Se défendre contre les attaques de phishing

Martin

7 décembre 2021

Les experts sont unanimes : l’humain est le maillon faible de votre réseau informatique professionnel. La plupart des attaques viennent d’erreurs humaines. Il est rare que les attaquants soient en mesure d’accéder directement au système ou aux données qu’ils recherchent le plus. Toutefois, un clic sur un lien envoyé par email suffit à propager un malware dans le réseau de l’entreprise.

Vos salariés, futur maillon fort de votre sécurité informatique

Le manque d’éducation des employés donne aux pirates une porte d’entrée idéale dans les systèmes informatiques professionnels. L’une des principales menaces à la cybersécurité est que les employés laissent leurs appareils sans surveillance dans des endroits vulnérables. Par exemple les transports en communs, où bon nombre de PC portables sont utilisés sans protection.

Demandez aux employés de rester vigilants face aux stratagèmes d’ingénierie sociale qu’ils trouveront dans leurs emails. Il est aussi important de souligner que de nombreux piratages commencent par un email d’une tierce personne se faisant passer pour un collègue et posant des questions anodines. En réalité, cette personne recueille des informations sur l’entreprise et ses activités.

Se défendre contre les attaques d’un tiers de confiance nécessite une formation régulière de sensibilisation à la sécurité.

Éduquer les employés et promouvoir la responsabilisation

La première action à effectuer pour protéger son entreprise est la sensibilisation. Sans savoir quelles menaces potentielles sont présentes, vos employés ne savent pas sur quoi être vigilants.

Il est donc essentiel que les entreprises se dotent de politiques tenant compte de l’éventualité d’une attaque. N’attendez pas pour réagir. Mettez en place un dispositif de restauration documenté et mettez-le à jour ou révisez-le fréquemment. Communiquez des instructions détaillées sur ce que les employés doivent faire s’ils pensent avoir été témoins d’un cyber-incident.

La formation doit inclure des règles spécifiques. En effet, les précautions diffèrent entre la réception d’un mail, la navigation sur internet, et les réseaux sociaux. Des éléments fondamentaux subsistent : il est impératif de notifier à l’administrateur tout courriel ou activité suspect.

Même si ces alertes peuvent s’avérer fausses, il est essentiel de ne pas décourager les employés. Le signalement des alertes est un élément clé dans l’appréhension d’une stratégie de défense cyber. Si les fausses alertes se produisent trop régulièrement, réévaluez votre approche de la formation.

Tester régulièrement ses collaborateurs

Les entreprises doivent tester régulièrement les connaissances de leurs employés en matière de cybersécurité. Les résultats des connaissances doivent être prises en compte. Il est également important de rendre l’exercice ludique et gratifiant.

 a testé et validé

Si les collaborateurs trouvent les politiques trop difficiles ou contraignantes, ils trouveront des moyens de les contourner. Par exemple, si vous obligez vos employés à renouveler leurs mots de passe chaque mois, assurez-vous qu’ils restent sécurisés.

S’il est trop difficile d’accéder à une information dont ils ont besoin, ces derniers trouveront des alternatives moins sécurisées comme le courrier électronique personnel, les clés USB … Vous devez rester à l’écoute de ce que disent vos collaborateurs et identifier la raison principale de leurs comportements risqués. Il est essentiel de trouver des solutions de substitutions qui garantissent sécurité et facilité d’utilisation pour les employés.

 a testé et validé

Privilégier les solutions alternant exercices et micro-formations

La majorité des entreprises sont habituées à des formations relativement « statiques ». Par exemple, la sensibilisation à la sécurité incendie est assez simple. Tout le monde sait où se trouve la sortie la plus proche et comment s’échapper du bâtiment. La formation à la sécurité des salariés est également très figée. Porter un gilet de sécurité jaune et un casque, s’assurer d’avoir des chaussures à embout métallique sur un chantier, etc.

Entraînement continu contre le phishing et la fraude

Des scénarios réalistes, inspirés d’attaques réelles auxquels les salariés sont confrontés quotidiennement. Les salariés hameçonnés sont invités à une microformation. Les contenus varient en fonction du niveau. Après activation, Oppens se charge de tout. Un expert est à votre disposition pour échanger sur les résultats.

Les messages fondamentaux de la plupart des formations n’évoluent pas et ne changent pas. Ce n’est pas le cas de la sensibilisation et de la formation à la cybersécurité. Les attaques sont en constante évolution, elles diffèrent en fonction de la population ciblée, de son actualité et de l’environnement dans lequel nous vivons.

Ainsi, la formation à la cybersécurité doit être étroitement liée à la valeur et à la mission d’une entreprise. Elle doit également être flexible et évoluer avec les temps qui changent. Le micro-learning et la gamification sont de nouveaux moyens d’encourager et de promouvoir un apprentissage cohérent de la cybersécurité.

La Société Générale a créé Oppens, la solution de sécurité informatique pour les entreprises : formation, entraînement au phishing, audit …

Entraînement continu pour un suivi régulier

Oppens a créé une solution unique d'entraînement des salariés pour une vigilance de haut niveau, qui fait rentrer la cybersécurité dans votre culture d'entreprise.

Simulation de phishing

L'erreur est humaine ... et coûte chère ? Choisissez les simulations de phishing Oppens pour mieux évaluer et sensibiliser vos collaborateurs.