Comment amener votre personnel à prendre au sérieux la cybersécurité

Avec la technologie de plus en plus liée à tous les aspects de l'entreprise, CNET @ Work peut vous aider à démarrer - que vous soyez un particulier dans une petite entreprise de moins de cinq employés.

Le bon sens ne va que très loin et vous devez vous assurer que les meilleures pratiques en matière de sécurité ne vont pas dans les oreilles. Voici votre plan d'attaque.

En ce qui concerne la cybersécurité, la société de logiciels AutoClerk veille à ce que ses 25 employés sachent qu’ils se trouvent en première ligne de ce qui ressemble à une bataille sans merci.

"S'ils ne sont pas au courant de la cybersécurité avant de les embaucher, nous les en informerons", a déclaré Charlotte Gibb, copropriétaire du développeur de Walnut Creek, en Californie, qui fournit des logiciels au secteur de l'hôtellerie. "Nos clients sont souvent la cible de cyberattaques et nous devons donc être très vigilants quant à l'impact que cela pourrait avoir sur nos clients. Nous prenons la cybersécurité très au sérieux."

Elle devrait. Les cybercriminels s’intéressent particulièrement aux petites entreprises. Environ 18% des campagnes de phishing ciblaient des petites entreprises en 2011; Depuis, ce nombre a grimpé à plus de 43%, le phishing devenant le principal moyen de générer des attaques de ransomwares et de logiciels malveillants.

Les menaces ne se limitent pas aux courriels de phishing. La plupart des atteintes à la sécurité découlent de décisions négligentes prises par des employés. Les cybercriminels tenteront d'infiltrer une organisation en utilisant des tactiques d'ingénierie sociale pour gagner la confiance des employés. Ils peuvent également laisser des clés USB infectées, en espérant que quelqu'un en prendra une et la connecte à leur ordinateur. L'un des stratagèmes récemment utilisé est le compromis de messagerie commerciale dans lequel les fraudeurs ciblent les employés qui ont accès aux finances de l'entreprise pour les duper en leur demandant d'envoyer des virements électroniques à de faux comptes bancaires.

Tous peuvent faire des ravages. Selon l'US National Cyber ​​Security Alliance, environ 60% des petites entreprises sont incapables de maintenir leurs activités plus de six mois après une cyberattaque.

Pour enrayer la menace, il faut convaincre les employés de mettre en pratique ce qu'ils apprennent sur la cybersécurité. Même dans ce cas, rien ne garantit que les employés agiront comme il convient.

"A moins que vous ne vouliez rendre votre lieu de travail inconfortable et vous mettre à la tête de quelqu'un, vous ne savez pas vraiment", a déclaré Gibb. "Vous devez fondamentalement faire confiance à vos employés. À un moment donné, vous devez avoir un niveau de confiance avec les personnes que vous avez embauchées parce que vous leur confiez vos clients et vos informations critiques."

Rendre le message collé

C'est un cliché populaire - et précis - dans l'industrie de la sécurité que les employés constituent la première ligne de défense d'une entreprise contre les activités malveillantes ou criminelles. Et c'est pourquoi il est essentiel de continuer à prêcher l'Évangile jusqu'à ce que les meilleures pratiques en matière de cybersécurité deviennent une seconde nature pour votre peuple.

L'éducation est la clé pour enseigner aux employés un sens partagé des responsabilités pour les données avec lesquelles ils travaillent. Toute campagne doit faire partie d’un processus continu. Bien que certaines petites entreprises puissent penser qu'elles manquent de ressources, il existe des moyens de mener une campagne efficace d'éducation en matière de cybersécurité sans se ruiner.

● Ne pas opter pour des tactiques d'effarouchement. L’objectif étant de créer une culture de la cyber-sensibilisation, traitez-la comme une campagne de marketing avec l’intention de la persuader.

● Commencez petit avec quelques vidéos ou infographies pour bien démarrer. Incluez des affiches, des concours et d’autres rappels pour ramener à la maison un message facile à comprendre: la sécurité est la responsabilité de chacun.

● Ne perdez pas de temps à envoyer de longs mémos qui ne seront ignorés. Restez amusant, soyez bref. Vous essayez d'éduquer les employés sur les meilleures pratiques, sans les forcer à manger leurs épinards. Lorsque tout le monde peut bien rire, ils peuvent aussi apprendre en même temps.

● Promouvoir le thème avec des campagnes de suivi trimestrielles qui insistent sur la sensibilisation à la cybersécurité. Suivez la formation en vérifiant si la leçon a été bien apprise. Envoyez des e-mails de phishing frauduleux à l'occasion pour vérifier le nombre d'employés qui ne reconnaissent toujours pas la menace.

Changer le comportement des employés peut sembler une tâche décourageante. Mais même si vous ne pouvez pas éliminer toutes les cyberattaques dirigées contre votre entreprise, vous pouvez toujours créer des conditions propices à la réduction de la menace. Si les employés abandonnent le programme avec une compréhension plus sérieuse de la cybersécurité de base, c'est déjà un progrès considérable.

Carottes et bâtonnets

"Une faille de sécurité détruirait notre réputation et pourrait mettre la société en faillite", a déclaré David Cox, PDG de LiquidVPN, fournisseur de réseau privé virtuel à Cheyenne, dans le Wyoming.

C'est un scénario qui donne à réfléchir et c'est pourquoi il déploie un mélange constant de carottes et de bâtons pour que son personnel reste «sur ses gardes». Par exemple, Cox fait tomber périodiquement un dispositif d'injection de frappe déguisé en clé USB dans un couloir, une salle de bain ou un hall d'entrée. "Si quelqu'un le branche sur l'un de nos postes de travail, je reçois un rapport contenant son compte utilisateur et son identifiant d'appareil", a-t-il déclaré.

Il contracte également un service tiers spécialisé dans les attaques de phishing et de logiciels malveillants. Si une personne échoue à un test ou est touchée par une véritable attaque, elle est écartée et interrogée pour comprendre pourquoi elle a réussi.

"Nous essayons de démontrer ce qui pourrait arriver s'ils ne prennent pas la cybersécurité au sérieux et je récompense les employés qui sont proactifs", a déclaré Cox.

En même temps, si un employé fait quelque chose d'exceptionnel ou s'il fait preuve d'une grande connaissance de la situation, il est récompensé par des billets pour un match, un dîner pour deux ou un chèque-cadeau Amazon.

Mais au final, les enjeux sont trop importants pour laisser persister une performance médiocre en matière de cybersécurité.

"Nous donnons aux employés une formation adéquate et s'ils ne sont pas en mesure de démontrer le type de conscience de la situation qu'exige notre industrie, je n'aurais d'autre choix que de les laisser partir", a-t-il déclaré. "Ce n'est pas encore arrivé. Et j'espère sincèrement que ce n'est pas le cas."

Articles Populaires

Accélérez votre télécommande Logitech Harmony

Au-delà des paramètres de base de la télévision

Limiter le volume sur iPhone, iPod et iPad

Est-ce que HDR fait mal à regarder?

Comment transférer votre numéro de téléphone fixe vers Google Voice

Comment protéger les enfants des applications Android matures

 

Laissez Vos Commentaires