Priorités de sécurité : sensibiliser les utilisateurs finaux

Au cours de l'été 2022, des acteurs malveillants ont lancé une campagne de smishing sophistiquée contre Twilio, une plateforme de communication. Cette campagne visait les anciens employés et les employés actuels. Elle imitait les messages envoyés par le fournisseur d'identité Okta en diffusant des liens de modification de mots de passe et autres opérations courantes. Les acteurs malveillants étaient même parvenus à rapprocher les noms des employés de leurs numéros de téléphone.

C'est la vérité : même avec de solides mesures de sécurité, votre organisation n'est pas à l'abri d'attaques de phishing comme celle-ci. Le phishing est le vecteur d'attaque le plus courant : il était à l'origine de 41 % des attaques enregistrées par IBM en 2021. Et le nombre d'attaques ne cesse d'augmenter : l'APWG a enregistré près de 1,1 million de tentatives au cours du seul deuxième trimestre 2022.

Et c'est assez compréhensible : les attaques d'ingénierie sociale comme le phishing ne nécessitent pas de grandes compétences techniques, comme cette attaque le démontre. En tant que professionnel de l'informatique, vous le savez. Mais vos utilisateurs finaux en sont-ils conscients ?

Développer une stratégie pour sensibiliser les utilisateurs à la sécurité.

Parlons stratégie. Les acteurs malveillants sont de plus en plus intelligents et inventent chaque jour de nouvelles manières d'infiltrer votre organisation. Vous devez donc impérativement développer une stratégie globale pour protéger les utilisateurs contre les attaques d'ingénierie sociale.

Recrutement et onboarding des employés

Cette stratégie doit s'appliquer dès la prise de fonctions d'un nouvel employé dans votre entreprise. Lorsque vous recrutez un candidat, il peut être utile d'aller au-delà de la vérification d'antécédents habituelle : une analyse des réseaux sociaux vous assurera que les valeurs de votre employé correspondent à celles de l'entreprise.

Après l'embauche, communiquez clairement les attentes de votre organisation en matière de technologie au cours du processus d'onboarding. Précisez les règles de l'entreprise et les comportements attendus en matière de sécurité informatique et de gestion du personnel. Ces règles peuvent concerner différents aspects :

• Procédures d'exploitation standard: quelles sont les bonnes pratiques de votre organisation en matière d'informatique ? Cette règle expliquera comment remplir un ticket d'assistance, se connecter à ses comptes, réagir en cas de perte ou de vol d'équipement, etc. Les employés doivent connaître les règles d'utilisation acceptable (RUA) et les règles de sécurité générales. Ils doivent savoir, par exemple, quelles informations de l'entreprise ne peuvent pas être diffusées par e-mail ou sur les réseaux sociaux. Ils doivent également être informés des modalités d'application des RUA, et confirmer leur acceptation de ces règles par signature.
• Rotation des postes : cette pratique ne s'applique pas nécessairement à toutes les organisations ; mais dans certains cas, il peut être utile de changer périodiquement de poste. L'avantage de cette démarche est double : tout d'abord, tous les membres du personnel apprennent à remplir plusieurs rôles. Mais surtout, on évite que des personnes, devenues très à l'aise dans leur rôle, sortent du cadre de leurs autorisations. Cela peut également faciliter la détection des activités suspectes et atténuer les risques de collusion.
• Séparation des tâches : la séparation des tâches par rôle permet d'éviter qu'une seule personne réalise toutes les opérations critiques susceptibles d'endommager un système. On peut, par exemple, faire en sorte qu'un développeur ne puisse pas envoyer ses propres modifications en production sans une révision préalable. On peut aussi exiger plusieurs approbations pour certaines tâches importantes. Au-delà d'un certain montant, par exemple, la remise d'un chèque peut exiger deux signatures au lieu d'une.

Comprendre le comportement des utilisateurs

Pour informer efficacement les utilisateurs, il faut comprendre leurs habitudes et leurs comportements. C'est d'ailleurs comme cela que les attaques de phishing réussissent.

• Mots de passe : les mots de passe doivent être complexes et ne pas inclure de mots courants ni le nom de l'utilisateur. Il ne faut jamais les communiquer ni les noter, et il faut en changer régulièrement. L'idéal consiste à mettre en place une règle sur l'usage des mots de passe.
• Attaques par ingénierie sociale : les utilisateurs doivent être bien informés du concept d'ingénierie sociale et de ses méthodes. Ils doivent connaître les risques de resquillage aux entrées sécurisées comme ceux liés à la présence de matériel non autorisé dans le bâtiment. Et ils doivent être au courant des tactiques courantes de phishing, de smishing, etc.
• Appareils personnels : les employés doivent comprendre les risques associés à l'utilisation d'appareils personnels au travail. La gestion des appareils mobiles peut atténuer ces risques : il faut alors imposer aux utilisateurs d'inscrire leurs appareils pour accéder aux ressources d'entreprise. (Consultez le premier article de cette série pour plus d'informations sur les programmes BYOD).

Formation des utilisateurs finaux

Naturellement, l'onboarding comporte une part essentielle de formation. Mais gardons en tête que c'est une période intense pour les nouveaux employés. Ils découvrent leur nouvelle entreprise et leurs responsabilités, et certaines informations risquent de leur échapper. Pour cette raison, la formation doit être continue, tout au long de la carrière de l'employé.

La formation doit couvrir les règles informatiques en rappelant celles de l'onboarding, et expliquer l'impact des habitudes des utilisateurs sur la cybersécurité. Cette formation doit être renouvelée régulièrement et adaptée au rôle de chaque utilisateur. L'utilisateur standard, par exemple, doit savoir utiliser son appareil et reconnaître les problèmes courants comme les logiciels malveillants. En revanche, un utilisateur privilégié disposant d'autorisations plus larges doit recevoir une formation plus approfondie.

La plupart d'entre nous ont dû suivre des formations longues et fastidieuses, liées ou non à la cybersécurité. Mais qu'en avons-nous réellement retenu ? Pour être efficaces, les programmes de formation doivent être aussi informatifs que divertissants. Quelques techniques à envisager :

• Campagnes de phishing : cette méthode consiste à envoyer des e-mails simulant une attaque de phishing aux employés. Votre organisation peut ainsi savoir quels employés cliquent sur les liens... et ont donc besoin d'une formation supplémentaire.
• Capture du drapeau : plutôt destinée au personnel de sécurité, cette approche ludique incite les employés au défi à mobiliser leurs compétences en sécurité pour mener des attaques. Elle apprend aux nouveaux employés à repérer les attaques et à les prévenir.
• Gamification : comme son nom l'indique, cette technique vise à transformer la formation en jeu pour la rendre plus attrayante. Cela peut prendre différentes formes : compétition amicale entre utilisateurs, ou mini-jeu sur la plateforme de formation.

Départs

Enfin, vous devez mettre en place une règle pour encadrer le départ des employés. Il faut impérativement récupérer tout le matériel de l'entreprise : ordinateur, téléphone, badge, etc. Le compte de l'employé doit être désactivé de façon à couper tout accès aux systèmes et applications internes. Dans l'idéal, aucun système ou compte ne devrait reposer sur des identifiants connus de l'employé sortant. Toutefois, si c'est le cas, veillez à en informer le personnel actuel et faites en sorte que les identifiants soient modifiés.

Une once de prévention...

Il est essentiel de sensibiliser les utilisateurs aux risques de cybersécurité pour améliorer la posture de sécurité de votre organisation. Mais cela ne suffit pas. Renforcez votre sécurité en rendant l'erreur humaine plus difficile et en facilitant le respect des règles. Par exemple :

• Appliquez des règles imposant l'utilisation de mots de passe complexes à renouveler fréquemment.
• Utilisez le SSO et des fournisseurs d'identité pour éviter d'avoir à mémoriser plusieurs mots de passe.
• Créez un programme BYOD pour encadrer l'accès des utilisateurs aux ressources de l'entreprise.
• L'accès réseau Zero-Trust (ZTNA) permet aux employés d'accéder en toute simplicité aux outils dont ils ont besoin, où qu'ils soient, tout en vérifiant strictement leur identité.

Principaux points à retenir

• La sécurité de votre organisation dépend de vos employés. La formation à la sécurité doit donc commencer dès leur arrivée et être répétée pendant toute la durée de leur contrat.
• C'est en comprenant le comportement des utilisateurs et en le prenant en compte que l'on développe des programmes de formation efficaces.
• Ces programmes doivent également être engageants et informatifs.
• L'architecture de réseau ZTNA, le SSO combiné à des fournisseurs d'identité Cloud et la gestion des appareils mobiles sont autant d'approches essentielles pour atténuer les risques liés à l'utilisateur.