Formation En Cybersécurité

Les incidents de phishing sont en augmentation. Un rapport de IBM montre que le phishing était le vecteur d’attaque le plus populaire en 2021, ce qui fait qu’un employé sur cinq a été victime de techniques de piratage par phishing.

Table des matières hide
1 Le besoin d’une formation de sensibilisation à la sécurité
2 Simulations d’hameçonnage : que comprend la formation ?
3 Trois erreurs courantes de simulation de phishing.
4 1 — Tester au lieu d’éduquer
5 2 — Utiliser la même simulation pour tous les employés
6 3 — S’appuyer sur les données d’une seule campagne
7 Mettre en place un programme efficace de simulation de phishing.

Le besoin d’une formation de sensibilisation à la sécurité

Bien que les solutions techniques protègent contre les menaces de phishing, aucune solution n’est efficace à 100%. Par conséquent, les entreprises n’ont d’autre choix que d’impliquer leurs employés dans la lutte contre les hackers. C’est là que la formation de sensibilisation à la sécurité entre en jeu.

Sensibilisation à la sécurité la formation donne aux entreprises la confiance que leurs employés exécuteront la bonne réponse lorsqu’ils découvriront un message de phishing dans leur boîte de réception.

Comme le dit le dicton, « la connaissance, c’est le pouvoir », mais l’efficacité de la connaissance dépend fortement de la manière dont elle est transmise. En ce qui concerne les attaques de phishing, les simulations font partie des formes de formation les plus efficaces, car les événements des simulations de formation imitent directement la réaction d’un employé en cas d’attaque réelle. Comme les employés ne savent pas si un e-mail suspect dans leur boîte de réception est une simulation ou une menace réelle, la formation devient encore plus précieuse.

Simulations d’hameçonnage : que comprend la formation ?

Il est essentiel de planifier, de mettre en œuvre et d’évaluer un programme de formation de sensibilisation à la cybersécurité pour s’assurer qu’il modifie réellement le comportement des employés. Cependant, pour que cet effort soit couronné de succès, il doit impliquer bien plus qu’un simple e-mail aux employés. Les pratiques clés à prendre en compte incluent :

Publicité
  • Simulations de phishing réelles.
  • Apprentissage adaptatif – réponse en direct et protection contre les cyberattaques réelles.
  • Formation personnalisée basée sur des facteurs tels que le département, le mandat et le niveau d’expérience cybernétique.
  • Responsabiliser et doter les employés d’un état d’esprit toujours actif en matière de cybersécurité.
  • Campagnes basées sur les données

Étant donné que les employés ne font pas la différence entre les simulations d’hameçonnage et les véritables cyberattaques, il est important de se rappeler que les simulations d’hameçonnage suscitent différentes émotions et réactions. la formation de sensibilisation doit être menée de manière réfléchie. Alors que les organisations doivent engager leurs employés pour lutter contre les attaques sans cesse croissantes et protéger leurs actifs, il est important de garder le moral et de créer une culture positive de la cyber-hygiène.

Trois erreurs courantes de simulation de phishing.

Forte de plusieurs années d’expérience, la société de cybersécurité CyberReady a vu des entreprises tomber dans ces erreurs courantes.

1 — Tester au lieu d’éduquer

L’approche consistant à exécuter une simulation de phishing comme test pour attraper et punir les « récidivistes » peut faire plus de mal que de bien.

Une expérience éducative qui implique du stress est contre-productive et même traumatisante. En conséquence, les employés ne suivront pas la formation mais chercheront des moyens de contourner le système. Dans l’ensemble, « l’approche d’audit » basée sur la peur n’est pas bénéfique à long terme pour l’organisation car elle ne peut pas fournir la formation nécessaire sur une période prolongée.

Solution #1 : Soyez sensible

Parce que le maintien d’un moral positif des employés est essentiel au bien-être de l’organisation, offrez une formation positive juste à temps.

La formation juste à temps signifie qu’une fois que les employés ont cliqué sur un lien dans l’attaque simulée, ils sont dirigés vers une session de formation courte et concise. L’idée est d’éduquer rapidement l’employé sur son erreur et de lui donner des conseils essentiels pour repérer les e-mails malveillants à l’avenir.

C’est aussi une opportunité de renforcement positif, alors assurez-vous de garder la formation courte, concise et positive.

Solution #2 : Informer les départements concernés.

Communiquez avec les parties prenantes concernées pour vous assurer qu’elles sont au courant de la formation continue sur la simulation d’hameçonnage. De nombreuses organisations oublient d’informer les parties prenantes concernées, telles que les RH ou d’autres employés, que les simulations sont en cours. L’apprentissage a le meilleur effet lorsque les participants ont la possibilité de se sentir soutenus, de faire des erreurs et de les corriger.

2 — Utiliser la même simulation pour tous les employés

Il est important de varier les simulations. Envoyer la même simulation à tous les employés, surtout en même temps, n’est non seulement pas instructif, mais n’a pas non plus de métrique valable en matière de risque organisationnel.

« L’effet d’avertissement » – le premier employé à découvrir ou à tomber dans la simulation avertit les autres. Cela prépare vos employés à répondre à la « menace » en anticipant la simulation, contournant ainsi la simulation et l’opportunité de formation.

Un autre impact négatif est le biais de désirabilité sociale, qui pousse les employés à sur-signaler les incidents au service informatique sans les remarquer afin d’être perçus plus favorablement. Cela conduit à un système surchargé et au service informatique.

Cyber 1

Cette forme de simulation conduit également à des résultats inexacts, tels que des taux de clics irréalistes et des taux de surdéclaration. Ainsi, les métriques ne montrent pas les risques réels de l’entreprise ou les problèmes qui doivent être résolus.

Solution : mode goutte à goutte

Le mode goutte à goutte permet d’envoyer plusieurs simulations à différents employés à différents moments. Certains logiciels solutions peut même le faire automatiquement en envoyant une variété de simulations à différents groupes d’employés. Il est également important de mettre en place un cycle continu pour s’assurer que tous les nouveaux employés sont correctement intégrés et pour renforcer le fait que la sécurité est importante 24 heures sur 24, 7 jours sur 7, et pas seulement en cochant une case pour une conformité minimale.

3 — S’appuyer sur les données d’une seule campagne

Avec plus de 3,4 milliards d’attaques de phishing par jour, on peut supposer qu’au moins un million d’entre elles diffèrent par leur complexité, leur langage, leur approche ou même leurs tactiques.

Malheureusement, aucune simulation de phishing ne peut refléter avec précision le risque d’une organisation. Il est peu probable que se fier à un seul résultat de simulation d’hameçonnage fournisse des résultats fiables ou une formation complète.

Une autre considération importante est que différents groupes d’employés réagissent différemment aux menaces, non seulement en raison de leur vigilance, de leur formation, de leur poste, de leur ancienneté ou même de leur niveau d’éducation, mais parce que la réponse aux attaques de phishing est également contextuelle.

Solution : mettre en œuvre une variété de programmes de formation

Le changement de comportement est un processus évolutif et doit donc être mesuré dans le temps. Chaque session de formation contribue au déroulement de la formation. L’efficacité de la formation, ou en d’autres termes, un reflet précis du changement de comportement organisationnel réel, peut être déterminée après plusieurs sessions de formation et au fil du temps.

Cyber 2

La solution la plus efficace consiste à mener en continu différents programmes d’entraînement (au moins une fois par mois) avec de multiples simulations.

Il est fortement recommandé de former les employés en fonction de leur niveau de risque. Un programme de simulation diversifié et complet fournit également des données de mesure fiables basées sur un comportement systématique dans le temps. Pour valider leurs efforts de formation efficace, les organisations doivent être en mesure d’obtenir une indication valable de leur risque à tout moment tout en surveillant les progrès en matière de réduction des risques.

Mettre en place un programme efficace de simulation de phishing.

La création d’un tel programme peut sembler écrasante et chronophage. C’est pourquoi nous avons créé un playbook des 10 pratiques clés que vous pouvez utiliser pour créer une simulation de phishing simple et efficace. Simplement télécharger le manuel CybeReady ou rencontrez un de nos experts pour un démo du produit et découvrez comment la plate-forme de formation entièrement automatisée de sensibilisation à la sécurité de CybeReady peut aider votre organisation à obtenir les résultats les plus rapides avec pratiquement aucun effort informatique.

Rate this post
Publicité
Article précédentFortnite YouTuber trouve un nouveau problème révolutionnaire à Rave Cave
Article suivantTous les emplacements des points de contrôle Stormtrooper dans la saison 2 de Fortnite
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici