.
Mimecast Logo
Obtenir un devis

    10 sujets de sensibilisation à la sécurité que vous devez couvrir

    Créez un meilleur programme de formation à la sensibilisation à la sécurité avec Mimecast. Il comprend des tests d'hameçonnage, une évaluation des risques, ainsi qu'une intégration et une gestion transparentes.
    Améliorer la sensibilisation au cyberespace
    Programme de formation à la sensibilisation à la sécurité
    Améliorer la sensibilisation au cyberespace
    Points clés

    Ce que vous apprendrez dans cet article

    Découvrez les 10 thèmes essentiels de sensibilisation à la sécurité que chaque organisation devrait couvrir pour construire une défense résiliente et centrée sur les personnes :

    • Le phishing, la sécurité des mots de passe et les menaces internes sont les principaux risques. La formation doit apprendre aux employés à repérer les escroqueries, à utiliser des identifiants solides et à reconnaître les comportements à risque.
    • Ransomware, l'ingénierie sociale et la protection des données exigent des utilisateurs qu'ils identifient les activités suspectes, qu'ils résistent à la manipulation et qu'ils traitent correctement les informations sensibles.
    • La sécurité des appareils, le partage sécurisé des fichiers, la réponse aux incidents et la sécurité de l'environnement contribuent à garantir des habitudes de travail sûres, des rapports rapides et la protection des biens numériques et physiques.

    Vous pouvez patcher les systèmes et déployer tous les outils de défense de votre pile. Mais si les employés ne sont pas équipés pour repérer un courriel de phishing ou pour traiter correctement des données sensibles, votre exposition au risque reste élevée.

    La formation à la sensibilisation à la sécurité n'est pas seulement une question de conformité. Il s'agit de préparer les gens à prendre de meilleures décisions dans les moments réels . Pour les RSSI, les vice-présidents de la sécurité et les analystes, il s'agit de l'un des moyens les plus rentables de réduire les risques d'une violation grave.

    Cet article présente 10 thèmes essentiels que tout programme de sensibilisation devrait inclure. Il s'agit d'un cadre fondé sur le site , où les menaces sont réellement présentes. Chaque sujet reflète également la manière dont Mimecast aide les organisations à réduire les erreurs humaines à grande échelle.

    1. Les attaques par Phishing

    Le phishing reste, de loin, le principal vecteur d'attaque. Ces attaques évoluent également rapidement avec un contenu plus personnalisé , souvent généré par l'IA. Ils passent de plus en plus du courrier électronique à des plateformes telles que Teams ou Slack dès que l'engagement commence.

    Une formation efficace se concentre sur :

    • Des simulations réalistes de phishing adaptées au rôle et au niveau de risque.
    • Reconnaissance des domaines usurpés, des pièces jointes inattendues et des signaux d'urgence
    • Encourager les utilisateurs à signaler les tentatives, même après une erreur

    Lorsque la reconnaissance du phishing devient instinctive, les organisations peuvent réduire considérablement le volume d'incidents et le temps de réponse à l'incident ( ).

    2. Sécurité du mot de passe

    Les mots de passe faibles ou réutilisés restent l'un des points d'entrée les plus courants pour les attaquants. Selon Verizon's 2024 DBIR, 83% des violations impliquent le vol d'informations d'identification.

    Il est facile de supposer que tout le monde sait qu'il ne faut pas utiliser le mot de passe "Password123", mais la commodité entraîne toujours de mauvaises habitudes, en particulier sur plusieurs systèmes et applications.

    La formation doit aider les utilisateurs :

    • Comprendre ce qui fait la force d'un mot de passe (longueur, caractère aléatoire, unicité)
    • Reconnaître les risques liés à la réutilisation sur des comptes professionnels et personnels
    • Adoptez des gestionnaires de mots de passe pour réduire les frictions
    • Traiter l'AMF comme une norme et non comme une option

    Les bonnes pratiques en matière de mots de passe ne se limitent pas à un comportement individuel. Ils ont un impact direct sur l'intégrité de l'ensemble du système.

    3. Menaces d'initiés

    Les menaces internes sont souvent sous-estimées, , mais elles peuvent être dévastatrices. Contrairement aux acteurs externes qui doivent franchir votre périmètre, les initiés ont déjà les clés du royaume. Qu'il s'agisse de négligence, de mauvaise utilisation ou de sabotage délibéré, les dommages peuvent être difficiles à détecter et encore plus difficiles à réparer.

    "76% des organisations ont constaté une augmentation des incidents liés à des initiés au cours des cinq dernières années, le coût moyen d'une single menace d'initié atteignant aujourd'hui 15 millions de dollars." Ces incidents ne sont pas seulement le fait d'employés mécontents ( ) ou d'intentions malveillantes - ils sont souvent le fait d'employés bien intentionnés qui ne se rendent pas compte qu'ils ont pris une décision risquée ( ).

    Plusieurs scénarios à haut risque doivent être pris en compte :

    • Un employé partageant des données confidentielles sur des clients par le biais d'un courrier électronique personnel pour "travailler à domicile"
    • Un développeur sauvegardant ses identifiants de production dans un endroit non sécurisé pour des raisons de commodité.
    • Un membre de l'équipe qui quitte l'entreprise télécharge des fichiers sensibles sans intention malveillante, mais en faisant preuve d'un manque de jugement.

    La formation doit aider les employés :

    • Comprendre ce qui constitue un accès et une utilisation acceptables des données
    • Reconnaître les comportements à risque tels que les transferts non autorisés, l'accès en dehors des heures de travail ou le partage d'informations d'identification.
    • Apprenez à signaler discrètement des actions douteuses, sans crainte de représailles.

    L'atténuation des menaces d'initiés dépend de la création d'un environnement dans lequel les gens sont attentifs aux comportements étranges et se sentent habilités à faire part de leurs inquiétudes. Non pas par méfiance, mais par responsabilité partagée.

    4. Ransomware et logiciels malveillants

    Les attaques par ransomware sont perturbatrices et coûteuses. La demande de rançon moyenne peut atteindre près d'un million de dollars, et ce montant ( ) ne comprend pas les coûts d'immobilisation ou de récupération.

    Les attaquants obtiennent souvent un accès par le biais du phishing, de pièces jointes malveillantes ou de logiciels obsolètes. Une fois à l'intérieur, le mouvement latéral et l'escalade des privilèges se produisent rapidement.

    Une formation efficace couvre :

    • Comment reconnaître les liens suspects, les fausses alertes logicielles ou les pièces jointes aux courriels ?
    • Pourquoi il est essentiel de maintenir les systèmes à jour (en particulier les points d'accès)
    • Que faire immédiatement si un appareil présente des signes de compromission ?
    • Le rôle des sauvegardes et les raisons pour lesquelles elles doivent être sécurisées et testées régulièrement

    Même avec la meilleure protection des points finaux, les utilisateurs doivent faire partie de votre stratégie de défense contre les ransomwares.

    5. Ingénierie sociale

    L'ingénierie sociale est l'un des plus vieux tours de passe-passe des attaquants, et elle fonctionne toujours parce qu'elle cible les personnes, et non les systèmes.

    "Contrairement au phishing, qui cible souvent de nombreux utilisateurs à l'aide d'un leurre numérique, l'ingénierie sociale consiste à manipuler directement des personnes." Les attaquants peuvent se faire passer pour des membres du personnel interne, des fournisseurs ou même le service d'assistance informatique. Ils peuvent appeler, envoyer un message à l'adresse ou se rencontrer en personne afin d'instaurer un climat de confiance et de faire passer l'urgence avant le bon sens.

    Les cyberattaques réussies impliquent des erreurs humaines. Nombre de ces erreurs sont le résultat d'une manipulation, et non d'une négligence.

    Voici quelques exemples concrets :

    • Un "vendeur" qui demande des virements bancaires urgents en raison d'un changement soudain de banque
    • Un pirate se fait passer pour un administrateur informatique et demande une réinitialisation de mot de passe par téléphone.
    • Un soi-disant cadre envoie un message à un assistant sur Teams pour partager un dossier confidentiel.

    La formation des utilisateurs pour qu'ils résistent à ces techniques ne doit pas se limiter à des règles. Ils doivent également renforcer la confiance en soi et la sensibilisation à l'adresse . Les thèmes abordés sont les suivants

    • Les signaux d'alerte les plus courants en matière d'ingénierie sociale : un ton urgent, des salutations génériques, un langage trop familier ou des demandes inattendues sur .
    • Encourager les employés à faire une pause et à vérifier, même si la demande semble légitime
    • Renforcer les procédures internes telles que la vérification des virements ou la confirmation de l'identité par des canaux secondaires
    • Rendre culturellement acceptable le fait de dire "Laissez-moi vérifier".

    Les gens sont moins susceptibles de tomber dans le piège de l'ingénierie sociale s'ils se sentent soutenus lorsqu'ils posent des questions. Une pause de cinq secondes sur le site pour valider une demande peut éviter un cauchemar de cinq semaines en matière de réponse aux incidents.

    Découvrez comment Mimecast peut améliorer votre culture de la sécurité

    45% des employés ne savent pas comment signaler une activité suspecte, ce qui met d'innombrables organisations en danger. Notre objectif est de changer cela.

    Apprenez comment maintenant

    6. Protection des données et de la vie privée

    Qu'elle soit régie par le GDPR, la CCPA, l'HIPAA ou les politiques internes, la protection des données est l'affaire de tous, et pas seulement des services informatiques ou juridiques.

    La perte de données est souvent due à de petites erreurs :

    • Téléchargement de fichiers vers des comptes personnels dans le nuage
    • Partage d'informations sensibles sur des canaux non cryptés
    • Conserver les rapports sur des ordinateurs de bureau ou des clés USB

    La formation doit comprendre

    • Qu'est-ce qui constitue des données sensibles dans le contexte spécifique de votre entreprise ?
    • Comment stocker, partager et éliminer les données de manière appropriée ?
    • Pourquoi les politiques de chiffrement, de rédaction et de conservation sont-elles importantes ?

    Mimecast renforce également ces pratiques à l'aide d' outils de secure messaging, de DLP et d' application depolitiques, car la formation et la technologie fonctionnent mieux ensemble.

    7. Sécurité des appareils

    Le travail à distance et hybride étant devenu la norme, les attaques sur les points d'extrémité ont augmenté de plus de 200% (Forrester). Les téléphones, les tablettes et les ordinateurs portables personnels peuvent tous devenir une porte dérobée dans votre environnement.

    Les utilisateurs doivent comprendre comment

    • Activez le cryptage et les codes d'accès forts sur tous les appareils.
    • Utilisez un réseau Wi-Fi sécurisé et évitez les points d'accès publics pour les tâches sensibles.
    • Activez les fonctions d'effacement à distance et signalez immédiatement les appareils perdus ou volés.
    • Respecter les politiques BYOD et MDM, y compris leur raison d'être et la façon dont elles protègent tout le monde.

    La formation à l'utilisation des appareils ne doit pas être une réflexion après coup. Chaque point d'extrémité fait désormais partie du périmètre de votre réseau.

    8. Partage sécurisé de fichiers

    Le partage de fichiers est essentiel à l'accomplissement du travail. Qu'il s'agisse de contrats, de rapports financiers, d'ébauches ou de données sur les clients, la collaboration implique souvent l'envoi de fichiers dans les deux sens.

    Le partage non autorisé de fichiers reste cependant une source courante de fuites de données internes. Les menaces extérieures ne sont pas les seules en cause. De nombreux incidents résultent de l'utilisation par les employés d'outils non approuvés ou d'une mauvaise configuration des autorisations, sans qu'ils aient conscience des risques encourus.

    Parmi les scénarios de risque les plus courants, citons

    • Envoi de fichiers non cryptés en tant que pièces jointes à des courriers électroniques standard, souvent à des adresses externes.
    • Téléchargement de données sensibles sur des comptes personnels dans le nuage (par exemple, Google Drive, Dropbox) en vue d'un accès à distance.
    • Partager des liens qui permettent un accès illimité, permettant à toute personne possédant le lien de le visualiser, de le télécharger ou de le partager.
    • Oublier de révoquer l'accès après la fin d'un projet, laissant les fichiers disponibles indéfiniment.

    Il ne s'agit pas d'actions malveillantes. La plupart du temps, ils se produisent parce que les utilisateurs essaient d'être efficaces et ne comprennent pas pleinement les risques.

    C'est là que la formation fait toute la différence. Lorsqu'on montre aux utilisateurs comment et pourquoi les données sont exposées, ils sont beaucoup plus susceptibles d'adopter des habitudes sûres. Un programme de sensibilisation solide devrait les guider :

    • Comment utiliser des plateformes de partage de fichiers approuvées et sécurisées qui offrent un cryptage intégré, des contrôles d'accès et des pistes d'audit ?
    • Pourquoi la fixation de dates d'expiration pour les liens partagés permet de limiter les fenêtres d'exposition, en particulier pour les données sensibles au temps ou réglementées ( ) ?
    • Comment gérer les autorisations de manière appropriée. Par exemple, accès en vue seule ou accès en modification, partenaires internes ou externes .

    Il est également important de relier cette formation à des exemples concrets. Un paramètre d'autorisation oublié sur un tableau présentation. Un document confidentiel transmis au mauvais client. Un lien public laissé ouvert longtemps après la clôture d'une affaire . Il s'agit de scénarios évitables qui peuvent avoir des conséquences considérables.

    9. Réponse aux incidents et récupération

    Même avec des défenses solides, les choses peuvent mal tourner. Ce qui compte le plus, c'est la rapidité avec laquelle votre équipe détecte, signale et réagit.

    Malheureusement, de nombreux utilisateurs ne savent pas quoi faire ou, pire encore, retardent leur déclaration par crainte des conséquences.

    La formation doit fournir

    • Une procédure claire pour signaler les activités suspectes ou les incidents confirmés
    • Exemples d'éléments à signaler (comportement étrange du système, clics suspects sur des courriels, etc.)
    • Rassurer sur le fait que la rapidité des rapports est récompensée
    • Familiarisation avec votre équipe d'intervention et votre plan de communication

    L'organisation d'exercices sur table ou de simulations est un excellent moyen de tester la compréhension et d'améliorer l'état de préparation.

    10. Sécurité environnementale

    La sécurité ne s'arrête pas à l'écran. Les risques liés à l'accès physique sont encore courants, comme le tailgating, le shoulder surfing ou postes de travail non verrouillés.

    Même dans les bureaux sécurisés, des failles peuvent se produire :

    • Les ordinateurs portables sont laissés déverrouillés et sans surveillance.
    • Des documents sensibles sont imprimés et oubliés
    • Les visiteurs pénètrent dans les zones sans vérification

    La formation dans ce domaine devrait inclure

    • Rappels (et application) de l'écran de verrouillage
    • Politiques de nettoyage du bureau et élimination sécurisée des documents
    • Comment identifier et réagir en cas de filature ou d'accès non autorisé ?

    De simples habitudes, comme regarder par-dessus votre épaule ou verrouiller votre écran avant de prendre un café, peuvent éviter un incident grave sur le site .

    Faites en sorte que la formation soit continue et non ponctuelle

    Les meilleurs programmes de formation ne sont pas des sessions uniques. Ils sont cohérents, attrayants et évoluent, tout comme les menaces qu'ils visent à prévenir.

    Le comportement en matière de sécurité se dégrade avec le temps, surtout si les utilisateurs ne sont pas souvent confrontés à des menaces. Des mises à jour régulières et des simulations en situation réelle sur le site permettent de maintenir un niveau de sensibilisation élevé et des réactions vives.

    La formation de sensibilisation à la sécurité de Mimecast offre :

    • Modules d'apprentissage courts, basés sur les rôles (2-5 minutes)
    • Simulations de phishing en temps réel
    • Evaluation individuelle des risques et suivi des comportements
    • Intégration avec la suite complète de cybersécurité de Mimecast

    Il est conçu pour réduire les risques encourus par les utilisateurs, et pas seulement pour cocher des cases de conformité.

    Dernières réflexions

    La technologie à elle seule n'arrêtera pas la plupart des attaques. Les utilisateurs jouent un rôle essentiel dans votre dispositif de sécurité, mais seulement s'ils sont formés correctement et régulièrement sur le site .

    Ces dix thèmes constituent un point de départ pratique et à fort impact pour la mise en place d'un programme de sensibilisation moderne. Ils s'alignent sur les menaces actuelles, les exigences réglementaires et les réalités de la façon dont les employés travaillent aujourd'hui.

    Mimecast aide les organisations à relier tous ces éléments grâce à des formations de sensibilisation, à la protection du courrier électronique et de la collaboration, et à des informations en temps réel sur le paysage des risques humains.

    Prêt à améliorer votre programme d'entraînement ? Planifiez une démonstration pour voir comment Mimecast vous aide à transformer la sensibilisation à la sécurité en une résilience réelle .

    Ressources relatives au programme de formation à la sensibilisation à la sécurité

    Resources_39.jpg
    Security Awareness Training

    Wave de solutions de gestion des risques humains de Forrester

    Analyst Report
    Resources_28.jpg
    Security Awareness Training

    Human Risk Command Center 

    Datasheet
    Resources_21.jpg
    Security Awareness Training

    Révéler le risque humain

    Ebook
    Haut de la page