De nombreux experts considèrent le facteur humain comme le maillon faible de la sécurité informatique. Alors que les cybercriminels développent diverses tactiques et techniques pour répandre leurs menaces, le défi consiste à minimiser l'impact du comportement des utilisateurs sur les dispositifs de protection mis en œuvre par les entreprises. Dans un contexte de prise de conscience généralisée où la Commission européenne souhaite instaurer un arsenal commun pour faire face à la multiplication des cas de cyberattaques, Malwarebytes dresse une liste de quatre bonnes pratiques pour faire face à cet enjeu.
1. Exprimer les attentes de son entreprise
L'élaboration et la communication d'une politique de sécurité informatique aux employés est une première étape cruciale. C'est aussi une excellente opportunité d’introduire ou de renforcer une formation de sensibilisation à la sécurité. Une entreprise doit s'assurer qu'elle a clairement précisé à ses employés les comportements qui s’inscrivent dans le cadre d’une utilisation correcte et sûre des ordinateurs portables, des ordinateurs de bureau et des réseaux mis à leur disposition. Cela comprend également des recommandations visant à réduire le risque de compromission dans le cas d’une utilisation à domicile et en déplacement professionnel.
2. Opter pour les bonnes technologies
La démarche qui consiste à simplement avertir les employés de ne pas ouvrir les pièce jointes provenant d’une source non identifiée ne suffit pas. Cette dernière doit être accompagnée par le déploiement de solutions technologiques à mêmes d’empêcher les tentatives d'hameçonnage, de bloquer les courriels non sollicités, adresses IP et serveurs identifiés comme étant malveillants. À travers ce dispositif, les vecteurs de menaces que constituent les pièces jointes ou encore les liens malicieux peuvent être contenus de manière proactive.
3. Établir un lien de confiance avec les employés
Afin de renforcer le lien de confiance et l’esprit d'équipe des employés de l’entreprise, rien de mieux que de faire preuve de transparence. Il est déconseillé de mettre à l’épreuve la confiance de ses employés avec des tests de sécurité inopinés. La solution optimale consiste à les prévenir à l'avance du test pour mesurer leur diligence, préciser une date n’est pas requis. Cela représente également une excellente occasion de promouvoir votre formation en matière de sécurité et de partager de la documentation sur les meilleures pratiques.
4. Rapporter les comportements suspicieux
Un autre élément clé pour favoriser la confiance et une communication ouverte avec vos employés est de leur permettre de signaler facilement tout comportement suspect. Publier une adresse de courriel à travers laquelle les employés peuvent reporter tout courriel suspect ou toute tentative d'hameçonnage, ainsi que les URL des sites soupçonnés d’être malicieux. Non seulement ils se sentiront en confiance et habilités à protéger votre entreprise, mais votre équipe de sécurité gagnera une armée d'yeux et d'oreilles supplémentaires pour arrêter les attaques potentielles en amont. La mise en place d’un numéro de téléphone d'urgence que les employés peuvent appeler s'ils soupçonnent une menace pour la sécurité de votre entreprise, qu'elle soit physique ou numérique, permet de gagner en réactivité face à une menace potentielle.
Auteur : Malwarebytes.
