’est crucial et clé pour les meilleures pratiques de sécurité. Les simulations de cyberattaques doivent s’exécuter automatiquement et surveiller la façon dont l’employé distant répond avec des alertes simultanées de vulnérabilités. Les meilleurs réseaux permettent aux employés d’alerter automatiquement le service informatique de toute activité étrange ou suspecte d’une simple pression sur un bouton, mettant ainsi en quarantaine une attaque. Prendre des mesures comme celles-ci crée les bases d’une culture de la cybersécurité au sein d’une organisation et, finalement, le «pare-feu humain». Il est également plus facile que vous ne le pensez de l’implémenter et de le déployer avec un minimum de frais généraux en ressources.

Le résultat net – le pare-feu humain est la protection la plus rapide et la plus efficace pour toute entreprise – en particulier maintenant que les employés sont répartis sur plusieurs sites et zones géographiques. Toutes les organisations doivent reconnaître la cybersécurité comme un véritable risque commercial exacerbé par la présence d’une main-d’œuvre distante.

Investir dans vos employés

Comme nous l’avons vu lors d’événements récents, la réduction des coûts à court terme est une perte à long terme. La formation en temps réel sur la sensibilisation à la cybersécurité est peu coûteuse par rapport aux énormes budgets investis dans les solutions logicielles d’entreprise. La recherche a montré que le coût par employé est 44% moins cher en utilisant une plate-forme de formation automatisée en temps réel, par opposition aux programmes de formation programmés. L’intervention fournit une formation immédiate réactive au comportement des employés, éliminant ainsi le temps et les coûts liés à l’évaluation des risques et des mesures correctives grâce à une formation programmée et à la poursuite de l’achèvement du personnel. Il est également entièrement automatisé dans plusieurs langues, s’intègre facilement aux installations de sécurité réseau sophistiquées existantes, peut être déployé rapidement et de manière transparente et maximise le retour sur investissement de l’investissement global en matière de sécurité réseau.

Il n’y a vraiment aucune excuse, surtout si l’on tient compte de la réduction des frais administratifs. Les entreprises ne peuvent pas rogner sur la sécurité, en particulier lorsque les effectifs sont si fragmentés et que les attaques sont de plus en plus sophistiquées. Donnez à vos employés une conscience du cyber-risque et faites-en votre première ligne de défense!