Ce n’est pas une nouvelle que les attaques de phishing deviennent plus complexes et se produisent plus souvent. Cette année seulement, APWG a rapporté un total record de 1 097 811 attaques de phishing. Ces attaques continuent de cibler des organisations et des individus pour obtenir leurs informations sensibles.
La dure nouvelle : ils réussissent souvent, ont un impact négatif durable sur votre organisation et vos employés, notamment :
- Perte d’argent
- Atteinte à la réputation
- Perte de propriété intellectuelle
- Perturbations des activités opérationnelles
- Effet négatif sur la culture d’entreprise
La nouvelle la plus dure : Ceux-ci auraient souvent pu être facilement évités.
Hameçonnage, éducation de vos employés et création d’une culture de cybersensibilisation ? Ce sont des sujets auxquels nous sommes sensibles et que nous connaissons bien. Alors, comment pouvez-vous protéger efficacement votre organisation contre les tentatives de phishing ? Ces meilleures pratiques aideront à transformer le comportement de vos employés et à renforcer la résilience organisationnelle face aux attaques de phishing.
Plan de formation de l’ensemble de la main-d’œuvre :
Selon le 2022 Rapport Tessian sur les cultures de sécurité« les responsables de la sécurité sous-estiment à quel point ils devraient faire partie de l’expérience des employés » à travers l’intégration, les changements de rôle, les délocalisations, les relocalisations et les activités quotidiennes.
Mais nous avons constaté à plusieurs reprises que les tentatives de formation ad hoc et dispersées des employés ne fonctionnent pas. Si vous voulez des défenses internes suffisantes contre les menaces de phishing sophistiquées, vous devez former 100 % de vos employés chaque mois.
Certes, ce n’est pas facile si votre équipe se développe rapidement ou s’étend sur différents lieux et fuseaux horaires. Pourtant, faire quoi que ce soit de moins qu’une formation à 100 % des employés vous laisse trop de failles de sécurité et d’opportunités pour les pirates de s’introduire. Malheureusement, cela signifie également que vous n’avez aucun moyen de connaître le niveau de sensibilisation aux menaces de vos employés ou s’ils savent comment réagir à des menaces. Il se peut que vous manquiez votre maillon le plus faible ou que vous vous retrouviez dans un scénario qui aurait pu être facilement évité.
Appliquer la formation continue
Vous a-t-on déjà dit qu’il y aurait un exercice d’évacuation en cas d’incendie ? Vous n’avez probablement pas été pris au dépourvu lorsque l’entraînement a commencé et vous auriez pu y prêter plus d’attention. C’est le truc avec les exercices; ils sont en place pour nous préparer aux menaces présentes et futures.
La formation en cybersécurité n’est pas différente. Bien que cela puisse rapidement devenir une case de conformité pour satisfaire aux exigences minimales. Pour l’éviter, vous devez prendre votre personnel au dépourvu. Savoir qu’une menace peut se présenter à tout moment permet aux employés de rester vigilants et responsables entre des campagnes de formation plus poussées.
Il serait préférable que vous continuiez à donner à vos employés ces occasions inattendues d’apprendre de façon continue. Ils feront probablement des erreurs facilement évitables s’ils ne reçoivent que des simulations occasionnelles. Vous pourriez manquer de nouveaux employés sans formation suffisante en cybersécurité, ou il leur faudrait peut-être du temps pour revoir et développer cette formation.
La solution: Organiser une formation cohérente sur la cybersécurité est le meilleur moyen de garder cela à l’esprit pour tout le monde – s’entraîner pour hier, aujourd’hui et demain.
Déployer du contenu adaptatif
Vous pouvez utiliser la compréhension de la cybersécurité ou les départements comme catégories. Commencez par segmenter votre effectif en groupes. Ensuite, développez une formation adaptative en fonction des besoins de chaque groupe – et même en fonction du comportement individuel. C’est essentiel pour relever de manière adéquate les défis de scénarios donnés de futures campagnes d’attaque.
Ceux-ci peuvent inclure des demandes de données ou de mot de passe, des messages provenant de sources légitimes ou un contenu réaliste adapté au rôle ou au service spécifique d’une organisation.
Vous renforcez les défenses des collaborateurs en adaptant votre contenu aux réponses individuelles et aux vecteurs d’attaque spécifiques. Cela transforme l’élément humain d’une faille de sécurité en un avantage de sécurité.
Localisez votre formation en cybersécurité
L’anglais est peut-être la langue de votre entreprise, mais ce n’est peut-être pas la langue maternelle de tous les employés, et les contextes culturels peuvent être perçus différemment dans certaines branches.
L’utilisation de la langue maternelle des employés dans le contexte culturel d’un lieu améliorera considérablement leur rétention d’apprentissage. En citant des références locales (telles que les jours fériés, les sources d’information importantes, les plateformes de médias sociaux populaires, etc.), vous rendez vos simulations plus crédibles et plus pertinentes. Vos employés seront probablement plus attentifs pendant la formation et seront moins sensibles aux attaques.
Enfin, il pourrait y avoir différentes implications concernant les normes de conformité des e-mails dans différents endroits. Assurez-vous que votre équipe en est consciente et intégrez les précautions nécessaires dans la formation de ces sites.
Soutenez votre cyberformation avec la science des données
D’après notre expérience, un employé sur cinq est un « serial clicker ». Les cliqueurs en série cliquent, ouvrent et téléchargent des pièces jointes qui les mettent souvent, ainsi que votre organisation, en danger. Il peut s’agir d’un nouvel employé ou d’un employé existant. Nous avons tout vu, depuis l’entrée de gamme postes aux parties prenantes de l’entreprise.
Ils ne sont pas formés ou équipés pour identifier de manière fiable les attaques de phishing, ni pour comprendre leur dangerosité et leur impact destructeur. Ils continuent donc à cliquer sur des liens dans des e-mails qu’ils n’auraient pas dû ouvrir.
La bonne nouvelle: Nous croyons les cliqueurs en série peuvent être guéris parce que nous l’avons vu à plusieurs reprises avec la formation et l’éducation des employés.
Nous savons que les sélecteurs en série ne sont que quelques-uns de ceux dont il faut s’inquiéter. Les employés réagissent différemment à une variété de vecteurs d’attaque. Il est recommandé d’utiliser la science des données pour comprendre comment les groupes d’employés au sein de votre organisation – depuis les nouvelles recrues, la direction et les employés chevronnés – réagissent aux menaces potentielles.
Une fois que vous avez analysé les données pour comprendre le comportement de ces groupes, vous pouvez développer des programmes qui les orientent vers une approche plus exigeante de la gestion des e-mails en fonction de leurs besoins spécifiques et de leur place actuelle dans leur parcours de sensibilisation à la cybersécurité.
Ces programmes doivent inclure des connaissances spécialisées, une fréquence ajustée, des rappels opportuns, simulations personnaliséeset un contenu de formation conçu pour les groupes très sensibles tout en respectant la vie privée des employés.
Automatisez votre formation en cybersécurité
Quelle que soit la taille de votre organisation, la complexité requise pour exécuter un programme de formation comme celui décrit ci-dessus peut être difficile. Que vous l’examiniez du point de vue du temps, des ressources ou de l’économie, c’est presque impossible sans une solution véritablement automatisée qui intègre des connaissances d’experts dans le logiciel.
CyberReady fournit un plateforme entièrement automatisée propulsé par la technologie d’apprentissage automatique. Il atténue les risques d’erreur humaine grâce à une approche pédagogique qui offre en permanence une formation fréquente, adaptative et engageante. Contactez-nous dès aujourd’hui pour favoriser une culture qui se soucie, conserve les informations pour assurer la sécurité de votre organisation, et se sent responsable. Rendez votre organisation cyber-prête. Découvrez comment vous pouvez mettre à niveau votre programme de sensibilisation à la sécurité avec un court, démo perosailisée.