L’on entends partout de se mettre en conformité, de mettre en place un système de gestion de l’information, d’être prêt pour EU DORA, ou encore NIS2, d’avoir les derniers outils pour la protection des données, et j’en passe.
Beaucoup d’entreprise oublie souvent de mettre en plan de formation de TOUS son personnel qu’il soit temporaire, stagiaire, fournisseur venant en mission pour vous, et vos employés. Au niveau des formations, les entreprises on mis en place bien souvent une version très alléger sur le GDPR, de temps en temps une information très succincte sur la cybersécurité.
Ceci est une grosse erreur, et je m’en explique, depuis des années maintenant, l’on sait bien que le problème se situe au niveau de la formation sur la prévention des risques humains. Si l’on regarde les dernières publications, je citerais le rapport de l’agence européenne de cybersécurité (ENISA).
Reporting over the course of 2023 and 2024, ETL highlights findings on the cybersecurity threat
landscape during a yearlong geopolitical escalation. Throughout the latter part of 2023 and the
initial half of 2024, there was a notable escalation in cybersecurity attacks, setting new
benchmarks in both the variety and number of incidents, as well as their consequences. The
ongoing regional conflicts still remain a significant factor shaping the cybersecurity landscape.
The phenomenon of hacktivism has seen steady expansion, with major events taking place
(e.g. European Elections) providing the motivation for increased hacktivist activity.
7 prime cybersecurity threats were identified, with threats against availability topping the chart
and followed by ransomware and threats against data, and the report provides a relevant deepdive on each one of them by analysing several thousand publicly reported cybersecurity
incidents and events:
- Ransomware
- Malware
- Social Engineering
- Threats against data
- Threats against availability: Denial of Service
- Information manipulation and interference
- Supply chain attacks
source: https://www.enisa.europa.eu/sites/default/files/2024-11/ENISA%20Threat%20Landscape%202024_0.pdf page5.
Dans ce rapport, il est intéressant d’y lire que pour les malwares, leur diffusion reste le Phishing. Que les attaques utilisant l’ingénierie social sont en augmentation. N’oublions que cela soit l’ingénierie social ou le déclanchement d’un Malware, Ransonware, et autre passe la plus part du temps par une intervention humaine. D’où l’importance de mettre en place un plan d’éducation continue sur la cybersécurité.
La formation en priorité.
Mon conseil, fini les formations minimaliste en terme de cyber sécurité, mais oui à un plan de formation continue.
Voici ce que je privilégie:
- Stop au formation annuelle et Oui au formation courte et continue.
- Stop au formation longue, mais oui micro formation.
- Stop au formation ne qui ne sont pas d’actualité, oui au formation qui montre les différentes techniques de phishing.
- Stop au formation uniquement que pour les employés, impliqué tous les travailleurs même externes ou intérimaires.
Revoir le processus de formation dans son ensemble.
En effet depuis l’onboarding jusqu’a la sortie d’une personne, mettez à jour le plan de formation.
Revoir le processus de déclaration des incidents, et former tous le monde à signaler tous les incidents de sécurité et pas seulement ceux concernant d’éventuelle fuite de donnée.
Revoir le processus d’incident pour que TOUS les incidents de sécurités arrivent bien à l’équipe de sécurité en premier et non à d’autre service.
La sensibilisation.
C’est très bien de mettre en place des formations, mais communiqué pour mieux sensibilisé est nécessaire.
Dès lors, prévoyez de mettre en place un plan de communication régulier sur les différentes attaques encours même si elle ne vise pas votre entreprise.
Prévoyez de en place une banderole sur les messages venant en dehors de votre organisation.
Prévoyez de mettre en place un système d’alerte sur votre intranet.
N’oublier pas de faire des campagnes simple sur les bonnes pratiques de sécurité. Bien souvent l’on oublie, c’est pourquoi il est important de rappeler les bonnes pratiques.
Une bonne communication suivi d’une formation continue et de campagne de sensibilisation feront que tous le monde au sein de votre entreprise sera impliqué et sensibilisé et dont le résultat sera la réduction du risque de survenance des risques liés au différentes techniques de phishing.