Garder une longueur d'avance sur les fraudeurs : lutter contre le phishing grâce à une cybersécurité intelligente
Le secteur des transports se classe parmi les 10 premiers secteurs d'activité victimes de violations de données. Comme vous pouvez l'imaginer, cette problématique suscite une attention particulière chez Werner Enterprises, l'une des plus grandes sociétés de transport et de logistique d'Amérique du Nord. La responsabilité de Werner EDGE, la branche dédiée à l'innovation que je dirige, est d'assurer l'acheminement des marchandises sur des réseaux sophistiqués et sécurisés ; l'approche de la cybersécurité doit englober la protection de sa vaste main-d'œuvre.
À cette fin, nous nous efforçons de rester vigilants au regard de notre approche du phishing, qui est à l'origine de la plupart des violations de données.En réalité, la « composante humaine » reste un facteur dans 3 violations de données sur 4, en dépit de l'intensification de la formation consacrée à la cybersécurité au sein des entreprises.Il suffit qu'un collaborateur clique sur un lien malveillant pour mettre en péril toute une entreprise. Le FBI affirme, par exemple, que le coût de la compromission du courrier électronique professionnel s'élève, à ce jour, à plus de 50 milliards de dollars.Les acteurs malveillants emploient des méthodes toujours plus sophistiquées pour infiltrer les entreprises, et l'IA les aide à accroître la vitesse et l'ampleur de leurs attaques.
En résumé, le problème du phishing n'est pas près de disparaître. Quelle que soit la solidité de l'architecture et de la sécurité de votre réseau, il y aura toujours un maillon faible ; et souvent, il s'agit d'une seule personne. Une défaillance momentanée peut être à l'origine d'un véritable désastre affectant l'ensemble de l'entreprise. Il devient donc de plus en plus évident que nous devons adapter collectivement notre formation à la sensibilisation à la sécurité, afin de consolider cette ligne de défense (humaine).
En matière de formation, la carotte vaut mieux que le bâton
Au niveau personnel, la cybersécurité consiste à adopter quelques habitudes simples. De même qu'il faut apprendre à regarder dans les deux sens lorsque l'on traverse une rue, il est indispensable de lire attentivement un courrier électronique et de vérifier les adresses e-mail avant de répondre à un message ou de cliquer sur un lien. Chez Werner, nous organisons généralement sept ou huit sessions de formation à la sécurité par an, dont une session de formation annuelle obligatoire, d'une durée de 45 à 60 minutes. Cette formation est relativement simple et directe, et couvre les fondamentaux. Nous organisons également des sessions de remise à niveau trimestrielles, ainsi que des formations ad hoc d'une durée de 5 à 7 minutes, afin de tenir l'ensemble de notre personnel informé, notamment lorsque de nouvelles menaces apparaissent. Ces formations sont également obligatoires.
La formation à la sécurité tout au long de l'année est une pratique exemplaire pour plusieurs raisons :
Du point de vue de la conformité, les assureurs exigent une formation continue.
Le panorama des menaces évolue continuellement. Les acteurs malveillants élaborent continuellement de nouvelles approches pour échapper aux utilisateurs les plus vigilants, et le personnel doit avoir connaissance des dernières tactiques à surveiller.
Les personnes ont tendance à baisser leur garde avec le temps ; la nature humaine est ainsi. La formation permet de rappeler à chacun que le phishing et les autres menaces doivent être pris au sérieux.
Si nous avons intégré un grand nombre de bonnes pratiques dans notre approche de la formation, nous avons également identifié certaines approches qui ne fonctionnent pas bien.
La stratégie la moins efficace a été celle des formations de rattrapage. Lorsqu'un employé clique sur un lien de phishing connu, nous pouvons bloquer les communications sortantes et identifier la personne ayant répondu au contenu incriminé. Dans ce cas, nous dispensons à la personne qui est tombée dans le piège une brève formation destinée à lui rappeler les comportements à éviter.
Toutefois, nous avons remarqué que quelques semaines plus tard, ces mêmes personnes étaient victimes d'une nouvelle tentative de phishing. J'estime que près de 70 % des collaborateurs qui ont bénéficié d'une formation de rattrapage ont, malgré tout, ultérieurement échoué aux tests de simulation d'attaques par phishing.
Les entretiens avec les récidivistes m'ont permis de voir les choses sous un nouvel angle. Certaines personnes ont eu l'impression d'être punies par la formation supplémentaire ; la formation a rendu d'autres collaborateurs plus nerveux à l'idée d'effectuer les tâches de base indispensables à leur travail, telles que la consultation d'e-mails ou l'ouverture de documents Word.
Si la sensibilisation continue est une approche essentielle pour garder une longueur d'avance sur les acteurs malveillants, je suis également parvenu à la conclusion que les mesures punitives ne sont pas aussi efficaces. Toute personne responsable de la cybersécurité doit trouver des moyens attrayants d'inciter les collaborateurs à prêter attention à leurs actions, tout en respectant leur temps.
La meilleure réponse sera obtenue avec une carotte, et non avec un bâton.
La ludification de la formation à la sécurité, notamment, permet de créer un renforcement positif et de récompenser les personnes qui adoptent un bon comportement, à l'image du signalement des communications suspectes. Par exemple, des mesures incitatives, telles que des classements, des récompenses en espèces, des cartes-cadeaux ou encore des cadeaux d'entreprise peuvent offrir des raisons tangibles aux collègues qui, malgré leur charge de travail, aspirent à mieux se former et à en apprendre davantage sur l'évolution des menaces liées au phishing.
Une vigilance constante, reposant sur des mesures de sécurité multi-facettes
L'amélioration de la formation n'est qu'un aspect de la problématique. Quelqu'un finira par baisser sa garde, tôt ou tard, et les entreprises doivent être prêtes à renforcer continuellement leur stratégie de cybersécurité.
L'erreur humaine et l'inattention sont deux des plus grandes menaces pour la sécurité d'une entreprise, et bien qu'il soit impossible d'éliminer totalement ces menaces, la technologie peut constituer un filet de sécurité et minimiser celles qui le franchissent.
En commençant par l'adoption d'une approche Zero Trust, les entreprises peuvent également exploiter des outils de prévention tels que l'identification multifactorielle (MFA) et la sécurité préventive du courrier électronique (qui peut inclure la reconnaissance optique des caractères, afin d'analyser les images), et ainsi, soulager le fardeau des équipes chargées de l'informatique et de la sécurité.
Il est également important de disposer d'outils de sécurisation des points de terminaison, afin d'automatiser l'isolement et la suppression de tout appareil compromis présent sur votre réseau. Tout comme les acteurs malveillants utilisent l'IA pour lancer des attaques, les entreprises doivent réagir en mettant en œuvre l'IA afin d'identifier les failles de sécurité et de réagir beaucoup plus rapidement à celles-ci. Toute entreprise capable d'exploiter ces technologies augmente ses chances de prévenir une violation de données.
La cybersécurité consiste à couvrir toutes les approches. Werner effectue régulièrement des tests de pénétration, notamment un test d'intrusion « Red Team » (équipe rouge), lors duquel nous faisons appel à des pirates informatiques éthiques qui tentent d'attaquer le réseau depuis l'extérieur. Cette pratique permet de localiser les vulnérabilités.
Nos « équipes rouges » testent également notre sécurité physique. Ils parcourent les parkings à la recherche de voitures restées ouvertes, dans lesquelles des ordinateurs portables, des sacs à dos ou des documents ont été déposés sur la banquette arrière. Ils pénètrent dans les bâtiments en suivant les personnes qui utilisent des cartes magnétiques ou scannent des badges pour entrer. Ils vérifient si des ordinateurs portables et des smartphones sont déverrouillés ou laissés sans surveillance, et s'il est possible de dérober des fichiers sur ces appareils. Le partage des résultats de ces tests peut constituer un excellent signal d'alerte pour les collaborateurs qui se sentent parfois éloignés des préoccupations concernant la cybersécurité.
Tous les responsables informatiques sont conscients des coûts financiers et opérationnels et du préjudice à la réputation qu'entraîne une violation de données, et ils savent qu'ils ne peuvent pas se permettre de lésiner sur les technologies de sécurité. Le défi consiste à s'assurer que tout le personnel de l'entreprise est également vigilant face aux menaces.
Lutter contre le phishing avec toutes les solutions disponibles
Je suis un fervent défenseur de l'action, de l'urgence et de la simplicité. Les entreprises doivent suivre le rythme de l'innovation informatique pour rester compétitives ; toutefois, elles ne doivent pas se précipiter en avant au point d'oublier les fondamentaux de la sécurité. L'optimisation de chaque aspect des opérations, des systèmes et de l'infrastructure permet de limiter les erreurs humaines ; elle permet également de réduire les dépenses d'investissement et d'exploitation, aidant ainsi les entreprises à allouer davantage de fonds et de ressources à la cybersécurité, qui doit être aussi solide que leur budget le permet.
Le phishing coûte des millions de dollars aux entreprises et peut perturber la production, interrompre les services, chasser les clients et conduire les entreprises à la faillite.Si une entreprise tente de « faire des économies » sur la cybersécurité ou la formation de son personnel, elle s'expose à un grave danger.Bien au contraire, la sécurité doit faire partie intégrante de vos opérations et de votre culture, afin de donner à votre personnel et à votre entreprise une chance de se défendre en cas d'attaque lancée par des acteurs malveillants.La santé et la sécurité de nos entreprises l'exigent.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Auteur
Daragh Mahon – @daraghmahon
EVP et DSI, Werner Enterprises
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Les opérations et la culture font partie intégrante de la sécurité
Comment équilibrer l'apprentissage, les tests de pénétration et les solutions pour garder une longueur d'avance sur les attaques
Ressources associées :