Les cybercriminels ne prennent jamais de vacances : pourquoi les formations de sensibilisation à la sécurité sont si importantes durant la belle saison

L’été bat son plein dans plusieurs pays. Bien que la pandémie de la COVID-19 gâche les projets de vacances pour certains, plusieurs vont tout de même s’évader de la routine du travail durant la belle saison.

Le cybercrime, lui, ne prend pas de vacances. Au contraire, plusieurs individus malintentionnés redoublent leurs efforts pervers en tablant sur le relâchement de la vigilance d’employés habituellement prudents, dans leur hâte à quitter le travail pour aller profiter des chauds rayons d’été.

En réalité, les cybercriminels et les risques virtuels sont toujours omniprésents, mais encore plus dangereux lorsque les employés ne sont pas au bureau et n’utilisent pas leurs appareils, ne vérifient pas régulièrement leurs courriels ou ne peuvent pas suivre attentivement leur présence en ligne.

L’impact peut être dévastateur. Selon un rapport de 2020 sur le coût des brèches de données (en anglais), produit par l’Institut Ponemon pour le compte d’IBM, le coût mondial moyen des brèches de données en 2020 atteint 3,86 M$.

La bonne nouvelle, c’est que les entreprises peuvent mettre à profit un programme de sensibilisation à la sécurité, une évaluation et une liste des meilleures pratiques pour assurer à leur organisation une cybersécurité forte durant toute l’année, peu importe que leurs employés soient au bureau, à la maison ou à la plage.

Quatre mesures que tout le monde devrait appliquer avant de partir en vacances

Une bonne protection de sécurité part de quelques étapes que chacun dans l’entreprise doit effectuer avant de partir en vacances.

  1. Changez vos mots de passe et conservez-les en lieu sûr, par exemple dans une application de gestion des mots de passe. Ne les notez pas sur papier.
  2. Sauvegardez vos documents électroniques sur un serveur de partage de fichiers d’entreprise sécurisé, où ils seront protégés. Ne les laissez pas sur votre poste de travail ou votre ordinateur portable, ce qui facilite la tâche à qui voudrait voler ou compromettre vos données. Également, évitez d’envoyer du travail à votre adresse courriel personnelle sur vos propres appareils puisque leurs protocoles de sécurité et les configurations sont vraisemblablement moins rigoureux que ceux de votre employeur.
  3. Déchiquetez vos documents papier confidentiels ou apportez-les au bureau plutôt que de les laisser dans votre maison vide lorsque vous vous absentez.
  4. Activez vos notifications d’absence du travail uniquement pour vos contacts à l’interne. Si vous devez activer des notifications d’absence à des contacts externes, limitez celles-ci aux personnes qui font partie de vos contacts. Moins il y aura de personnes qui sauront que vous êtes hors du bureau, plus minces seront vos chances de subir une attaque en sécurité, que ce soit un vol virtuel ou physique.

Méfiez-vous des systèmes en mode ralenti

Les systèmes informatiques de l’utilisateur (PC, portables, tablettes et mobiles) qui sont laissés en mode ralenti lors d’absences du bureau peuvent s’avérer problématiques.

Même si un système laissé au ralenti est moins susceptible d’être la cible d’une attaque d’hameçonnage, qui exige que l’utilisateur lise un courriel, la bonne nouvelle s’arrête ici. C’est que les systèmes au ralenti sont tout de même à risque en raison d’une attaque du genre zero-day, alors qu’une faiblesse de sécurité est repérée dans le système de l’utilisateur et exploitée avant que la faiblesse soit signalée et réparée.

Pire encore, il peut s’écouler des jours, des semaines ou même plus avant que l’utilisateur ne revienne au travail et réalise qu’une cyberattaque a eu lieu.

Pour toutes ces raisons, les employeurs devraient exiger de leur personnel qu’ils ferment tout bonnement leurs appareils avant de partir en vacances. À leur retour, les employés devront s’assurer que leur système est à jour avec les derniers correctifs et mises à jour de sécurité avant même d’accéder à leurs courriels ou de fureter sur Internet.

Comment les employeurs peuvent instaurer une culture de sensibilisation à la sécurité durant la saison estivale

Les gestionnaires jouent un rôle majeur pour assurer la sécurité de leur entreprise et de leurs employés contre les menaces numériques. Ils peuvent ainsi :

  • Informer leurs employés que les quatre étapes faisant partie des meilleures pratiques décrites précédemment ne sont pas de simples suggestions, mais bien des obligations.
  • Mettre sur pied un mécanisme pour assurer que ces étapes deviennent des règles qui seront appliquées de façon uniforme à travers l’organisation.
  • Demander aux employés de placer leurs appareils professionnels contenant de l’information confidentielle dans des endroits sécurisés, au bureau.
  • Mettre en œuvre une façon d’appliquer les correctifs de sécurité aux systèmes au ralenti qui sont connectés au réseau.

Enfin, les gestionnaires peuvent inciter leurs employés à faire une coupure avec le travail lors de leur absence, et à profiter au maximum d’une pause sans interruption. Lorsque les employés ne ressentent pas de pression pour apporter du travail durant leurs vacances, ils sentent moins le besoin de se connecter au réseau d’entreprise au moyen d’un appareil non géré ou d’une connexion wifi non sécurisée.

Malgré tout, si travailler de la maison ou sur la route est inévitable, vos employés peuvent utiliser la trousse de cybersécurité pour le télétravail qui comprend un cours interactif et des ressources pour la sensibilisation à la sécurité à la maison.

Obtenir l’adhésion d’équipes réduites en matière de cybersécurité

Peu importe la saison, certaines organisations de taille modeste trouvent parfois difficile de faire voir la cybersécurité comme un enjeu sérieux aux yeux de leurs employés.

Tout commence avec l’appui de la haute direction. Les dirigeants de l’organisation indiqueront clairement que la cybersécurité revêt une importance critique pour l’entreprise en entier, et que chaque groupe, peu importe sa taille, a un rôle à jouer. La directive doit partir du palier supérieur.

Il est également important pour les employés d’avoir au minimum une compréhension générale de la sécurité en TI, notamment les fondements de l’infrastructure informatique, des systèmes et applications en usage dans l’entreprise, du réseau auquel ils se connectent et des principales procédures de sécurité en place.

Doter vos employés de cette compréhension passe par l’éducation et la formation, soit en autoapprentissage ou avec un animateur, en ligne ou en personne. Une bonne sensibilisation à la sécurité, gérée et implantée par un spécialiste, peut être la clé pour y parvenir.

Simulations d’hameçonnage : votre examen en cybersécurité avant la pause estivale

Les organisations devraient aussi considérer les simulations d’hameçonnage pour susciter une meilleure compréhension des risques encourus face à cette forme de plus en plus menaçante du cybercrime. Les simulations d’hameçonnage en temps réel peuvent aider les dirigeants en sécurité à déterminer quels employés ou utilisateurs sont le plus à risque de tomber au piège d’une cyberattaque d’hameçonnage. Pour ce faire, il s’agit de les former à reconnaître les courriels, textos ou appels téléphoniques d’hameçonnage et à signaler toute tentative de fraude.

Les entreprises doivent également évaluer leur exposition à d’autres risques, comme :

  • Les fuites d’information – déterminez si votre organisation court un risque face aux accès non autorisés à ses informations, parce que celles-ci sont conservées dans des appareils non gérés ou en nuage.
  • Perte d’information – déterminez si votre organisation court un risque face aux pertes de ses informations, parce que celles-ci ne sont pas conservées à un emplacement sécurisé, comme un serveur protégé par un pare-feu de réseau, et qu’elles ne sont pas sauvegardées régulièrement.
  • Appareils non gérés – déterminez si votre organisation court un risque d’infections par virus, par l’utilisation d’appareils qui ne sont pas gérés par le personnel en TI de l’entreprise. Il peut s’agir, par exemple, d’appareils personnels que les employés connectent au réseau wifi d’entreprise, ou de dispositifs USB portatifs comme des clés.
  • Logiciels non autorisés – déterminez à quelles applications vos employés ont accès et s’ils utilisent pour le travail des logiciels pouvant entraîner des pertes ou des fuites d’informations.

Somme toute, personne ne souhaite voir ses vacances d’été ruinées par une cyberattaque. En tirant profit d’une formation de sensibilisation en cybersécurité et de simulations visant à évaluer le risque de l’organisation à l’endroit de la sécurité, et en respectant quelques pratiques gagnantes, les entreprises peuvent protéger leurs employés et leurs systèmes, peu importe la saison.