Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    4 raisons pour lesquelles la formation à la sécurité basée sur les rôles n'est plus une solution unique

    La sécurité de chaque organisation est aussi forte que son maillon humain le plus faible. Pourtant, pendant des années, la formation à la sensibilisation à la sécurité a fonctionné sur la base d'une hypothèse fondamentalement erronée : tous les employés présentent le même niveau de risque et peuvent être protégés par des programmes de formation identiques. Cette approche unique n'est pas seulement inefficace, elle entrave activement la position de votre organisation en matière de sécurité.

    by Andrew Williams

    Key Points

    • La formation traditionnelle à la sécurité ne tient pas compte de la nature concentrée du risque humain, où un petit pourcentage d'utilisateurs est à l'origine de la majorité des incidents de sécurité.
    • La formation basée sur le rôle aligne les efforts de prévention sur les schémas de risque réels, améliorant ainsi l'efficacité et l'efficience.
    • L'évolution du paysage des menaces exige des interventions ciblées qui s'adaptent au comportement individuel de l'utilisateur et à l'exposition aux attaques.

    Le passage à une formation à la sécurité basée sur les rôles représente une évolution fondamentale dans la manière dont les organisations abordent le risque humain. Cette approche reconnaît que le risque humain est très concentré, que les attaques sont de plus en plus personnalisées et qu'une prévention efficace nécessite des interventions sur mesure qui correspondent aux menaces spécifiques auxquelles chaque rôle est confronté.

    La formation à la sécurité basée sur les rôles est la nouvelle norme

    Le paysage de la cybersécurité a subi une transformation radicale. Alors que les organisations s'appuyaient autrefois sur des défenses périmétriques et des modules de formation génériques, l'environnement actuel des menaces exige une approche plus sophistiquée. Les données montrent régulièrement que le risque humain n'est pas réparti uniformément au sein d'une organisation, mais qu'il est concentré dans des groupes d'utilisateurs spécifiques qui présentent des schémas de risque prévisibles.

    Les formations traditionnelles de sensibilisation à la sécurité traitent tous les employés de la même manière, quels que soient leurs niveaux d'accès, leurs comportements ou leur exposition aux menaces. Les acteurs de la menace moderne comprennent cette complexité et l'exploitent, en élaborant des attaques spécifiquement conçues pour exploiter les vulnérabilités uniques des différents rôles au sein d'une organisation.

    La formation à la sécurité basée sur les rôles aligne les efforts de prévention sur les risques réels, en créant des interventions ciblées qui répondent aux menaces spécifiques auxquelles chaque rôle est confronté. Cette approche ne se contente pas d'améliorer les résultats en matière de sécurité, elle renforce l'efficacité globale des investissements dans la formation en concentrant les ressources là où elles peuvent avoir le plus d'impact.

    Identifiez vos utilisateurs les plus à risque à l'aide de données de phishing réelles et d'informations basées sur l'IA, puis proposez des interventions ciblées et opportunes pour modifier les comportements avant qu'une brèche ne se produise. 

    Essayez notre formation de sensibilisation à la sécurité →

     

    I. Limites inhérentes à la formation traditionnelle

    Les programmes génériques de formation à la sécurité souffrent de plusieurs défauts fondamentaux qui limitent leur efficacité. La limite la plus importante est l'accent mis sur les produits plutôt que sur les résultats. Les programmes traditionnels mesurent le succès à l'aide d'indicateurs tels que les taux d'achèvement, les résultats des quiz et les taux de clics de phishing simulé. Cependant, ces mesures ont souvent peu de corrélation avec le comportement réel en matière de sécurité dans les scénarios du monde réel.

    Les tests de simulation de phishing, bien qu'utiles, présentent souvent des scénarios plus difficiles que les attaques réelles auxquelles les employés sont confrontés. Cela crée un faux sentiment de sécurité lorsque les employés parviennent à identifier des courriels manifestement suspects tout en restant vulnérables à des attaques plus subtiles et spécifiques à leur rôle.

    L'absence de contexte comportemental constitue une autre limite essentielle. La formation générique traite tous les comportements à risque de la même manière, sans tenir compte du fait que les différentes actions comportent des niveaux de risque différents en fonction du rôle de l'utilisateur et de la sensibilité des informations qu'il manipule.

    Les programmes de sensibilisation à la sécurité sont souvent isolés des stratégies de sécurité plus larges. Ils fonctionnent indépendamment des fonctions de réponse aux incidents, de renseignement sur les menaces et de gestion des risques, créant ainsi des silos qui empêchent les organisations de développer des profils de risque complets pour les différents utilisateurs et groupes.

    II. Caractère disproportionné du Human Risk

    L'une des idées les plus significatives à l'origine de l'évolution vers une formation basée sur les rôles est la reconnaissance du fait que le risque humain suit un modèle très concentré. La recherche révèle qu'environ 8% des utilisateurs sont à l'origine de 80% de tous les incidents de sécurité au sein d'une organisation, et que 4% sont à l'origine de 80% des incidents de phishing. Ce qui est peut-être le plus frappant, c'est que seulement 3% des utilisateurs sont responsables de 92% des événements liés aux malwares.

    Les usagers qui adoptent systématiquement des comportements à risque présentent souvent des caractéristiques communes. Ils peuvent être des cibles de grande valeur en raison de leur accès à des informations sensibles, être exposés à des menaces élevées en raison de leur rôle public, ou présenter des comportements qui les rendent plus vulnérables aux attaques d'ingénierie sociale.

    Par ailleurs, la majorité des employés sont peu exposés aux risques. Ces utilisateurs cliquent rarement sur des liens suspects, téléchargent rarement des logiciels non autorisés et suivent généralement les protocoles de sécurité établis. Bien qu'ils aient besoin d'une sensibilisation de base à la sécurité, ils n'ont pas besoin du même niveau d'intervention intensive et ciblée ou de politiques adaptatives pour les groupes d'employés que les utilisateurs à haut risque.

    Cette concentration permet aux organisations d'allouer les ressources de formation de manière plus efficace. Plutôt que de répartir uniformément les efforts sur l'ensemble des employés, la formation basée sur les rôles concentre les interventions intensives sur les utilisateurs à haut risque tout en fournissant une formation de base appropriée aux populations à plus faible risque.

    III. Évolution du paysage des menaces & Surface d'attaque élargie

    Le paysage moderne des menaces présente des défis que les programmes de formation génériques ne peuvent tout simplement pas relever efficacement. Les acteurs de la menace sont passés d'attaques simples, diffusées en masse, à des campagnes sophistiquées et très ciblées qui exploitent les vulnérabilités spécifiques des différents rôles organisationnels.

    L'intelligence artificielle a révolutionné le paysage des menaces en permettant aux attaquants de créer des campagnes de phishing personnalisées à grande échelle. Les attaques générées par l'IA peuvent imiter les styles d'écriture, faire référence à des projets spécifiques et incorporer des détails contextuels qui les rendent pratiquement impossibles à distinguer des communications légitimes.

    Les outils de collaboration qui permettent le travail moderne, Microsoft Teams, Slack, Zoom, SharePoint et OneDrive, ont considérablement élargi la surface d'attaque. Si ces plateformes augmentent la productivité, elles créent également de nouveaux vecteurs d'attaques que les programmes de formation traditionnels ne parviennent pas à traiter de manière adéquate. Chaque plateforme a ses propres considérations en matière de sécurité, qui varient en fonction de l'utilisation qu'en font les différents acteurs.

    Les contrôles de sécurité intégrés dans ces plateformes de collaboration sont souvent en retard sur leur fonctionnalité, ce qui crée des lacunes que les attaquants exploitent activement. Le plus inquiétant est la fréquence à laquelle les données sensibles sont partagées, modifiées ou supprimées dans ces environnements. Contrairement aux systèmes de messagerie électronique traditionnels, les plateformes de collaboration modernes permettent un partage en temps réel qui peut contourner les contrôles de sécurité.

    Les organisations qui continuent à s'appuyer sur des programmes de formation génériques se retrouvent dans l'incapacité de traiter efficacement les risques liés aux rôles et aux plates-formes spécifiques.

    IV. Nécessité d'interventions ciblées et adaptatives

    La reconnaissance du fait que le risque varie considérablement en fonction du rôle, du niveau d'accès et de l'exposition aux attaques a conduit au développement d'approches plus sophistiquées de la formation à la sécurité. Les cadres, les dirigeants et les équipes de vente sont systématiquement confrontés à des niveaux plus élevés de targeted attack en raison de leur accès à des informations sensibles et de leur visibilité au sein de l'organisation. Ces utilisateurs ont besoin d'une formation spécialisée qui aborde les techniques avancées d'ingénierie sociale et les schémas de compromission des business email.

    Les recherches montrent que la durée d'utilisation influence considérablement la vulnérabilité à différents types d'attaques. Les employés de longue date peuvent être plus susceptibles d'être victimes d'attaques de phishing qui exploitent leur familiarité avec les processus organisationnels. Les nouveaux employés peuvent être plus facilement dupés en raison de leur compréhension limitée des normes organisationnelles et des protocoles de sécurité.

    Les différents départements sont confrontés à des profils de risque distincts qui nécessitent des interventions spécialisées. Les équipes de recherche et de développement sont confrontées à des taux plus élevés d'incidents liés aux malwares, tandis que les départements de service à la clientèle sont confrontés à des risques élevés de phishing en raison de leurs interactions régulières avec des parties externes.

    L'accès aux données sensibles modifie fondamentalement l'équation du risque. Les utilisateurs qui manipulent régulièrement des informations confidentielles, des données financières ou de la propriété intellectuelle ont besoin d'une formation qui aborde les menaces spécifiques auxquelles ils sont confrontés et les conséquences potentielles d'un incident de sécurité.

    La gestion des Human Risk (GRH) représente l'évolution de la formation à la sécurité, qui passe d'une activité axée sur la conformité à une capacité de sécurité stratégique. La GRH combine les sciences du comportement, la technologie et la réflexion stratégique pour transformer les vulnérabilités humaines en atouts pour la sécurité. Cette approche reconnaît que pour améliorer durablement la sécurité, il faut comprendre pourquoi les gens se comportent comme ils le font et créer des interventions qui répondent aux motivations sous-jacentes.

    L'objectif de la GRH n'est pas d'éliminer le risque humain, mais de le comprendre, de le mesurer et de le gérer efficacement. Cela nécessite une visibilité approfondie du comportement des utilisateurs, une télémétrie des menaces dans le monde réel et la capacité de corréler les actions individuelles avec des résultats plus larges en matière de sécurité.

    Exemples concrets : Comment les menaces ciblent des rôles spécifiques

    Comprendre comment les acteurs de la menace personnalisent les attaques en fonction des différents postes démontre pourquoi la formation à la sécurité basée sur les rôles est devenue essentielle. Le contraste entre la façon dont les cadres et les employés de première ligne sont ciblés révèle la nature sophistiquée des menaces modernes et l'inadéquation des approches de formation génériques.

    Menaces au niveau de la direction : Compromission des Business Email

    Prenons l'exemple d'un PDG qui reçoit ce qui semble être un courriel urgent de son directeur financier demandant l'approbation d'un virement bancaire pour une acquisition confidentielle. Le message fait référence à un projet interne réel, utilise une marque d'entreprise réaliste et imite le style d'écriture du directeur financier grâce à la génération assistée par l'IA. Cette attaque sophistiquée de business email compromise exploite l'autorité du cadre, l'accès aux contrôles financiers et les relations de confiance inhérentes à la haute direction.

    Les PDG représentent des cibles de grande valeur, précisément en raison de leur grande visibilité et de leur pouvoir de décision. Les acteurs de la menace investissent des ressources considérables dans la recherche de modèles de communication des dirigeants, d'initiatives commerciales en cours et de hiérarchies organisationnelles afin de concevoir des attaques d'usurpation d'identité convaincantes. Ces attaques contournent les contrôles traditionnels de sécurité du courrier électronique en exploitant la psychologie humaine plutôt que les vulnérabilités techniques.

    Menaces pour les employés de première ligne : Récolte de données d'identification

    Un représentant commercial reçoit ce qui semble être une notification de routine indiquant que sa session CRM a expiré, avec la marque de l'entreprise et des éléments d'interface familiers. Le lien intégré mène à une réplique convaincante de leur portail de connexion quotidien, conçu spécifiquement pour capturer leurs informations d'identification. Ce type d'attaque réussit parce qu'il tire parti de l'interaction fréquente du représentant avec de multiples plateformes et de la pression temporelle inhérente aux fonctions de vente.

    Les représentants commerciaux sont confrontés à des risques uniques en raison de leur visibilité publique, de l'utilisation fréquente d'outils tiers et de l'interaction régulière avec des contacts externes. Les attaquants savent que ces employés se déplacent souvent rapidement d'une plateforme à l'autre et qu'ils n'examinent peut-être pas les notifications de routine du système aussi attentivement que les autres groupes d'utilisateurs.

    Le déficit de formation

    Alors que le cadre supérieur est confronté à une ingénierie sociale sophistiquée conçue pour exploiter son autorité financière, le représentant commercial est confronté à des tentatives de vol d'informations d'identification qui tirent parti de sa familiarité opérationnelle. Les programmes de formation traditionnels qui se concentrent sur les indicateurs génériques de phishing n'abordent pas ces vecteurs d'attaque spécifiques à chaque rôle. "Le cadre a besoin d'une formation sur les protocoles de vérification des transactions financières et les tactiques d'usurpation d'identité des cadres, tandis que le représentant commercial a besoin d'une formation sur les schémas de phishing spécifiques aux plates-formes et sur la protection des informations d'identification."

    Cette différence dans les schémas de menace souligne pourquoi les organisations ne peuvent plus compter sur des approches de formation uniformes. Chaque rôle comporte des risques distincts qui nécessitent une éducation ciblée, des modifications comportementales spécifiques et des protocoles de réponse adaptés au rôle.

    La voie à suivre : Mise en œuvre d'une formation à la sécurité basée sur les rôles

    Le passage d'une formation générique à une formation à la sécurité basée sur les rôles représente plus qu'un changement tactique, il s'agit d'une évolution fondamentale dans la manière dont les organisations abordent le risque humain. Les organisations qui entament cette transition devraient commencer par analyser leurs données existantes sur les incidents de sécurité afin d'identifier les schémas de concentration des risques. Quels sont les utilisateurs qui apparaissent régulièrement dans les rapports d'incidents ? Quels sont les types d'incidents les plus fréquents dans les différents départements ?

    Cette analyse sert de base à l'élaboration d'interventions ciblées qui s'attaquent à des facteurs de risque spécifiques plutôt qu'à des menaces génériques. L'infrastructure technologique qui soutient la formation basée sur les rôles doit être capable de fournir un contenu personnalisé, de suivre les changements de comportement et de mesurer les résultats en matière de sécurité dans le monde réel.

    Plus important encore, la formation basée sur les rôles doit être considérée comme un processus continu plutôt que comme un événement périodique. Les programmes de formation doivent s'adapter à l'évolution des menaces et des comportements des utilisateurs. Cela nécessite un suivi continu, une évaluation régulière et la possibilité de modifier les interventions en fonction des nouvelles données.

    Les organisations qui parviendront à mettre en place une formation à la sécurité basée sur les rôles seront mieux préparées au paysage complexe des menaces de l'avenir. En reconnaissant que le risque humain est concentré et gérable, elles peuvent transformer leur plus grande vulnérabilité en avantage concurrentiel.

     

    Prêt à transformer votre formation à la sécurité de générique à ciblée ? Découvrez comment les solutions de sensibilisation et de formation à la sécurité de Mimecast peuvent vous aider à mettre en œuvre des interventions basées sur les rôles qui répondent aux modèles de risque spécifiques de votre organisation.

     

    roundup-Blog.jpg
    Up Next
    Security Awareness Training |
    Le point sur les Human Risk : Une campagne Salesforce et un sandwich Rapper Bot

    Related Articles

    Security Awareness Training
    Comment mesurer le Human Risk : 7 indicateurs clés
    Security Awareness Training
    Rationaliser les stratégies de cybersécurité : Le rôle du Human Risk Management
    Security Awareness Training
    Tour d'horizon des Human Risk : Emails piégés, attaques par navigateur et entreprises de drones

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page