Archives par mot-clé : employés

Comment imposer la cybersécurité dans l’exercice du télétravail

Le télétravail est devenu une pratique courante dans nos organisations.

Pour répondre à un certain besoin, on a dû recourir massivement à la collaboration à distance. Bien évidemment ce basculement ne s’est pas fait sans conséquences. La cybercriminalité a profité de ce passage massif qui se réaliser sans aucune préparation au préalable. Les attaques informatiques se sont multipliées. Malgré plusieurs observations sur la difficulté de sécuriser les systèmes informatiques dans un contexte aussi délicat, on a malheureusement constaté que les équipes informatiques manquent toujours de certaines expertises ou de certaines fougues pour mieux se protéger.

Cet article va aussi vous intéresser : Comment intégrer la sécurité informatique dans le processus du télétravail

« Le passage massif au télétravail a considérablement élargi la cible des cyberattaques et rallonger la liste des vulnérabilités dont les hackers tirent profit. Pourtant, les organisations continuent de traîner les pieds lorsqu’il s’agit de donner aux équipes informatiques l’expertise dont elles ont besoin pour faire évoluer les programmes et les stratégies de gestion des risques permettant de réduire la probabilité et l’impact d’une attaque – qu’il s’agisse de déployer un dispositif d’authentification multifactorielle ou de mettre en œuvre des modèles de sécurité dits de « confiance zéro ». », déclare le responsable EMEA de la technologie et du développement chez Skillsoft, Don Mowbray

Au niveau du fonctionnement des entreprises, il faut signifier que mettre en œuvre une stratégie digitale implique beaucoup de choses. En tout premier lieu, la formation est où la mise à niveau des équipes informatique de cybersécurité. En particulier dans les domaines en pleine expansion c’est-à-dire :

– l’Open Source ;

– l’Internet des objets ;

– le Cloud ;

– la gestion des identités et des accès.

En plus de la formation et de la mise à niveau de leur équipe informatique, les entreprises peuvent aussi de leur côté déployé certaines mesures pour améliorer leur cybersécurité. Notamment « Tirer parti des affinités en termes de sécurité », comme l’explique Don Mowbray. « De nombreuses équipes Dev et DevOps considèrent déjà que la sécurité constitue l’une de leurs principales responsabilités. Il est donc logique de transférer davantage de responsabilités à ces équipes en matière de sécurité plutôt que de développer des rôles distincts en matière de sécurité. Les équipes de développement tireront profit de la formation sur les fondamentaux de DevSecOps qui intègre les responsabilités de chaque rôle en matière de sécurité. En outre, une programmation sécurisée et une formation en matière de vigilance, combinées aux fondamentaux des tests d’intrusion, doteront les équipes des outils nécessaires pour perfectionner leurs compétences dans ce domaine. », ajoute ce dernier.

De plus, le spécialiste recommande de récompenser à juste titre l’ensemble du personnel qui fait suffisamment d’efforts qui fait suffisamment d’efforts dans le sens de la cybersécurité.

« L’intégrité et la confidentialité des données sont essentielles pour maintenir la réputation de la marque. Il sera donc essentiel de s’assurer que le personnel clé sera en mesure de développer ses compétences de champion de la sécurité et de développer une expertise des tactiques et techniques appliquées par les hackers à travers l’organisation » note Don Mowbray.

On peut prendre l’exemple le fait de faciliter aux analyste en cybersécurité, d’améliorer leur technique en matière de contrôle et de gouvernance pour une meilleure sécurité des systèmes et des données qui circulent au sein de l’entreprise.

En outre, un autre conseil très important à suivre : l’initiative. Il est longtemps recommandé aux entreprises de savoir prendre l’initiative dans plusieurs aspects de la cybersécurité. Notamment, dans l’identification des menaces et des vecteurs d’attaques potentiels. Pour cela il existe plusieurs plateformes qui constituent des ressources assez importantes pour faciliter cette tâche, notamment MITRE ATT & CK. En s’appuyant sur ses ressources, les organisations peuvent mieux comprendre l’évolution des cyberattaques.

« Cela permet aux entreprises de prendre l’initiative en mettant en œuvre des mesures de sécurité plutôt que de simplement réagir aux attaques. Obtenir des informations sur les pratiques incitant les intrus à pénétrer dans les systèmes permettra aux organisations de se focaliser davantage sur les mesures de prévention et les principes de sécurité essentiels. Il convient également de veiller à ce que le temps et les efforts, ainsi que les ressources, soient utilisés de manière ciblée de manière à fournir les meilleurs résultats en matière de réduction des risques. », souligne Don Mowbray.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécurité informatique : et si les sensibilisations étaient inutiles

Depuis que la cybersécurité est devenue une thématique assez commune, on n’a pas cessé de trouver un moyen pour répondre au besoin qui est de lutter contre la cybermalveillance toujours en propagation et prolifération.

Dans une bonne position, on a pensé que l’utilisateur pourrait, s’il est formé et sensibiliser, servir de rempart sérieux face à la cyber menace.

Cet article va aussi vous intéresser : Cybersécurité : les employés surchargés du secteur peuvent être des vulnérabilités

Cependant, il semblerait que nous nous sommes tous trompés. Du moins c’est ce que pense Cédric Cartau, le responsable de sécurité de système d’information au CHU de Nantes. « « L’informatique est le problème, l’humain est la solution », « L’utilisateur est le dernier rempart », « L’humain au cœur de la sécurité », voire mon préféré « L’humain maillon fort de la cyber » : en matière de poncifs, il y en a pour tous les goûts, manifestement conçus la plupart du temps par le stagiaire en marketing (voire de 3e). Et blablabla et blablabla. Sauf que tout cela, c’est du flan, bernique et gloubi-boulga en sauce. Voici pourquoi. », déclare le professionnel.

« Récemment, j’ai participé à une rencontre entre confrères, et le sujet de la sensibilisation était à l’ordre du jour de la petite sauterie. On n’avait pas perdu trop de temps sur le volet enfumage susnommé que l’un de nous sort tout de go : le problème des campagnes de phishing n’est pas tellement le taux de hit (comprendre : le nombre de salariés qui se sont fait prendre comme des bleus à cliquer sur le lien sur lequel il ne fallait pas ouvrir la pièce jointe de test) que de savoir comment l’interpréter. », raconte le RSSI.

Pourtant depuis toujours, on s’est toujours positionner dans le sens où la sensibilisation pourrait être une clé pour freiner l’avancée majeure de la cybercriminalité. Pourtant, selon ce spécialiste en sécurité informatique, l’argument autour de l’importance même de la sensibilisation souffre de deux insuffisances majeures.

La première insuffisance réside dans le fait que si vous avez 10 000 collaborateurs dans une entreprise, il suffit d’un seul cliquer pour lancer l’installation d’un programme malveillant. En d’autres termes, une sensibilisation qui n’atteint pas les 100 pourcents n’est pas une sensibilisation utile.

La deuxième insuffisance réside aussi dans le fait qu’il faut prouver qu’une sa sensibilisation porte réellement ses fruits. Car il ne suffit pas seulement de lancer les tests à l’aveuglette, il faut aussi s’assurer de l’Impact de ses actions sur les personnes qui sont ciblées. Le problème c’est que de manière pratique, aucune étude ou aucune analyse en aval n’a été réalisée pour mesurer l’impact des campagnes de sensibilisation dont on fait la loge à tout bout de champ.

« Le dernier truc à la mode, ce sont les escape games. C’est trendy, c’est hype. Il s’agit de mettre 10 ou 12 gugusses dans une pièce et de les faire jouer à une sorte de jeu de rôle plus ou moins sophistiqué avec tous les codes des parties de Donjons et Dragons des années 1980 : les gadgets, le maître de jeu, les événements qui surviennent en cours de partie. Si vous avez tout plein de sous, certains prestataires mettent même à disposition des locaux avec tout le décorum : pièces décorées, écrans avec des chiffres 0 et 1 qui défilent comme dans Matrix (authentique) et même les types en capuche pour effrayer la donzelle, mais c’est en option. C’est trendy, c’est hype, et c’est idiot : par fournées de 12 personnes, il va falloir combien de temps pour sensibiliser tout le personnel d’un GHT, y compris les VIP, y compris les médecins, les soignants, la DSI ? Sans compter qu’il faut mettre tout ce beau monde pendant 2 ou 3 heures, voire plus, dans une pièce – c’est vrai qu’on n’est pas du tout en tension RH dans les hôpitaux en ce moment. Bref, cela peut être utile, mais pour quel type de population ? Quelle étude a été réalisée pour mesurer l’impact des escape games selon le type d’utilisateur ? Quelle est leur efficacité ? », souligne le RSSI du CHU de Nantes.

Toutefois, dire que la sensibilisation est totalement inutile et sûrement un moyen d’interpeller sur certaines réalités. En effet il ne suffit pas seulement de sensibiliser. Il faut aussi s’assurer que les actions qui sont mener porte réellement leurs fruits. Faire une sensibilisation sans réelle objectif juste pour se classer dans la catégorie des personnes sensibilisées.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Toujours associer les employés dans lutte contre la cybercriminalité

Dans une entreprise, la sécurité informatique doit être une culture.

Comme une manière de se comporter mais aussi comme une manière de travailler. Les spécialistes de la sécurité confirment adopter des attitudes qui sont nécessaires pour établir le cadre saint. « Et ça touche principalement les PME, car 70% des entreprises canadiennes victimes d’incidents de cybersécurité emploient moins de 100 personnes », souligne Guillaume Caron, président-directeur général de VARS, la division en sécurité de Raymond Chabot Grant Thornton.

Cet article va aussi vous intéresser : La majorité des salariés veulent continuer en télétravail

En observant la pratique des cybercriminels, on peut constater que la majorité des attaques informatiques, qui ciblent les entreprises sont réalisées généralement sur la base des techniques de phishing. « Ils envoient un courriel contenant un lien, un employé clique sur ce lien, ce qui permet au criminel d’exécuter un « malware » qui prendra éventuellement le contrôle de l’environnement informatique de l’entreprise. », note M. Caron. Cela en dit long sur la participation indirecte des employés dans l’établissement de la menace. C’est d’ailleurs pour cela que le maître mot en matière de sécurité des entreprises a toujours été de privilégier la sensibilisation du personnel.

« Tout le monde, du grand patron aux employés de la base, doit être formé et, surtout, sensibilisé à la sécurité informatique. La direction doit comprendre les principaux enjeux et choisir les solutions technologiques et humaines appropriées. De nos jours, on ne peut plus dépendre uniquement des antivirus… », nous explique M. Caron.

Par conséquent, les entreprises en particulier les PME, doivent pouvoir mettre en place une politique de cybersécurité dont la réalisation va dépendre de la culture de l’entreprise, la réalité de celle-ci ainsi que des activités qu’elles réalisent en longueur de journée. Si possible constituer cette politique en charte et obligé l’ensemble de personnel à l’exécuter.

« Pour une petite PME, ce n’est parfois pas nécessaire d’avoir plusieurs politiques de sécurité de l’information. Une seule peut suffire. Elle devra aborder des sujets importants, notamment la gestion des accès, la gestion des données et des mots de passe de l’entreprise ainsi que l’utilisation acceptable de l’équipement informatique. De plus, les PME doivent être prêtes à réagir en cas d’attaques. C’est important plus que jamais de mettre en place un plan de réponse aux incidents. », souligne M Guillaume Caron.

Pour ce dernier, le document en question doit être rédigé de sorte à être le plus compréhensible possible. Il doit mettre en évidence la sensibilisation des employés et l’explication de certaines menaces telles que l’ingénierie sociale et le phishing. Il faudra alors s’assurer que l’ensemble des employés soit lu par tous les membres du personnel, peu importe le grade.

Enfin, l’entreprise pour lutter efficacement contre la menace, doit établir un programme de sensibilisation sur l’année accompagné de plusieurs formations. « Dans la réalité, les employés constituent le maillon la plus faible face aux cybercriminels. Il faut faire en sorte qu’ils deviennent une première ligne de défense efficace », note M. Caron.

Les thèmes qui doivent être le plus souvent abordé dans ses compagnes de formation et de sensibilisation, sont notamment le phishing, l’ingénierie sociale, la protection des données sensibles et des documents d’entreprise, l’utilisation de l’outil informatique de manière optimale et sécuritaire. « Il faut que ces campagnes soient attrayantes et fassent appel à des quiz en ligne et à de l’humour. Et, surtout, il faut sans cesse répéter le message. », ajoute Guillaume Caron.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cybersécurité : les employés surchargés du secteur peuvent être des vulnérabilités

Un problème important qui a été soulevée dans le secteur de la sécurité informatique est l’insuffisance des vestes dans le secteur.

Cette situation a pour conséquence le surmenage des équipes dédié à la sécurité. Souvent une augmentation de travail supplémentaire qu’elles ont du mal à gérer. Cette situation pose alors une question sur l’efficacité de leur rendu.

Cet article va aussi vous intéresser : La cybersécurité à l’épreuve du télétravail et le retour des employés au bureau

Tout ceci a été analysé dans une étude récemment réalisée dans un contexte mondial auprès des professionnels de la sécurité informatique par l’Information Systems Security Association (ISSA) en collaboration avec Enterprise Strategy Group (ESG), un cabinet d’analyse. Selon le résultat de cette enquête, l’insuffisance d’investissement associée à l’augmentation de la charge de travail a pour conséquence de réduire de manière alarmante la disponibilité de compétence dans le secteur. On assiste alors à du manque de main d’œuvre et à l’épuisement des professionnels déjà engagés.

Dans ce contexte les problèmes ne vont pas tarder bien évidemment à apparaître.

Sur 500 professionnels interrogés au cours de l’étude :

– 57 % d’entre eux ont déclaré que les défauts de compétences dans le secteur de la sécurité informatique a grandement impacté le fonctionnement de leur organisation

– 10 % de ces professionnels parlent d’un impact très significatif ;

– 62 % d’entre eux ont mentionné une augmentation non négligeable de leur charge de travail en particulier ceux, travaillant dans le secteur de la sécurité de l’information

– 38 % des professionnels qui ont été interrogés ont déclaré ces bouleversements ont porté atteinte d’une manière ou d’une autre à leur santé. Certains mentionnent avoir souffert d’épuisement professionnel.

– 50 % des professionnels interrogés ont affirmé que l’augmentation de la charge de travail a eu pour conséquence une augmentation de leur stress au travail. Notamment durant la période de la pandémie à coronavirus qui a ses couilles le monde.

« L’impact a été significatif. On attend des équipes qu’elles fassent encore plus d’efforts du fait de l’adoption par les entreprises du modèle de fonctionnement à distance », a noté Candy Alexander, la présidente du conseil d’administration de l’ISSA International. « Le paysage des menaces s’est radicalement transformé et une cyberguerre bat son plein avec des attaques de ransomware dévastatrices pour de nombreuses entreprises. Les professionnels de la cybersécurité doivent désormais relever le défi de se tenir au courant des dernières et des plus grandes menaces », ajoute ce dernier.

« La prévalence accrue du travail à distance a rendu certains aspects de la sécurité des réseaux d’entreprise plus difficiles, car le personnel de cybersécurité a dû aider les employés – dont beaucoup n’avaient jamais travaillé à domicile auparavant – à rester en sécurité. » note Candy Alexander.

Avec l’explosion du télétravail, les applications dans le cloud ont connu aussi une augmentation en ce qui concerne leur utilisation. Une situation qui a conduit à une exigence beaucoup plus accrue des compétences en matière de sécurité dans le cloud. Des lacunes que beaucoup d’organisations n’ont pas encore réussi à combler. En effet, 4 professionnels sur 10 c’est-à-dire 39 % des personnes interrogées au cours de l’étude ont confirmé que leurs organisations ont du mal à trouver des compétences dans le domaine de la sécurité informatique dans le Cloud. 30 % parlant d’une difficulté de recrutement de compétences au niveau de la sécurité des applications. 30 % mentionne aussi la difficulté de recrutement au niveau de l’analyse et l’investigation de la sécurité.

Et ce n’est pas tout, selon le rapport, plusieurs organisations en commun ou commettre des erreurs lors de l’embauche ou de recrutements des spécialistes dans le domaine de la sécurité informatique. Par exemple selon 38 % des professionnels interrogés, leurs organisations ne proposaient pas aux candidats des revenus susceptibles de les motiver.  Par ailleurs 29 % des professionnels interrogés ont mentionné le fait que leurs ressources humaines ne savaient pas très bien comment fonctionne les compétences en matière de sécurité informatique. 25 % ont qualifié les offres d’emploi en matière de cybersécurité de leurs organisations de surréalistes.

À cela on ajoute l’appréhension des entreprises en ce qui concerne leur qualification de la cybersécurité.

« La cybersécurité est considérée comme un centre de coûts pour l’entreprise – quelque chose que vous devez faire, mais seulement à un degré minimal, comme payer la facture d’électricité. Nous devons changer le discours pour aligner nos programmes de sécurité sur l’entreprise », signifie M. Alexander.

« Les entreprises ont tendance à investir dans des choses qu’elles jugent utiles. Nous devons nous assurer qu’elles voient la valeur de nos programmes de cybersécurité – y compris les personnes, la formation et la technologie », ajoute la spécialiste.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La cybersécurité à l’épreuve du télétravail et le retour des employés au bureau

Depuis un certain moment la question de savoir si le personnel retournera au bureau et au centre des discussions.

De plus en plus, le confinement des populations est en train d’être levé. Pourtant on ne sait toujours pas comment se passera la reprise dans certains services. Ce qu’on peut dire avec certitude, c’est que les entreprises ont été interpellé et sommet de prendre les mesures nécessaires pour que les reprises se fasse de manière sécuritaire possible.

Cet article va aussi vous intéresser : La sécurité des structures informatiques à l’épreuve du télétravail et des clouds

Pourtant, à y regarder de près, il semble fortement que le télétravail ne va pas disparaître de sitôt. Il a même été envisagé une possibilité d’alterner entre au travail à distance et travail au bureau. Et cela puisse son fond dans plusieurs études qui démontre qu’une grande majorité des travailleurs commence à apprécier le travail à distance. Selon une étude réalisée par le groupe Malakoff Humanis, 70 % des télétravailleurs affirment se satisfaire de leur situation. Selon ces derniers, la collaboration à distance offre beaucoup plus d’autonomie de flexibilité et de souplesse au pour réaliser les tâches qui doivent effectuer au quotidien. Alors que cela a été démontré que lorsque les employés sont dans une situation de bien-être, leur efficacité et leur efficience augmente nettement. Ce qui a un impact très positif sur leur productivité à long terme.

Cependant, il ne faut pas occulter le fait que le travail à distance présente aussi beaucoup d’inconvénient. En effet, il a été plusieurs fois démontré que le risque informatique a explosé depuis la généralisation du télétravail. En particulier en France ou les concernés ne sont pas très bien préparés pour son exercice. Selon une étude réalisée pour le compte de la société SFAM, par Ipsos, un télétravailleur français sur deux utilise des appareils informatiques et installation personnels pour sa collaboration à distance. Mais tu as aussi mis en évidence que 53% soit plus de la moitié des télétravailleurs affirme que ses outils personnels leur suffisent pour accomplir leurs tâches au quotidien. Se pose alors la question de la connaissance du risque informatiques lorsque cette situation se banalise pour les sociétés.

Malheureusement cette situation est une réalité qu’il ne faut pas occulter. La cybersécurité les entreprises est menacée. Surtout dans un contexte où le télétravail ne remplit pas les normes nécessaires de protection. Cela est démontré par une étude en qui justifie que 60 pourcents des spécialistes de la sécurité informatique ont reconnu que le télétravail a été la source d’une multiplication des failles de sécurité au sein de leur organisation.

L’Entreprise de sécurité informatique Symantec a aussi confirmé lors d’une étude que 86 % des employés utilisent leurs outils informatiques personnels pour effectuer des tâches professionnelles. Encore pire, c’est 42 % d’entre eux qui ne mettent pas à jour de manière régulière leur système de sécurité.

« Je pense que même si la crise sanitaire se termine dans les prochains mois, la menace cyber persistera, ne serait-ce que parce qu’il y aura toujours plus de télétravail qu’avant la crise. Le nombre d’appareils connectés, parents et enfants, ne cessera d’augmenter avec un usage du même appareil par différents membres d’un même foyer et donc autant de risques de contaminations possibles. Il y a un risque énorme de porosité entre l’usage personnel et professionnel », explique Didier Schreiber, analyste chez Zscaler.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage