En ce moment même, les hackers du monde entier sont en train d’imaginer mille et une façons de vous manipuler. Et vous avez beau savoir comment protéger vos données, vos réseaux et votre argent, la cybersécurité est un sport d'équipe : vous serez toujours en danger si vos collègues ne font pas leur part du travail.
Alors, comment renforcer la cybersécurité collective de votre équipe pour travailler sereinement ? Commencez par identifier les principaux facteurs de risque et définir un plan d'action pour les neutraliser.
Dans cet article, on vous présente six facteurs qui doivent vous alerter sur la vulnérabilité de votre équipe aux cyberattaques. Mais rassurez-vous, on vous a rassemblé ici quelques conseils pour palier à ces faiblesses et limiter les risques, notamment grâce à une formation de sensibilisation imparable.
Commençons par un sujet que l’on ne connaît que trop bien ces derniers temps.
#1 : Votre équipe est en télétravail
Ces dernières années, des millions de personnes ont commencé à télétravailler, ne serait-ce qu’à temps partiel. Et environ 60 % de travailleurs intellectuels. Alors oui, le télétravail apporte une certaine flexibilité, mais il génère aussi de nouveaux risques en matière de cybersécurité.
Le fait de travailler sur différents réseaux WiFi (en particulier sur les réseaux publics) augmente la surface d'attaque utilisable par les hackers pour accéder aux systèmes de l'entreprise. Avoir une équipe dispersée complique également la tâche de l'équipe informatique en charge de la protection du réseau. Sans surprise, le risque que des tiers non autorisés accèdent à des données sensibles a augmenté.
Au vu de ces risques, pas étonnant que les cyberattaques aient augmenté de 238 % au moment du passage au télétravail.
Comment aider vos salariés à travailler en sécurité ?
Une équipe dispersée pose des problèmes de sécurité, mais vous pouvez compenser le manque de sécurité de votre équipe en:
- Les encourageant à utiliser un VPN ou un réseau WiFi sécurisé, et à éviter les réseaux publics à risque (WiFi des aéroports, bibliothèques ou cafés).
- Leur apprenant à identifier et à signaler les tentatives de cyberattaques visant spécifiquement les gens en télétravail (fraude à la fausse facture en se faisant passer pour l’équipe compta).
- Rendant obligatoire l'utilisation des derniers logiciels antivirus et de prévention des pertes de données (DLP), et en facilitant le signalement des spams et des tentatives d’exfiltration des données.
À propos des travailleurs dispersés, voici une autre vulnérabilité courante.
En savoir plus : 3 façons de contrôler votre empreinte numérique et d'arrêter les hackers
#2 : Vos salariés utilisent leurs ordinateurs personnels pour travailler
Avec le passage aux solutions cloud, l'époque où l'on travaillait sur un seul appareil de l'entreprise est révolue. Aujourd'hui, 97 % des cadres accèdent à leurs comptes professionnels depuis des appareils personnels. Beaucoup jonglent entre travail et utilisation personnelle sur les portables, ordinateurs et tablettes.
C'est peut-être plus rapide et plus pratique, mais chaque appareil représente un point d'entrée potentiel pour les hackers. Évidemment, ces derniers se sont empressés de sauter sur l’occasion : les attaques sur les appareils mobiles ont augmenté de 50 % récemment. Ce chiffre inclue les tentatives d'accès aux réseaux d'entreprise.
Comment lutter contre cet endiguement ?
Si votre équipe utilise à la fois des appareils personnels et des appareils de l'entreprise, vous pouvez l'encourager à :
- Effectuer toutes les mises à jour disponibles, car les systèmes d'exploitation obsolètes augmentent le risque d’attaque.
- Faire preuve d'une extrême prudence lors du téléchargement d'applications, en s'assurant qu'elles ne dissimulent pas de malwares.
- Limiter le nombre de personnes qui accèdent à leurs appareils, comme les membres de la famille et les enfants.
- Définir des mots de passe et des codes d'accès robustes, en utilisant par exemple un gestionnaire de mots de passe.
- Suivre les directives de l'entreprise en cas de perte ou de vol d'un appareil à usage professionnel.
#3 : Vous vous reposez sur une formation classique de sensibilisation à la cybersécurité
Un programme de sensibilisation à la cybersécurité est ce qu’il y a de plus efficace pour protéger votre équipe contre les attaques potentielles. Cette formation apprend à identifier les arnaques les plus courantes et les plus dangereuses, et la conduite à tenir pour rester en sécurité.
Encore faut-il que cette formation soit adaptée aux besoins individuels et au contexte de travail. Malheureusement, la plupart des formations existantes restent trop générales et tombent dans les oubliettes.
Où dénicher LA formation de sensibilisation appropriée ?
Les gens sont habitués à suivre des formations ennuyeuses sur la cybersécurité, qui ressemblent à n'importe quel autre exercice annuel de contrôle règlementaire. Ils finissent par s’en désintéresser et cela explique pourquoi les hackers gagnent si souvent. Au lieu de cela :
- Investissez dans des formations de sensibilisation personnalisées, qui ciblent les besoins individuels et les niveaux d'expérience.
- Offrez aux gens une expérience de formation ludique et motivante, basée sur une histoire vraie.
- Laissez-les apprendre là où ils sont à l’aise, par exemple sur Slack ou sur Teams.
- Couvrez des sujets fondamentaux comme savoir choisir un bon mot de passe, savoir reconnaître et réagir face à une tentative de spear phishing ou de deep fake animé par IA, ou encore maîtriser son empreinte numérique.
- Assurez le suivi de la formation avec des simulations de phishing pour tester leur capacité à retenir les points essentiels.
Chez Riot, nous rendons la sensibilisation à la cybersécurité plus conviviale grâce à des formations sur mesure qui marquent les participants. Contactez l'un de nos experts pour en savoir plus.
#4 : Vous ne cryptez ni ne sauvegardez vos données
En 2019, deux développeurs d'applications Facebook ont accidentellement divulgué des données non chiffrées concernant plus de 540 millions d'utilisateurs, notamment des noms, des photos, des enregistrements de localisation et des mots de passe. Bien qu'il ne s'agisse pas d'un acte malveillant, cette fuite illustre les risques liés à l’absence de cryptage et de sauvegarde appropriée des données.
Le stockage et l'administration des données non sécurisés vous rendent vulnérables aux cyberattaques. En particulier, l’absence de cryptage des données sensibles vous expose à de graves violations de données si des hackers mettaient la main sur vos systèmes et réclamaient une rançon.
Comment alléger le fardeau de la gestion des données
La gestion des données peut sembler ardue, mais elle n'a pas à l'être. Prévoyez de :
- Crypter et protéger les données sensibles partout et garder les clés en sécurité, en particulier lorsque vous partagez des données avec des tiers externes.
- Élaborer une stratégie de sauvegarde et de récupération multiple afin de répartir les risques de perte de données.
- Investir dans un outil qui vous alerte chaque fois qu'un identifiant de l'entreprise est affecté par une violation de données.
#5 : Votre réseau n'est pas suffisamment segmenté
Autre vulnérabilité technique, le manque de segmentation du réseau et de surveillance des accès. Pour être plus précis, le fait que des utilisateurs accèdent à des segments plus larges que nécessaire de votre réseau avec le même identifiant augmente le risque de cyberattaque. De même que le fait de ne pas surveiller drastiquement l'accès des utilisateurs.
Prenons l'exemple de la violation de données de Banner Health. En 2016, des cybercriminels ont réussi à accéder aux bases de données de l'entreprise par le biais de ses systèmes de paiement des aliments et des boissons, et ont fini par accéder à des informations médicales protégées de 2,81 millions d’individus.
Une enquête approfondie a révélé que le prestataire de santé avait sous-estimé le risque de cyberattaques sur son réseau partagé. En outre, en surveillant activement l'accès des utilisateurs, il aurait pu identifier les attaques potentielles.
Comment règlementer les accès pour minimiser les risques
Pour réduire les risques associés à des accès non segmentés au réseau, commencez par :
- Séparer les actifs critiques de l'entreprise dans des réseaux distincts et limiter l'accès des utilisateurs.
- Élaborer des règles communes pour régir l'accès aux différentes parties du réseau.
- Adopter le principe du moindre privilège en matière d'accès aux données.
- Limiter l'accès au réseau pour les tiers, même vos fournisseurs habituels (voir ci-dessous).
#6 : Vos fournisseurs sont vulnérables aux cyberattaques
Enfin, un mot sur vos différents partenaires de la supply chain. Les hackers s'attaquent de plus en plus aux organisations en ciblant leurs partenaires, en particulier s'ils ont accès à vos données sensibles. Par conséquent, veillez à ce que vos partenaires appliquent des mesures et des politiques de sécurité au moins aussi efficaces que celles de votre organisation.
Pour illustrer ces propos, prenons l'exemple d'Okta. En 2021, l'entreprise a été victime d'une violation de données majeure en raison de vulnérabilités chez Sykes, un de ses sous-traitants en charge du service client. Cette histoire souligne l’importance de la gestion active de la cybersécurité chez les tiers.
Comment assurer la sécurité de l'ensemble de votre réseau
Vous pouvez anticiper les risques liés aux pratiques de vos partenaires commerciaux en matière de cybersécurité :
- Exigez de vos partenaires qu'ils se conforment aux normes sectorielles en matière de cybersécurité et de protection des données
- Limitez les accès des tiers à vos systèmes et données au strict minimum, et surveillez activement ces accès.
- Pour les organisations de l'UE, respectez les exigences de NIS2. Ce niveau d’exigence vous garantit la maîtrise des risques tiers et la correction des éventuelles vulnérabilités.
Prêt à faire de NIS2 une promenade de santé ? Téléchargez gratuitement notre checklist de conformité NIS2 en six étapes.
Corriger les vulnérabilités grâce à une forte campagne de sensibilisation
Pour lutter contre les cyberattaques, ne restez pas seul : toute votre équipe doit savoir travailler en sécurité. Malheureusement, 85 % des violations de données réussies impliquent une erreur humaine. Vos collaborateurs pourraient donc bien être à l'origine d’un vol de données.
C'est là tout l’enjeu de la sensibilisation efficace. Une formation adéquate peut faire une grande différence dans la gestion des menaces informatiques. Avec Riot, toute votre équipe peut se familiariser avec les dernières techniques utilisées par les hackers (deep fakes, phishing, etc.). Le format interactif permet à vos équipes d’apprendre ce qu'il faut faire en cas de tentative d'escroquerie réelle, et donc pour réduire les risques de cyberattaques.
Mieux encore, vous pouvez tester votre équipe avec notre plateforme de simulation de phishing simple et intuitive, en élaborant les types d'attaques les plus susceptibles de se produire.
Pour savoir comment Riot peut vous aider, vous et votre équipe, à rester au fait des dernières cybermenaces, contactez l'un de nos experts dès aujourd'hui.