Une étude récente menée auprès de 330 professionnels de l’informatique dans le monde a révélé que 77 % d’entre eux recevaient régulièrement des rapports d’attaques de phishing de la part des utilisateurs finaux qu’ils prennent en charge. Si n’importe qui au bureau peut être la cible, l’étude indique que la comptabilité et la finance sont visées dans près de 60 % des attaques et qu’une majorité des personnes interrogées ont subi des tentatives d’usurpation d’identité de cadres supérieurs. Cette combinaison particulièrement dangereuse est couramment utilisée pour demander un virement bancaire frauduleux. Même un seul clic sur le mauvais lien par un seul employé peut créer un problème substantiel, tel qu’une infection par ransomware ou une violation de données.
Malgré ces menaces, le rapport indique que 62 % des entreprises ne mettent pas en place un programme de test de sensibilisation à la sécurité. En outre, 62 % des personnes interrogées n’utilisent pas de logiciel de prévention des pertes de données (DLP) pour rechercher, classer et gérer les données particulièrement sensibles. La sécurité des données est une priorité pour les entreprises.
Voici quelques moyens de mettre en place un programme de sensibilisation à la sécurité pour votre bureau :
1. Éduquez votre personnel sur les meilleures pratiques en matière de sécurité informatique
Le point commun de la grande majorité des cyberattaques pointe vers le maillon le plus faible de votre réseau informatique : vos employés. La base est le recrutement et les vérifications approfondies des antécédents. En permanence, des programmes complets de formation et de sensibilisation à la sécurité informatique contribuent à établir une culture de la sécurité et de la conformité. Tous les nouveaux employés devraient suivre un cours de formation à la sécurité informatique. Formez tous vos employés en renouvelant le contenu chaque année. Affichez des posters de sensibilisation à la sécurité dans les bureaux. En outre, envisagez de proposer de courtes formations tout au long de l’année, comme des vidéos hebdomadaires ou des bulletins d’information programmés pour des rappels constants. Un cycle continu d’évaluation, d’éducation, de renforcement et de mesure maximise l’apprentissage et prolonge la rétention.
2. Conduire des campagnes périodiques de pishing simulé
Une campagne de phishing simulée est un excellent outil pour tester, évaluer et éduquer votre personnel sur les dernières tactiques de phishing utilisées par les hackers. La plupart des outils offrent une formation sur place qui est requise pour toute personne qui clique par erreur sur un lien « malveillant ». La direction peut examiner les rapports d’activité de la campagne pour apporter des ajustements aux politiques de sécurité de l’entreprise et voir si la sensibilisation des employés s’améliore avec le temps. C’est essentiel pour tous les employés et faites particulièrement attention au personnel comptable et financier. Un rapport du FBI de 2017 (Internet Crime Complaint Center (IC3) | Business Email Compromise) fait état de plus de 5 milliards d’euros de fraude par virement bancaire sur une période d’un peu plus de trois ans. Le rapport énumère plusieurs scénarios, notamment les virements électroniques étrangers (qui peuvent être extrêmement difficiles à poursuivre). Le risque de perte financière par virement bancaire est élevé, même pour les virements domestiques, car ils sont difficiles à retracer ou à inverser.
3. Réalisez une évaluation des breachs de vos employés
Vous pourriez être surpris d’apprendre combien de vos employés ont compromis des noms d’utilisateur, des mots de passe ou d’autres informations personnelles identifiables (PII) vendues sur le dark web. L’examen d’un rapport d’activité sur le dark web pourrait aider à identifier les employés qui pourraient avoir besoin d’une formation supplémentaire.
4. Développer une culture de santé du septicisme : vérification à multiples étapes
Les scénarios impliquent souvent des hameçonneurs se faisant passer pour des dirigeants d’entreprise, des vendeurs ou des avocats de confiance, mettre en œuvre au moins un processus d’approbation en deux étapes pour les transactions financières importantes peut faire beaucoup pour prévenir la fraude par fil ou par chèque. Encouragez votre personnel à s’interroger sur tout message qui semble hors de propos et mettez en place une politique sur la manière dont il peut signaler les courriels suspects. Si possible, prévoyez des rôles qui exigent une séparation des tâches et une rotation des postes pour le personnel qui gère l’accès aux données sensibles. Si la taille de votre entreprise est trop petite pour effectuer une rotation des tâches, les propriétaires d’entreprise peuvent vérifier périodiquement qui a accès aux données sensibles et effectuer un examen de rapprochement régulier.
S’attendre à ce que les criminels soient extrêmement convaincants. Chaque jour, ils élaborent des courriels plus difficiles à identifier. En fait, les gens sont beaucoup plus susceptibles de cliquer sur des courriels de phishing que sur des courriels de marketing authentiques. Nous vivons une époque dangereuse. Commencez à mettre en œuvre des mesures pratiques pour former votre personnel et réduire vos risques. À travers un nouvel article, découvrez plus sur l’assurance-emploi, afin d’offrir la couverture idéale pour vos employés. Pour un complément d’information, découvrez également le guide de lancement d’une entreprise à domicile dans un autre article.