Tout système n’est aussi puissant que son maillon le plus faible. Si vos employés ne sont pas à jour sur leur hygiène de cybersécurité, peu importe combien d’argent vous dépensez pour les défenses technologiques, il y a une lacune dans votre protection. Un employé formé peut vous aider à assurer la sécurité de votre organisation.
Vous trouverez ci-dessous dix conseils pour aider vos employés à renforcer votre système.
Les mots de passe forts sont la base d’un système solide. Les employés devraient être tenus de changer leurs mots de passe régulièrement et, idéalement, les mots de passe devraient nécessiter une combinaison de lettres, de chiffres et de caractères spéciaux. De plus, il faut également leur rappeler de ne pas garder leurs mots de passe sur une note post-it sur leur écran d’ordinateur!
Vos employés ne devraient pas être autorisés à utiliser des comptes de messagerie personnels pour la correspondance professionnelle, peu importe à quel point le contenu semble bénin. Si les courriels de travail ne sont pas automatiquement chiffrés, les employés devraient être formés sur la façon de le faire pour toute information sensible.
Bien sûr, tout le cryptage dans le monde ne va pas aider si l’e-mail est simplement envoyé à la mauvaise personne - comme cela s’est produit cet automne lorsqu’un avocat a accidentellement envoyé des informations classifiées sur la façon dont PepsiCo faisait l’objet d’une enquête par la Securities Exchange Commission au Wall Street Journal. La saisie semi-automatique sur les adresses e-mail ne doit être utilisée qu’avec une grande prudence et une double vérification.
Tout appareil mobile qui contient des informations d’entreprise doit être protégé par mot de passe. En outre, si les appareils mobiles de vos employés ne sont pas cryptés, assurez-vous que toutes les applications contenant des informations d’entreprise sensibles sont cryptées. Votre équipe informatique a besoin de la possibilité d’effectuer un effacement à distance des données de l’entreprise si le téléphone d’un employé est égaré ou volé.
Combien de temps faut-il à vos employés pour localiser le numéro informatique d’urgence? Chaque employé devrait savoir quoi faire s’il croit qu’il y a un incident. Les instructions étape par étape devraient être clairement communiquées et facilement accessibles en cas d’urgence.
De plus en plus, les employés et les consultants travaillent à distance. Les employés doivent comprendre comment le faire en toute sécurité. L’utilisation d’une connexion Internet accessible au public vous expose à un risque immédiat de vol de données. Si vous travaillez à distance, les employés ne doivent utiliser que des réseaux sécurisés.
Dans une campagne de piratage de 2014 appelée « Dark Hotel »,
Rappelez aux employés de prendre le temps d’examiner attentivement les courriels avant de cliquer sur un lien ou une pièce jointe. Le rapport d’enquête sur les atteintes à la protection des données de 2017 de Verizon a révélé que les deux tiers de tous les logiciels malveillants ont été installés via des pièces jointes à des courriels en 2016.
Les pirates sont bien conscients que les employés sont souvent le moyen le plus simple d’entrer dans un réseau. Le point d’entrée implique souvent des escroqueries par hameçonnage cherchant à obtenir des informations ou à rediriger les utilisateurs vers des e-mails suspects. L’infection par les logiciels malveillants qui en résulte peut entraîner le vol de données, les ransomwares et les cybercriminels ayant un accès à distance à votre réseau.
Une autre façon dont les pirates utilisent l’ingénierie sociale est l’escroquerie de compromission des e-mails professionnels. Dans cette escroquerie, les pirates ont accès à des comptes de messagerie exécutifs (ou à des comptes qui ressemblent beaucoup à ces comptes) et demandent aux employés de transférer des fonds directement au pirate. En mai, le
Il faut rappeler aux employés les risques de l’ingénierie sociale afin que leur garde soit en place.
Assurez-vous que vos employés savent qu’ils doivent s’exprimer lorsqu’ils pensent avoir reçu un e-mail suspect ou cliqué sur un lien malveillant. Une fausse alarme vaut mieux que de ne pas être au courant d’une cyberattaque réelle.
Dans vos efforts pour former les employés à l’hygiène de la cybersécurité, n’oubliez pas que des informations sensibles sont également stockées sur des appareils physiques. Lorsque les employés quittent leur bureau, leurs ordinateurs doivent être verrouillés ou déconnectés.
Les appareils multimédias portables doivent être analysés à la recherche de logiciels malveillants avant d’entrer dans votre réseau lorsqu’ils sont reçus d’un tiers. Les clés USB peuvent être utilisées pour installer des logiciels malveillants comme cela a été
En matière de cybersécurité, il n’y a pas de solution universelle. La consultation d’un avocat peut mettre en évidence des risques et des vulnérabilités particuliers qui peuvent être abordés en vue d’améliorer la cybersécurité de votre organisation.