Former et "reformer" les employés à la sécurité

Article

FORMER ET “REFORMER” LES EMPLOYÉS À LA SÉCURITÉ

En raison de l’essor du phishing, leS MSP DOIVENT MIEUX FORMER LES SALARIÉS DE LEURS CLIENTS.

Pour les entreprises et les MSP qui les servent, une sécurité informatique efficace nécessite une stratégie reposant sur plusieurs niveaux de défense. Pour contrecarrer les failles potentielles, la plupart des entreprises comprennent qu’au minimum, l’accès des terminaux doit être étroitement contrôlé, que les données doivent être protégées par un cryptage et que des stratégies de sécurité intelligentes doivent être adoptées et appliquées.

Pour que les solutions de sécurité soient efficaces, la formation des employés doit être la pierre angulaire de toute stratégie de sécurité. Après tout, le comportement des employés continue de montrer qu’il a le pouvoir de créer ou de supprimer la plupart de vos autres mesures de sécurité. Les employés qui suivent les meilleures pratiques et qui connaissent bien les risques de sécurité peuvent considérablement augmenter le succès d’un plan de sécurité multicouche. D’autre part, si un employé ne parvient pas à protéger ses mots de passe, laisse les sessions accréditées sans surveillance ou est victime d’escroqueries par courrier électronique, aucune technique de sécurité ne peut pleinement protéger une entreprise.

COMMENT FAIRE ?

La formation des employés devient de plus en plus critique à la suite d’attaques de phishing de plus en plus sophistiquées et convaincantes. Les criminels exploitent maintenant des données personnelles détaillées – recueillies à partir des profils Dark Web et des médias sociaux – pour approcher les employés d’une entreprise ciblée avec des escroqueries d’ingénierie sociale complexes. Par exemple, des attaquants usurperont l’identité de leurs responsables et de leurs dirigeants au sein de l’entreprise et enverront des courriels de phishing (hameçonnage) aux employés qui semblent authentiques. Ces courriers électroniques incluront les instructions de l’escroc, qui peuvent lui demander de virer les fonds de la société vers un faux compte contrôlé par l’escroc ou d’envoyer des données confidentielles de la société ou des informations personnelles telles que les formulaires des employés. Les fraudeurs exploiteront ensuite toutes les données sensibles acquises pour mener à bien d’autres fraudes. Pour aller encore plus loin, de nombreux attaquants cherchent de plus en plus à contrôler les comptes de messagerie de l’entreprise, soit pour envoyer des e-mails frauduleux aux employés par le biais de canaux véritablement authentiques, soit pour lancer des attaques très efficaces contre les utilisateurs d’une entreprise. Par exemple, ces attaques de compromission par courrier électronique professionnel peuvent aller du ciblage des employés au ciblage des clients, en exploitant les enregistrements de messagerie d’une transaction passée pour envoyer à un client une demande de « confirmation de ses informations d’identification de sécurité ». Cela permet aux criminels de récupérer encore plus de données confidentielles à utiliser à des fins malveillantes. Il va sans dire que les clients ne seront pas satisfaits des activités commerciales liées à la divulgation de leurs données.

COMMENT LES MSP PEUVENT-ILS AIDER LEURS CLIENTS ?

Il est essentiel que les prestataires de services réseau dotent leurs clients de solutions de formation hautement performantes qui préparent les employés à reconnaître et à éviter de devenir la proie des menaces de phishing les plus récentes et les plus sophistiquées. On ne peut pas supposer que tous les employés comprennent toujours les bonnes pratiques de sécurité informatique, et c’est là que les MSP peuvent jouer un rôle. Les prestataires de services de sécurité soucieux de la sécurité peuvent et doivent introduire des outils leur permettant de gérer des schémas de formation, de suivre et de certifier les progrès de chaque employé. Les employés peuvent être formés pour adhérer aux meilleures pratiques en matière d’identification d’escroqueries de phishing et d’autres menaces trompeuses, de sécurisation des mots de passe et des points d’accès, et de respect des politiques établies par l’entreprise. Les outils de formation des employés (conçus pour les portefeuilles MSP) permettent également de tester les employés des clients dans des situations réelles après leur formation, en leur envoyant des courriels de phishing simulés de manière réaliste pour vérifier que leur comportement prend réellement en charge la sécurité. Alors que les pratiques des arnaqueurs continuent d’évoluer et que leurs attaques deviennent de plus en plus dangereuses, les MSP et les entreprises qu’ils servent devront redoubler d’efforts pour adapter leurs solutions et leurs pratiques à toute éventualité. Les MSP peuvent également aider leurs clients à mettre en place des politiques plus sécurisées. Par exemple, exiger de multiples approbations pour virer des fonds ou partager des informations sensibles, afin que le comportement d’un seul employé ne puisse pas entraîner de perte pour la société. Avec le nombre croissant d’escroqueries par hameçonnage (et phishing), le facteur humain est peut-être aussi important que n’importe quel logiciel de sécurité. Se protéger contre cela ajoutera progressivement une couche critique à l’offre de sécurité d’un MSP.

Une traduction adaptée par SmarterMSP et luc vantroost de son partenaire Cam Roberson

https://smartermsp.com/msps-need-to-deliver-better-employee-training-due-to-the-rise-of-spear-phishing/