Le Mois de la sensibilisation à la cybersécurité existe depuis 2004. Cette année, Mois de la sensibilisation à la cybersécurité a exhorté le public, les professionnels et les partenaires de l’industrie à « se voir dans le cyber » de la manière suivante :
- Le public, en prenant des mesures pour rester en sécurité en ligne.
- Professionnels, en rejoignant la cyber main-d’œuvre.
- Partenaires de l’industrie cyber, dans le cadre de la solution de cybersécurité.
La CISA a décrit quatre “choses que vous pouvez faire” pour assurer la sécurité en ligne des individus et des familles, notamment mettre à jour leur logiciel, réfléchir avant de cliquer, utiliser des mots de passe forts et activer l’authentification multifacteur sur les comptes sensibles.
L’industrie enseigne depuis longtemps des conseils de sécurité aux employés et au public. Avec tant de médias répétitifs et d’éducation sur la cyber-sensibilisation dans le rétroviseur, le retour de l’attention d’octobre pèse sur beaucoup. Voici un tour d’horizon des réactions au cybermois et de la traction des thèmes et des messages de cette année qui devraient nous dire s’il y a plus dans la campagne qu’un angle de relations publiques.
Principales nouvelles du Mois de la sensibilisation à la cybersécurité cette année
Les sentiments à propos du Mois de la sensibilisation à la cybersécurité 2022 vont de la pleine conscience à la mémoire, avec des conseils avisés et des sarcasmes mélangés à des nouvelles pointues et intelligentes et à des articles d’intérêt.
Au sommet de la pile se trouve une critique de “La terreur, la sincérité et la comédie du Mois de la sensibilisation à la cybersécurité” du Washington Post.
La terreur et la comédie étaient pour la plupart des tweets sarcastiques sans reconnaître le thème de cette année. Ken Westin de Cybereason a tweeté que le mois de sensibilisation avait été créé par Hallmark pour vendre plus de cartes de vœux.
Il y avait aussi de la médisance. Journaliste en cybersécurité Sean Lyngass a tweeté que le mois de la sensibilisation à la cybersécurité regorge d’argumentaires de relations publiques capitaliser sur les failles de sécurité. Anne Cutler, responsable des relations publiques chez Keeper Security, a répondu“Vous vous trompez. C’est en fait ce qu’on appelle les équipes de relations publiques de cybersécurité qui ne retiendront aucun prisonnier et sensibiliseront, que cela vous plaise ou non. Vous pouvez maintenant vous considérer comme conscient.”
The Register a jeté un regard dégrisant sur le mois de la sensibilisation et ses défis inhérents dans le “Programme national de sensibilisation à la cybersécurité 18 ans après : ne cliquez pas dessus.”
Cela faisait écho à la frustration de garder la sensibilisation à la cybersécurité suffisamment technique pour être utile mais suffisamment simple à comprendre. Les acteurs de l’industrie doivent aller au-delà de « réfléchir avant de cliquer » sans perdre leur public et tout effort que le public fait déjà pour éviter le phishing.
Le registre a exprimé le besoin de faire des employés ayant peu de connaissances en cybersécurité davantage des professionnels de la sécurité à part entière. Cela n’arrivera pas de sitôt. Cependant, lorsque l’histoire a résumé l’idée maîtresse de Voyez-vous dans la cybersécurité – bien que la sécurité soit complexe, c’est aux individus de la faire fonctionner – cela avait du sens.
Le registre souligne que les personnes sont la solution parce que les personnes sont le problème, avec plus de 80 % des violations impliquant l’élément humain, y compris des personnes victimes d’attaques de phishing.
Selon le registre, Seeing Yourself in the Cyber Workforce rappelle aux organisations qui embauchent du personnel cyber que le financement de la formation augmente. Ils devraient l’utiliser pour les nouvelles recrues et les professionnels qui ont acquis de l’expérience depuis la formation de l’année dernière.
Forbes a révélé une mine de tendances malheureuses en matière de cyberattaques dans “Pour le mois de la sensibilisation à la cybersécurité (et Halloween) – Quelques statistiques effrayantes sur les cybermenaces.“
Le Mois de la sensibilisation à la cybersécurité n’a pas eu d’effet mesurable sur les tendances en matière de violation. Les infractions sont de plus en plus fréquentes et graves. Le phishing a été le pire au deuxième trimestre 2022, avec plus d’un million d’attaques.
Forbes note que les attaques des États-nations ne concernent pas uniquement les infrastructures nationales critiques, 64 % des entreprises affirmant que les États-nations les ont piratées. Pourtant, les systèmes de contrôle industriels et l’OT sont plus menacés que les actifs informatiques classiques.
Mise en œuvre des conseils du Mois de la sensibilisation à la cybersécurité 2022
L’initiative “quatre choses que vous pouvez faire” de la CISA pour le mois de sensibilisation à la cybersécurité 2022, y compris la mise à jour des logiciels, la réflexion avant de cliquer pour empêcher le phishing, l’utilisation de mots de passe forts et l’activation de l’authentification multifacteur a été rendue publique dans le but d’influencer le comportement de l’utilisateur final vers de meilleures pratiques de sécurité . Mais est-ce que des conseils directifs comme celui-ci fonctionnent réellement ?
Le registre précise que le succès ou l’échec du Mois de la sensibilisation à la cybersécurité dépend de la façon dont vous le mesurez. Le cyber mois n’a pas fonctionné si vous vous attendez à ce que la cybersécurité soit résolue. Si vous espériez que les gens et les organisations prendraient le cyber plus au sérieux, alors le mois de la sensibilisation est un succès.
Le Mois de la sensibilisation à la cybersécurité et “les choses que vous pouvez faire” ont assez bien fonctionné. La chose la plus pertinente à faire était de trouver une solution plus efficace basée sur les personnes pour lutter contre le phishing au-delà de “Pensez avant de cliquer.”
Sous la surface de l’article du Post, voix sur Twitter a précisé que l’éducation au phishing, telle que les conférences sur le pointage du doigt et les tests de phishing surprise, n’est pas la bienvenue.
CISA souhaite que les partenaires de l’industrie se considèrent comme faisant partie de la solution, travaillant ensemble pour construire un écosystème technologique sécurisé et résilient. En concevant des produits sécurisés dès la conception, ils peuvent collectivement réduire les risques et protéger l’infrastructure critique sur laquelle comptent les Américains.
Dans son Article Forbes, Chuck Brooks souligne que, malgré le mois de sensibilisation, le secteur de l’énergie et le réseau électrique courent un risque important d’attaque. Sécuriser les infrastructures nationales critiques contre les pirates informatiques des États-nations, tels que ceux qui ont attaqué Colonial Pipeline, est un défi. Cela doit être une priorité des secteurs public et privé, comme l’a approuvé la CISA.
Comment pouvons-nous améliorer la cybersécurité en 2023 au-delà d’un effort de relations publiques ?
Aller au-delà du Mois de la sensibilisation à la cybersécurité signifie que les organisations sont responsables de la formation de leurs utilisateurs finaux à la cybersécurité, mais il y a également des solutions techniques qui peuvent résoudre le mauvais comportement de l’utilisateur final tout en protégeant la sécurité informatique de votre organisation. Quelques quick wins à faire au plus vite :
1 — Patchez votre logiciel
Les entreprises peuvent considérer les mises à jour logicielles comme coûteuses et nombre d’entre elles évitent les mises à jour, afin de ne pas casser les applications qui s’exécutent sur le logiciel. Mais pour atteindre les objectifs de cybersécurité en 2023, les organisations doivent corriger leurs logiciels dès que des mises à jour sont disponibles.
2 — Bloquer l’utilisation de mots de passe connus violés
En analysant Active Directory à la recherche de vulnérabilités liées aux mots de passe avec Specops Password Auditor, les organisations peuvent identifier l’utilisation de plus de 900 millions de fichiers faibles et piratés au sein de leur Active Directory. Les pirates utilisent des informations d’identification volées lors d’attaques contre des infrastructures nationales critiques. Les audits de mot de passe garantissent que ces mots de passe violés ne sont pas utilisés dans votre organisation.
3 — Auditez le niveau de sécurité des applications tierces que vous utilisez
Un rapport récent a révélé que les applications professionnelles populaires présentaient des lacunes de sécurité majeures en ce qui concerne les mots de passe et l’authentification MFA. Faites l’inventaire des applications Web auxquelles votre organisation fait confiance et assurez-vous que MFA, ou au moins 2FA, est activé pour vos utilisateurs finaux.