Les 10 meilleurs conseils pour la formation des employés en cybersécurité

03 novembre 2017

Écrit par Ruth E. Promislow and Katherine Rusk

Tout système n’est aussi puissant que son maillon le plus faible. Si vos employés ne sont pas à jour sur leur hygiène de cybersécurité, peu importe combien d’argent vous dépensez pour les défenses technologiques, il y a une lacune dans votre protection. Un employé formé peut vous aider à assurer la sécurité de votre organisation.

Vous trouverez ci-dessous dix conseils pour aider vos employés à renforcer votre système.

Astuce 1: La protection par mot de passe est cruciale

Les mots de passe forts sont la base d’un système solide. Les employés devraient être tenus de changer leurs mots de passe régulièrement et, idéalement, les mots de passe devraient nécessiter une combinaison de lettres, de chiffres et de caractères spéciaux. De plus, il faut également leur rappeler de ne pas garder leurs mots de passe sur une note post-it sur leur écran d’ordinateur! Deux facteurs d’authentification peut également aider à améliorer la sécurité et peut être configurée sur la plupart des principaux comptes en ligne.

Astuce 2: Email 101

Vos employés ne devraient pas être autorisés à utiliser des comptes de messagerie personnels pour la correspondance professionnelle, peu importe à quel point le contenu semble bénin. Si les courriels de travail ne sont pas automatiquement chiffrés, les employés devraient être formés sur la façon de le faire pour toute information sensible.

Bien sûr, tout le cryptage dans le monde ne va pas aider si l’e-mail est simplement envoyé à la mauvaise personne - comme cela s’est produit cet automne lorsqu’un avocat a accidentellement envoyé des informations classifiées sur la façon dont PepsiCo faisait l’objet d’une enquête par la Securities Exchange Commission au Wall Street Journal. La saisie semi-automatique sur les adresses e-mail ne doit être utilisée qu’avec une grande prudence et une double vérification.

Astuce 3: Protégez votre appareil mobile

Tout appareil mobile qui contient des informations d’entreprise doit être protégé par mot de passe. En outre, si les appareils mobiles de vos employés ne sont pas cryptés, assurez-vous que toutes les applications contenant des informations d’entreprise sensibles sont cryptées. Votre équipe informatique a besoin de la possibilité d’effectuer un effacement à distance des données de l’entreprise si le téléphone d’un employé est égaré ou volé.

Astuce 4: Reconnaître une attaque et savoir quoi faire à ce sujet

Combien de temps faut-il à vos employés pour localiser le numéro informatique d’urgence? Chaque employé devrait savoir quoi faire s’il croit qu’il y a un incident. Les instructions étape par étape devraient être clairement communiquées et facilement accessibles en cas d’urgence.

Astuce 5: Ne TéléchargeZ Pas De Contenu Sensible Sur Votre Ordinateur Personnel

Les agents russes ont acquis des documents hautement classifiés de la NSA d’un entrepreneur en 2015 parce que cet entrepreneur avait téléchargé du matériel sur son ordinateur personnel et qu’une analyse de routine par son logiciel antivirus a alerté les agents. Assurez-vous que vos employés savent qu’il ne faut pas télécharger de documents d’entreprise sur leurs ordinateurs personnels.

Astuce 6: Faites attention au Wi-Fi public

De plus en plus, les employés et les consultants travaillent à distance. Les employés doivent comprendre comment le faire en toute sécurité. L’utilisation d’une connexion Internet accessible au public vous expose à un risque immédiat de vol de données. Si vous travaillez à distance, les employés ne doivent utiliser que des réseaux sécurisés.

Dans une campagne de piratage de 2014 appelée « Dark Hotel », hackers a attiré des cadres séjournant dans des hôtels de luxe grâce à des connexions Wi-Fi gratuites. Ces cadres ont téléchargé ce qui semblait être des mises à jour logicielles régulières, mais se sont retrouvés avec un ordinateur infecté par des logiciels malveillants qui le rendaient accessible à distance aux pirates.

Astuce 7: Connaissez vos pièces jointes

Rappelez aux employés de prendre le temps d’examiner attentivement les courriels avant de cliquer sur un lien ou une pièce jointe. Le rapport d’enquête sur les atteintes à la protection des données de 2017 de Verizon a révélé que les deux tiers de tous les logiciels malveillants ont été installés via des pièces jointes à des courriels en 2016.

Astuce 8: Soyez conscient de l’ingénierie sociale

Les pirates sont bien conscients que les employés sont souvent le moyen le plus simple d’entrer dans un réseau. Le point d’entrée implique souvent des escroqueries par hameçonnage cherchant à obtenir des informations ou à rediriger les utilisateurs vers des e-mails suspects. L’infection par les logiciels malveillants qui en résulte peut entraîner le vol de données, les ransomwares et les cybercriminels ayant un accès à distance à votre réseau.

Une autre façon dont les pirates utilisent l’ingénierie sociale est l’escroquerie de compromission des e-mails professionnels. Dans cette escroquerie, les pirates ont accès à des comptes de messagerie exécutifs (ou à des comptes qui ressemblent beaucoup à ces comptes) et demandent aux employés de transférer des fonds directement au pirate. En mai, le FBI a publié un rapport selon lequel les escroqueries de compromission des e-mails professionnels ont coûté plus de 5 milliards de dollars dans le monde entier.

Il faut rappeler aux employés les risques de l’ingénierie sociale afin que leur garde soit en place.

Astuce 9: La Déclaration Est Nécessaire

Assurez-vous que vos employés savent qu’ils doivent s’exprimer lorsqu’ils pensent avoir reçu un e-mail suspect ou cliqué sur un lien malveillant. Une fausse alarme vaut mieux que de ne pas être au courant d’une cyberattaque réelle.

Astuce 10: N’oubliez pas la sécurité physique

Dans vos efforts pour former les employés à l’hygiène de la cybersécurité, n’oubliez pas que des informations sensibles sont également stockées sur des appareils physiques. Lorsque les employés quittent leur bureau, leurs ordinateurs doivent être verrouillés ou déconnectés. USB et autres périphériques multimédias portables doivent être cryptés et protégés par mot de passe. Pas plus tard que cette semaine, une clé non cryptée USB pleine de détails de sécurité pour l’aéroport international d’Heathrow a été trouvée dans les rues de Londres.

Les appareils multimédias portables doivent être analysés à la recherche de logiciels malveillants avant d’entrer dans votre réseau lorsqu’ils sont reçus d’un tiers. Les clés USB peuvent être utilisées pour installer des logiciels malveillants comme cela a été apprened par un avocat de l’Arkansas qui a découvert que l’avocat de la partie adverse lui a fourni une clé USB (prétendument avec des documents pertinents) qui avait intégré des logiciels malveillants qui auraient pu accorder le contrôle à distance de son ordinateur.

En matière de cybersécurité, il n’y a pas de solution universelle. La consultation d’un avocat peut mettre en évidence des risques et des vulnérabilités particuliers qui peuvent être abordés en vue d’améliorer la cybersécurité de votre organisation.

Auteur(e)s

Ruth E. Promislow
416.777.4688
promislowr@bennettjones.com


Traduction alimentée par l’IA.

Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.

Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.