Langue

  • Français

Votre dernière ligne de défense est-elle assez robuste?

Ce sujet de discussion était au cœur du dernier webinaire de TELUS et Wombat Security, axé sur le rapport « State of the Phish » 2018 (en anglais). Au cours de ce webinaire, Mike Vamvakaris, directeur général, Consultation en cybersécurité, TELUS Sécurité, et Donald Stewart, responsable des réseaux de distribution et des alliances, Wombat Security (division de Proofpoint), ont abordé la gestion des risques associés aux utilisateurs finaux.

M. Vamvakaris a d’abord présenté un aperçu du monde actuel de la sécurité. La transformation numérique favorise le progrès dans les domaines de la communication, de la collaboration, de l’intelligence artificielle (IA) et de l’Internet des objets (IdO), mais elle comporte aussi certains risques. La fréquence, le nombre et la gravité des incidents augmentent chaque jour.

D’ailleurs, M. Vamvakaris a souligné une statistique intéressante – mais quelque peu troublante – qui résume bien la problématique à laquelle font face la plupart des professionnels de la sécurité : les budgets alloués à la sécurité sont en hausse, ce qui est une bonne nouvelle. Par contre, la mauvaise nouvelle, c’est que le nombre de brèches augmente lui aussi. Cette situation s’explique principalement par le fait que les organisations mettent fortement (voire uniquement) l’accent sur les solutions technologiques. Elles concentrent leurs investissements en sécurité sur un seul terme de l’équation, et négligent les autres volets essentiels d’une approche globale et intégrée : les processus et les employés.

Wombat Security s’intéresse particulièrement au volet humain. Comme le reflète son slogan (« Change behaviour. Reduce risk. »), le mandat de l’entreprise est simple : il vise à modifier les comportements en vue d’atténuer le risque. Pour ce faire, l’entreprise évalue les connaissances et les comportements des utilisateurs finaux en matière de cybersécurité, leur offre des formations et recueille des données sur le niveau de sécurité de l’organisation. Elle propose ensuite des solutions logicielles conçues pour améliorer les comportements et les réactions en cas de cyberattaque.

Le grand égalisateur du monde de la sécurité

Même si votre réseau est à toute épreuve, vous demeurez vulnérables si vos employés ne sont pas conscients des risques. Lors du webinaire, M. Stewart a présenté quelques statistiques étonnantes. Par exemple, 98 % des incidents et des brèches de piratage psychologique sont le résultat d’une tentative d’hameçonnage et d’extorsion de renseignements personnels. Ces données vous perturbent? Nous aussi.

Selon M. Stewart, l’hameçonnage est un risque majeur auquel même les employés formés et sensibilisés sont exposés. Compte tenu de son importance, Wombat Security étudie cette menace de près et produit chaque année un rapport en faisant état.

Ce rapport, intitulé « State of the Phish » (ou l’état de l’hameçonnage), fournit des renseignements au sujet des tactiques employées par les professionnels de la sécurité afin de réduire les risques associés aux utilisateurs finaux. Pour arriver aux conclusions présentées dans le rapport, les chercheurs de Wombat Security ont analysé les données issues de simulations d’hameçonnage effectuées sur une période d’un an, ainsi que de sondages menés auprès de professionnels de la sécurité de l’information et de la communauté générale des utilisateurs d’ordinateurs.

Le rapport révèle que même si les employés sont de plus en plus formés, l’hameçonnage demeure un enjeu. En effet, 76 % des personnes interrogées ont été victimes d’une attaque d’hameçonnage en 2017. Au cours du webinaire, M. Stewart a également souligné d’autres renseignements clés du rapport, dont les suivants :

  • les types de simulations d’hameçonnage (messages ciblant les consommateurs, communications internes d’une entreprise, messages reçus dans le cadre d’activités professionnelles, courriels provenant d’un fournisseur de services infonuagiques);
  • le taux de clics par secteur d’activité;
  • les types de messages qui incitent les gens à cliquer sur un lien;
  • les technologies de sécurité employées;
  • les outils de formation offerts aux utilisateurs.

Le mot d’ordre de M. Stewart? La sensibilisation! Selon l’analyse de Wombat Security, 95 % des organisations offrent une formation sur l’hameçonnage à leurs employés, ce qui est excellent. Mais elles doivent maintenant agrandir la portée de ces formations afin d’englober d’autres risques, tels que le partage excessif de renseignements sur les médias sociaux, la mauvaise gestion des mots de passe et l’hameçonnage téléphonique.

Une sensibilisation progressive et continue

Que pouvez-vous faire pour améliorer la sensibilisation des utilisateurs finaux et promouvoir l’adoption de comportements sécuritaires dans votre organisation? La méthode la plus efficace consiste à renforcer votre dernière ligne de défense grâce à l’éducation et à des mesures concrètes de protection.

Wombat Security propose une approche cyclique axée sur l’évaluation de la vulnérabilité, la formation, le renforcement et l’analyse de l’efficacité. Plusieurs organisations n’offrent que des formations annuelles, mais l’apprentissage doit se faire régulièrement et tout au long de l’année. En adoptant une approche cyclique, les organisations donnent à leurs employés l’occasion de découvrir les meilleures pratiques et de les appliquer dans une situation réelle. Ainsi, leur sensibilisation aux risques croît de façon progressive et continue.

TELUS a constaté l’efficacité de cette approche. À l’aide de la solution de Wombat Security, TELUS a été en mesure d’accroître la sensibilisation et le signalement des menaces, tout en réduisant son taux de clics (qui est maintenant inférieur à la moyenne de 15 % au sein du secteur d’activité).

Pour en savoir davantage sur les façons de renforcer votre dernière ligne de défense, visionnez l’intégralité du webinaire (en anglais) ou visitez telus.com/SecuriteAffaires.

Comments are closed.