Le travail à distance étant la nouvelle norme pour de nombreuses organisations, la formation à la sensibilisation à la cybersécurité n’a jamais été aussi importante.
La COVID-19 a apporté des défis uniques aux équipes de TI et de cybersécurité, notamment parce que c’est probablement la première fois que la plupart des organisations canadiennes doivent apprendre à gérer un personnel décentralisé et à distance.
Pratiquement du jour au lendemain, plusieurs aspects clés de la sécurité ont été complètement bouleversés, tandis que l’économie tout entière semble s’être déplacée en ligne.
Les travailleurs à distance sont confrontés à des risques différents de ceux auxquels ils étaient confrontés lorsqu’ils travaillaient dans un bureau. Par exemple, le réseau Wi-Fi domestique d’un employé n’est probablement pas aussi sécurisé que le réseau de son bureau.
De nouveaux outils et logiciels ont été introduits non seulement pour permettre aux employés de travailler en toute sécurité, mais aussi pour leur permettre de travailler tout court. Certains employés peuvent, pour la première fois, utiliser un VPN ou accéder à un dépôt central de fichiers partagés.
Les services de TI et les ressources humaines peuvent être amenés à déployer de nouvelles politiques pour établir une structure autour de l’utilisation d’appareils personnels pour des activités professionnelles, ou à créer des politiques générales de travail à domicile pour la première fois.
Enfin, de nombreux procédés opérationnels doivent changer, par exemple la façon dont une organisation approuve les transactions financières.
Il s’agit là de domaines dans lesquels les TI ont un rôle à jouer et chacun d’eux introduit de nouveaux risques cybernétiques pour les employés. Les gens ne sont pas soudainement plus en sécurité maintenant qu’ils travaillent confortablement en pyjama depuis leur canapé, bien au contraire!
Plus que jamais, les équipes de TI doivent être proactives dans la mise en place de nouveaux outils, processus et politiques à l’attention des utilisateurs, de manière simple, cohérente et intégrée, afin de pouvoir surveiller leur efficacité.
C’est là qu’une plateforme de formation et sensibilisation à la cybersécurité peut aider.
Sensibiliser sur les nouveaux risques et escroqueries
Le travail à domicile présente une tonne de risques uniques qui n’existent pas lorsqu’une personne travaille seulement dans un environnement de bureau. Le Wi-Fi domestique, travailler en réseau avec des appareils IdO et avoir ses appareils accessibles par d’autres membres de la famille ou colocataires sont quelques-uns des risques parmi plus évidents.
La situation actuelle constitue une excellente occasion de fournir à vos utilisateurs de nouveaux supports de formation couvrant ces types de menaces et de risques.
Nous avons publié un cours de formation gratuit, issu de la bibliothèque de notre propre plateforme, qui couvre les principes fondamentaux de la cybersécurité pour les travailleurs à distance. Ce cours est pertinent à la situation actuelle, ce qui est important lorsque l’on essaie de changer la perception d’un risque. Un cours peut fournir une prise de conscience et une meilleure connaissance d’un problème, mais si le contexte n’est pas présent, les employés peuvent ne pas percevoir le sujet discuté comme étant un problème important.
À mesure que les programmes gouvernementaux se déploient pour offrir une aide financière, une myriade de tentatives d’escroqueries par hameçonnage liées à la COVID-19 sont apparues, en particulier par SMS. Une crise peut également compromettre l’état émotionnel et psychologique d’une personne, ce qui la rend plus susceptible de succomber à une escroquerie en ligne.
Selon la nature de votre organisation, le moment est peut-être venu de déployer des tests contre l’hameçonnage. Voici quelques stratagèmes que vous devriez envisager de tester et sur lesquels éduquer vos employés :
- Chef de la direction et fraude financière, notamment lorsque l’organisation adopte de nouveaux processus pour les transactions financières
- Programmes de secours du gouvernement et informations des organes de presse
- Nouveaux processus et outils internes, tels que pour la connexion à un nouveau document ou à un outil de collaboration comme Dropbox
- Escroqueries par SMS si vous disposez d’une plateforme qui les prend en charge
Les plateformes de formation et sensibilisation ne sont pas limitées à l’hameçonnage
Tandis que la plupart des organisations adoptent une plateforme de formation et sensibilisation à la cybersécurité, elles le font principalement pour former leur personnel à l’ingénierie sociale et pour renforcer cette formation avec des tests d’hameçonnage.
Cela est compréhensible : la majorité des violations de données malveillantes proviennent de ces types d’attaques; elles doivent donc être au centre de tout programme de formation et sensibilisation. Cependant, vous pouvez dispenser une formation qui ne se limite pas aux seules menaces informatiques qui existent dans la nature.
Si vous introduisez de nouveaux processus ou outils pour prendre en charge le travail à distance, vous pouvez créer des cours de formation personnalisés pour prendre en charge ces déploiements. Certains des cours personnalisés que nous avons vu construire par nos clients comprennent la formation du personnel sur la façon d’utiliser un nouveau VPN ou sur la façon de communiquer en toute sécurité et efficacement sur une plateforme de messagerie instantanée comme Slack.
L’avantage d’avoir ces cours sur une plateforme de formation est qu’ils seront dispensés de manière cohérente à tous les employés, qu’ils seront facilement identifiables et que vous aurez accès aux statistiques concernant le suivi par les employés. Vous pouvez également créer des tests de connaissances pour renforcer votre formation.
Liez vos politiques à votre formation
Les politiques de TI sont un élément important de la capacité d’une organisation à disposer de règles claires concernant ce qui est et n’est pas autorisé. De nombreuses organisations introduisent de nouvelles politiques pour répondre à notre nouvel environnement de travail, telles que des politiques AVEC (apportez votre équipement personnel de communication), des politiques de gestion des accès et VPN, ainsi que des politiques générales de travail à domicile qui pourront rester en vigueur de manière permanente une fois que nous serons tous de retour dans nos bureaux.
Certaines plateformes de formation (comme la nôtre) vous permettent d’insérer des copies de vos politiques et de les affecter à votre personnel. Cela est particulièrement utile lors de l’introduction à la hâte de nouvelles politiques, comme la plupart des organisations le font actuellement, afin de le faire d’une manière cohérente et quantifiable.
Vous pouvez également intégrer vos politiques dans votre matériel de formation personnalisé. Par exemple, si vous avez un nouveau cours sur la « sécurité des appareils personnels », vous pouvez ajouter des renseignements à la fin pour discuter de votre nouvelle politique AVEC. De cette façon, vous associez la partie éducation et sensibilisation d’un risque aux politiques et pratiques de votre organisation sur la manière appropriée de gérer ce risque.
Utilisez des mesures et des sondages pour surveiller les tendances
L’une des fonctionnalités les plus puissantes d’une plateforme de formation et sensibilisation à la cybersécurité est la capacité d’avoir une idée quantitative du niveau de risque d’un employé en utilisant des mesures telles que les taux de test d’hameçonnage, l’achèvement de la formation et les sondages auprès des utilisateurs.
Vous pouvez utiliser ces données pour surveiller les tendances au fil du temps, ce qui peut vous aider à prendre de meilleures décisions concernant les nouveaux outils et formations à mettre en œuvre à l’avenir.
Par exemple, dans la plateforme de formation de CIRA, tous les utilisateurs obtiennent un score de risque personnalisé sur un graphique montrant son évolution au fil du temps. Vous pouvez ainsi voir le moment où notre bureau est passé complètement à distance, il y a un mois, en observant l’évolution de nos scores de risque. Ce type de données peut être précieux pour une équipe de TI en lui permettant d’intervenir rapidement si elle remarque une intensification du niveau de risque présenté par un groupe spécifique d’individus ou par un type de risque à mesure que le passage au travail à distance devient de plus en plus permanent.
Connectez la formation à des initiatives de cybersécurité de plus grande envergure
Nous vivons une période de changements massifs pour toutes les organisations et les équipes de TI sont l’un des principaux acteurs dans la gestion de ces changements.
Une plateforme de formation et sensibilisation à la cybersécurité peut vous aider à gérer ce changement plus rapidement, de manière plus cohérente et plus efficace. Vous devez considérer votre programme de formation comme votre principal moyen de communiquer avec vos utilisateurs sur tout ce qui concerne l’informatique et la cybersécurité, car l’éducation va de concert avec les outils, les processus et les politiques.
N’ayez pas peur de travailler aux côtés des spécialistes des ressources humaines et des communications de votre organisation, si vous avez accès à eux. Ils peuvent vous aider à utiliser votre programme de formation pour diffuser des informations techniques importantes à vos employés pendant cette période difficile.
Vos employés sont la dernière ligne de défense contre les cybermenaces.
Engagez vos collaborateurs avec des formations en ligne et des tests de phishing.
En savoir plus sur la formation de sensibilisation à la cybersécurité de CIRA
Jon champions the people-side of cybersecurity as the marketing lead for CIRA’s cybersecurity awareness training platform. His background in enterprise data marketing and teaching organizational behaviour at the university level allows him to develop resources for Canadian businesses to help them engage their employees and empower them to reduce their cyber risk.
