Des politiques plus strictes aux tests plus fréquents, nous avons décrit les façons dont vous pouvez garder les équipes correctement alignées sur la cybersécurité.
Aucune entreprise n’est exempte d’erreur humaine. Que vous traitiez des documents judiciaires à la hâte, que vous mettiez à jour un plan de leçon dans une école ou que vous envoyiez des documents de réorganisation d’entreprise par courriel, nous sommes tous susceptibles de commettre des erreurs occasionnelles. Cependant, comme nous l’avons récemment discuté, les erreurs des employés (également connues sous le nom de menace interne) peuvent entraîner de graves violations de données, avec des répercussions néfastes à la fois pour l’entreprise et potentiellement pour les clients que vous servez.
Heureusement, aujourd’hui, nous avons tous accès aux dernières technologies, qui, si elles sont configurées correctement, offrent des couches supplémentaires de défense à notre posture de sécurité. Mais en plus de la technologie, les petites et moyennes entreprises (PME) devraient réfléchir à la façon dont leurs employés sont éduqués sur les risques liés à la cybersécurité et renforcer les comportements sécuritaires en matière de TI dans la mesure du possible. Nous avons interrogé 5770 décideurs informatiques de PME à travers l’Europe, et un tiers (28%) ont cité le manque de connaissances ou de formation des employés comme raison de préoccupations accrues en matière de sécurité informatique.
Avant de nous pencher sur les moyens de renforcer le comportement sécurisé des TI, voyons pourquoi certains employés pourraient être plus susceptibles que d’autres de faire l’objet de menaces internes.
L’échelle de risque des employés
Vos procédures actuelles de formation en cybersécurité et la diligence générale des employés contribueront à sécuriser le comportement informatique. Cependant, certains employés présentent un risque plus élevé. Les entrepreneurs peuvent ne pas être aussi immergés dans les politiques de sécurité de l’entreprise que les employés permanents et ne pas donc connaître toutes les dernières obligations. Les nouveaux employés, à mesure qu’ils s’habituent à plusieurs systèmes, ou qu’ils parcourent les e-mails des expéditeurs dont ils ne se souviennent pas encore des noms, pourraient être ciblés.
Le travail hybride est également un facteur de risque. Les équipes sont-elles constamment en mouvement ou les employés travaillent-ils fréquemment dans un café local? Se connecter à des réseaux externes et travailler dans des espaces publics pourrait aller à l’encontre des pratiques de sécurité standard. Alors, comment vous assurez-vous que tous les membres de votre entreprise sont alignés et adoptent un comportement informatique sécurisé ?
Les meilleurs conseils pour renforcer un comportement informatique sécurisé
- Donner la priorité à l’éducation en matière de cybersécurité
Tout le personnel, des employés de bureau à temps plein à ceux qui transportent des marchandises à destination et en provenance d’un site, devrait être tenu informé des niveaux de risque. Par exemple, les logiciels malveillants peuvent s’infiltrer dans les systèmes de votre entreprise pour arrêter les opérations – et les employés pourraient ne pas savoir que le téléchargement de logiciels externes sur les systèmes de l’entreprise peut permettre aux cybercriminels d’y accéder.
Le personnel et les entrepreneurs doivent savoir comment identifier les attaques de phishing. Si un employé reçoit une demande urgente soudaine de renseignements personnels ou des instructions pour contacter l’expéditeur par téléphone ou par message instantané, cela devrait immédiatement éveiller les soupçons. Les employés doivent être formés régulièrement sur la façon d’identifier ces incidents et d’y réagir, y compris sur la façon d’analyser l’adresse ou le numéro de l’expéditeur et de les transmettre automatiquement aux services informatiques. Les procédures de formation devraient également comprendre des tests de simulation d’attaques de phishing et de logiciels malveillants, démontrant la facilité avec laquelle un employé peut être ciblé et sa vulnérabilité à une attaque.
Au-delà des attaques de phishing, la formation de sécurité des employés devrait explorer des sujets tels que les attaques par hameçonnage (messages texte trompeurs), les attaques d’ingénierie sociale, l’utilisation des médias sociaux, le partage de fichiers sécurisé et la navigation Internet sécurisée.
- Soyez strict avec vos politiques de cybersécurité
Il convient de noter que 74% des violations de données impliquent un élément humain. Et parmi les responsables informatiques que nous avons interrogés, un tiers (30%) sont désormais plus préoccupés par les risques liés aux technologies de sécurité en raison du travail hybride. Il est donc plus important que jamais de mettre en œuvre des politiques cyber robustes, avec une communication ferme et transparente du haut vers le bas.
Cela implique de s’assurer que les employés savent comment utiliser correctement les appareils et les systèmes de l’entreprise. Fait alarmant, notre recherche montre que les trois quarts (76 %) de la formation en sécurité des PME ne couvrent pas l’utilisation d’un graveur ou d’un scanner, malgré l’importance de former les employés sur la façon d’utiliser ces appareils en toute sécurité.
Les politiques de cybersécurité devraient également inclure des instructions claires sur l’utilisation des réseaux Wi-Fi publics. C’est parce que les connexions non sécurisées peuvent entraîner des attaques de logiciels malveillants nuisibles, et même un employé qui se connecte pour envoyer quelques courriels rapides peut accidentellement causer des dommages.
De plus, votre politique devrait encourager les employés à utiliser les VPN de l’entreprise et à configurer l’authentification multifacteur (MFA) pour une couche d’identification supplémentaire lors de la connexion. De plus, il devrait mettre en garde contre l’accès aux plateformes liées au travail via des appareils personnels et rappeler aux employés de ne jamais partager leurs mots de passe.
- Restez informé sur les risques employés
Rien de ce qui précède ne peut être exécuté efficacement si les décideurs et les services informatiques eux-mêmes ne sont pas bien informés des derniers risques. Bien sûr, les menaces telles que les nouveaux employés ou ceux qui quittent l’entreprise sont persistantes. Cependant, il est important de rester informé des menaces émergentes, telles que le travail avec de nouveaux entrepreneurs ou l’utilisation par les employés d’applications tierces non réglementées.
Dans le même temps, les dirigeants devraient favoriser un environnement de travail dans lequel le personnel informatique peut suivre une formation en cybersécurité. Les employés devraient également être encouragés à poser des questions ou à signaler toute préoccupation en matière de sécurité afin qu’elle puisse être transmise à un niveau supérieur, car cela peut aider à sensibiliser les gens aux types de menaces à surveiller.
Main-d’œuvre sensibilisée aux risques soutenue par la technologie
Votre sécurité informatique est aussi efficace que celle de votre personnel. Cependant, les chefs d’entreprise et les professionnels de l’informatique doivent accorder une attention particulière à la façon dont la technologie peut aider les travailleurs à prévenir les erreurs humaines.
Un tiers des responsables informatiques ne sont pas particulièrement confiants (14%) ou pas convaincus (15%) que les employés ont une connaissance adéquate des risques de sécurité informatique. Mais ce n’est pas forcément le cas. En suivant nos conseils, les employés et les entrepreneurs peuvent élargir leurs connaissances sur le paysage des risques et les implications de leurs actions. Pour un niveau de support supplémentaire, Sharp propose une gamme complète de solutions et de services de sécurité sur mesure pour protéger les PME des erreurs humaines.
Découvrez les services et solutions de sécurité Sharp.