6. Protection des données et de la vie privée
Qu'elle soit régie par le GDPR, la CCPA, l'HIPAA ou les politiques internes, la protection des données est l'affaire de tous, et pas seulement des services informatiques ou juridiques.
La perte de données est souvent due à de petites erreurs :
- Téléchargement de fichiers vers des comptes personnels dans le nuage
- Partage d'informations sensibles sur des canaux non cryptés
- Conserver les rapports sur des ordinateurs de bureau ou des clés USB
La formation doit comprendre
- Qu'est-ce qui constitue des données sensibles dans le contexte spécifique de votre entreprise ?
- Comment stocker, partager et éliminer les données de manière appropriée ?
- Pourquoi les politiques de chiffrement, de rédaction et de conservation sont-elles importantes ?
Mimecast renforce également ces pratiques à l'aide d' outils de secure messaging, de DLP et d' application depolitiques, car la formation et la technologie fonctionnent mieux ensemble.
7. Sécurité des appareils
Le travail à distance et hybride étant devenu la norme, les attaques sur les points d'extrémité ont augmenté de plus de 200% (Forrester). Les téléphones, les tablettes et les ordinateurs portables personnels peuvent tous devenir une porte dérobée dans votre environnement.
Les utilisateurs doivent comprendre comment
- Activez le cryptage et les codes d'accès forts sur tous les appareils.
- Utilisez un réseau Wi-Fi sécurisé et évitez les points d'accès publics pour les tâches sensibles.
- Activez les fonctions d'effacement à distance et signalez immédiatement les appareils perdus ou volés.
- Respecter les politiques BYOD et MDM, y compris leur raison d'être et la façon dont elles protègent tout le monde.
La formation à l'utilisation des appareils ne doit pas être une réflexion après coup. Chaque point d'extrémité fait désormais partie du périmètre de votre réseau.
8. Partage sécurisé de fichiers
Le partage de fichiers est essentiel à l'accomplissement du travail. Qu'il s'agisse de contrats, de rapports financiers, d'ébauches ou de données sur les clients, la collaboration implique souvent l'envoi de fichiers dans les deux sens.
Le partage non autorisé de fichiers reste cependant une source courante de fuites de données internes. Les menaces extérieures ne sont pas les seules en cause. De nombreux incidents résultent de l'utilisation par les employés d'outils non approuvés ou d'une mauvaise configuration des autorisations, sans qu'ils aient conscience des risques encourus.
Parmi les scénarios de risque les plus courants, citons
- Envoi de fichiers non cryptés en tant que pièces jointes à des courriers électroniques standard, souvent à des adresses externes.
- Téléchargement de données sensibles sur des comptes personnels dans le nuage (par exemple, Google Drive, Dropbox) en vue d'un accès à distance.
- Partager des liens qui permettent un accès illimité, permettant à toute personne possédant le lien de le visualiser, de le télécharger ou de le partager.
- Oublier de révoquer l'accès après la fin d'un projet, laissant les fichiers disponibles indéfiniment.
Il ne s'agit pas d'actions malveillantes. La plupart du temps, ils se produisent parce que les utilisateurs essaient d'être efficaces et ne comprennent pas pleinement les risques.
C'est là que la formation fait toute la différence. Lorsqu'on montre aux utilisateurs comment et pourquoi les données sont exposées, ils sont beaucoup plus susceptibles
d'adopter des habitudes sûres. Un programme de sensibilisation solide devrait les guider :
- Comment utiliser des plateformes de partage de fichiers approuvées et sécurisées qui offrent un cryptage intégré, des contrôles d'accès et des pistes d'audit ?
- Pourquoi la fixation de dates d'expiration pour les liens partagés permet de limiter les fenêtres d'exposition, en particulier pour les données sensibles au temps ou réglementées (
) ?
- Comment gérer les autorisations de manière appropriée. Par exemple, accès en vue seule ou accès en modification, partenaires internes ou externes
.
Il est également important de relier cette formation à des exemples concrets. Un paramètre d'autorisation oublié sur un tableau
présentation. Un document confidentiel transmis au mauvais client. Un lien public laissé ouvert longtemps après la clôture d'une affaire
. Il s'agit de scénarios évitables qui peuvent avoir des conséquences considérables.
9. Réponse aux incidents et récupération
Même avec des défenses solides, les choses peuvent mal tourner. Ce qui compte le plus, c'est la rapidité avec laquelle votre équipe détecte, signale et
réagit.
Malheureusement, de nombreux utilisateurs ne savent pas quoi faire ou, pire encore, retardent leur déclaration par crainte des conséquences.
La formation doit fournir
- Une procédure claire pour signaler les activités suspectes ou les incidents confirmés
- Exemples d'éléments à signaler (comportement étrange du système, clics suspects sur des courriels, etc.)
- Rassurer sur le fait que la rapidité des rapports est récompensée
- Familiarisation avec votre équipe d'intervention et votre plan de communication
L'organisation d'exercices sur table ou de simulations est un excellent moyen de tester la compréhension et d'améliorer l'état de préparation.
10. Sécurité environnementale
La sécurité ne s'arrête pas à l'écran. Les risques liés à l'accès physique sont encore courants, comme le tailgating, le shoulder surfing ou
postes de travail non verrouillés.
Même dans les bureaux sécurisés, des failles peuvent se produire :
- Les ordinateurs portables sont laissés déverrouillés et sans surveillance.
- Des documents sensibles sont imprimés et oubliés
- Les visiteurs pénètrent dans les zones sans vérification
La formation dans ce domaine devrait inclure
- Rappels (et application) de l'écran de verrouillage
- Politiques de nettoyage du bureau et élimination sécurisée des documents
- Comment identifier et réagir en cas de filature ou d'accès non autorisé ?
De simples habitudes, comme regarder par-dessus votre épaule ou verrouiller votre écran avant de prendre un café, peuvent éviter un incident grave sur le site
.
Faites en sorte que la formation soit continue et non ponctuelle
Les meilleurs programmes de formation ne sont pas des sessions uniques. Ils sont cohérents, attrayants et évoluent, tout comme les menaces
qu'ils visent à prévenir.
Le comportement en matière de sécurité se dégrade avec le temps, surtout si les utilisateurs ne sont pas souvent confrontés à des menaces. Des mises à jour régulières et des simulations en situation réelle sur le site
permettent de maintenir un niveau de sensibilisation élevé et des réactions vives.
La formation de sensibilisation à la sécurité de Mimecast offre :
- Modules d'apprentissage courts, basés sur les rôles (2-5 minutes)
- Simulations de phishing en temps réel
- Evaluation individuelle des risques et suivi des comportements
- Intégration avec la suite complète de cybersécurité de Mimecast
Il est conçu pour réduire les risques encourus par les utilisateurs, et pas seulement pour cocher des cases de conformité.
Dernières réflexions
La technologie à elle seule n'arrêtera pas la plupart des attaques. Les utilisateurs jouent un rôle essentiel dans votre dispositif de sécurité, mais seulement s'ils sont formés correctement et régulièrement sur le site
.
Ces dix thèmes constituent un point de départ pratique et à fort impact pour la mise en place d'un programme de sensibilisation moderne. Ils s'alignent sur
les menaces actuelles, les exigences réglementaires et les réalités de la façon dont les employés travaillent aujourd'hui.
Mimecast aide les organisations à relier tous ces éléments grâce à des formations de sensibilisation, à la protection du courrier électronique et de la collaboration, et à
des informations en temps réel sur le paysage des risques humains.
Prêt à améliorer votre programme d'entraînement ? Planifiez une démonstration pour voir comment Mimecast vous aide à transformer la sensibilisation à la sécurité en une résilience réelle
.