Des défaillances de sécurité se produisent. Malheureusement, dans le monde d’aujourd’hui, toujours actif et hautement numérisé, c’est inévitable et une question de savoir non pas si mais quand. Il suffit de regarder les nouvelles au cours des premières semaines de 2023 pour voir plusieurs violations très médiatisées signalées, notamment T-Mobile et Mailchimp. Les entreprises, leurs clients et leurs employés doivent rester en état d’alerte dans les mois à venir face à l’augmentation des tentatives de phishing de la part d’acteurs malveillants utilisant les informations d’identification de l’attaque.
Un grand nombre de ces violations sont imputées à des employés socialement conçus, soulignant l’importance pour les employés d’être plus conscients de leur rôle dans la cybersécurité et pour les entreprises de disposer d’une formation à la sécurité efficace et réfléchie et de systèmes de sécurité intuitifs. Les utilisateurs sont la plus grande vulnérabilité d’une organisation ; un vecteur d’attaque bien connu pour l’exfiltration de données qui ne peut malheureusement pas être complètement fermé. Aujourd’hui, les organisations ont une grande variété d’utilisateurs et n’importe quel employé, partenaire ou fournisseur de n’importe quel niveau au sein de l’entreprise peut présenter un vecteur par lequel un pirate informatique peut infiltrer l’organisation.
Adopter une culture de sécurité
Les chefs d’entreprise doivent être beaucoup plus conscients du rôle qu’ils jouent et de la manière dont ils favorisent une culture de la sécurité, tout en favorisant des systèmes de sécurité plus complets pour défendre l’organisation. Cette stratégie doit également inclure une compréhension approfondie de qui a accès à quoi et qui utilise et interagit avec les systèmes critiques. Essentiellement, la sécurité est la responsabilité de chacun et si la direction à tous les niveaux ne respecte pas et n’encourage pas régulièrement la sensibilisation à la sécurité dans toute l’organisation, cela devrait être considéré par l’entreprise comme un énorme écart de performance.
En même temps , l’erreur humaine est trop souvent utilisée comme raison fourre-tout lorsqu’une violation se produit, les employés étant accusés de ne pas être assez vigilants. Cet état d’esprit suggère que l’entreprise s’appuie sur un système qui oblige les humains à se comporter parfaitement et à ne jamais commettre d’erreurs, comme cliquer sur des liens de phishing ou mal acheminer un e-mail. L’équipe responsable de la conception et de la mise en œuvre des systèmes doit réfléchir à ce qui pourrait mal tourner, en partant du principe que des erreurs seront commises. En utilisant un exemple classique d’un employé occupé ou distrait cliquant sur un lien qui crée un compromis, chaque entreprise doit réfléchir à la manière dont ses systèmes peuvent détecter et prévenir ce vecteur d’attaque, mais doit également mettre en place des mesures pour arrêter et contenir l’attaque lorsqu’elle est inévitable. passe à travers les défenses.
Boire du café empoisonné
En regardant cela d’une autre manière, si un client reçoit un café empoisonné, est-ce la faute du client s’il le boit ? Non, nous rejetons généralement la faute sur le système qui a permis qu’une telle chose se produise en premier lieu. En termes de gestion des risques, il est très peu probable que le client soit empoisonné, mais si cela devait arriver, il faudrait des changements systémiques pour empêcher que cela ne se reproduise, plutôt que de blâmer la personne pour avoir bu le café empoisonné.
Pour que la sensibilisation à la sécurité fonctionne, elle doit s’étendre à l’ensemble de l’entreprise tout en tenant compte de la façon dont les employés font leur travail, en supposant qu’ils seront fatigués, stressés et feront des erreurs par la suite. Le système doit tenir compte de tous ces scénarios. Le système parfait n’existe pas, mais les chefs d’entreprise doivent s’adapter au comportement en intégrant des changements systémiques et en visant une défense en profondeur à mesure que les menaces se déploient.
De plus, la culture de sécurité doit inclure une formation engageante et réfléchie éviter de blâmer la victime et de punir ceux qui tombent dans le piège d’un criminel. Dans une certaine mesure, la sécurité devrait toujours contredire la convivialité-il ne devrait pas être si facile d’accéder aux données et cela devrait inciter les gens à s’arrêter et à réfléchir. Il doit y avoir un équilibre entre la convivialité et la sécurité-l’accès ne doit pas être si difficile que les employés ne veulent pas travailler dans l’organisation, ni si facile que n’importe qui puisse accéder au système.
Rester dans la zone de sécurité
Alors, quelles solutions les organisations peuvent-elles mettre en place pour aider les utilisateurs à rester dans la zone de sécurité ?
– Gestionnaires de mots de passe permettent aux utilisateurs de ne jamais avoir à se souvenir des mots de passe, ce qui conduira à l’utilisation de mots de passe plus complexes et uniques pour chaque site.
– L’authentification à deux facteurs permet également de mettre un autre niveau de contrôle dans la protection des données.
– Automatisation de l’authentification unique pour l’intégration et le départ des employés signifie qu’ils n’ont accès qu’aux données dont ils ont besoin et lorsqu’ils n’ont pas besoin d’y accéder, ce privilège est rapidement révoqué.
– Les coffres d’informations d’identification et la segmentation de l’organisation permettent à l’organisation pour comprendre le partitionnement des accès afin que seuls ceux qui en ont besoin l’obtiennent et uniquement lorsqu’ils en ont besoin.
– La mise en œuvre d’une approche”ne faire confiance à personne”Zero Trust garantit que seules certaines personnes ont accès à des parties du réseau. Les pare-feu internes et les pare-feu applicatifs ajoutent un niveau élevé de contrôle granulaire.
– L’utilisation du apprentissage automatique pour surveiller le réseau et entreprendre la modélisation des menaces fournit des informations précieuses et des réactions rapides aux menaces.
Les humains sont infiniment piratables, c’est pourquoi les systèmes doivent être conçus en fonction de la manière dont ils vont échouer. Les organisations doivent mettre en place des couches de sécurité et réfléchir à la manière dont elles peuvent empêcher les gens de faire la mauvaise chose. Des changements systémiques doivent être mis en œuvre pour réagir lorsque des situations se produisent. Les organisations doivent concevoir des systèmes à la fois sécurisés et faciles à naviguer afin que les utilisateurs ne contournent pas la sécurité, mais l’adoptent.
Rendre la formation attrayante et amusante
Et enfin, les organisations doivent rendre la formation amusante et renforcer l’importance d’avoir une culture de sécurité positive. Cela signifie s’assurer que les cadres adoptent les comportements appropriés et s’assurer que les employés à tous les niveaux de l’organisation le comprennent.
Lorsqu’il y a une violation, la formation en entreprise est souvent rejetée comme une sanction ou les organisations n’utilisent la formation que pour obtenir des certifications prouvant que les employés ont été formés à la cybersécurité. En conséquence, la formation est ennuyeuse, personne n’y prête attention et cela devient un exercice à cocher. Des incitations doivent être en place et la formation doit être attrayante et efficace afin d’aboutir au bon résultat : une sensibilisation à la sécurité pour améliorer la sécurité, et pas seulement réussir un audit. Idéalement, les organisations devraient avoir une culture positive autour de la sécurité, afin qu’elles n’aient pas à toujours compter sur l’empoisonnement de leur café.
Crédit d’image : Goodluz/Shutterstock
Brian Knudtson est directeur de Product Market Intelligence, 11:11 Systems,