Vous avez terminé votre formation annuelle sur le phishing. Cela comprend la formation des employés à la détection des e-mails de phishing. Vous vous en sentez bien. C’est jusqu’à environ 5-6 mois plus tard. Votre entreprise est victime d’une coûteuse infection par un rançongiciel en raison d’un clic sur un lien de phishing.
Vous vous demandez pourquoi vous semblez avoir besoin de vous entraîner sur les mêmes informations chaque année. Mais vous souffrez toujours d’incidents de sécurité. Le problème est que vous ne formez pas assez souvent vos employés.
Les gens ne peuvent pas changer les comportements si la formation n’est pas renforcée. Ils peuvent aussi facilement oublier ce qu’ils ont appris après plusieurs mois.
Alors, quelle est la fréquence suffisante pour améliorer la sensibilisation de votre équipe à la cybersécurité ? Il s’avère que l’entraînement tous les quatre mois est le “sweet spot”. C’est à ce moment que vous voyez des résultats plus cohérents dans votre sécurité informatique.
Pourquoi la formation de sensibilisation à la cybersécurité est-elle recommandée tous les 4 mois ?
Alors, d’où vient cette recommandation de quatre mois ? Une étude a récemment été présentée lors de la conférence sur la sécurité USENIX SOUPS. Il a examiné la capacité des utilisateurs à détecter les e-mails de phishing par rapport à la fréquence de formation. Il a examiné la formation sur la sensibilisation au phishing et la sécurité informatique.
Les employés ont passé des tests d’identification d’hameçonnage à plusieurs intervalles de temps :
- 4 mois
- 6 mois
- 8 mois
- 10 mois
- 12 mois
L’étude a révélé que quatre mois après leur entraînement, les scores étaient bons. Les employés étaient toujours en mesure d’identifier avec précision et d’éviter de cliquer sur les e-mails de phishing. Mais après 6 mois, leurs scores ont commencé à empirer. Les scores ont continué à baisser au fil des mois qui se sont écoulés après leur formation initiale.
Pour que les employés soient bien préparés, ils ont besoin d’une formation et de remises à niveau sur la sensibilisation à la sécurité. Cela les aidera à agir comme un agent positif dans votre stratégie de cybersécurité.
Conseils sur quoi et comment former les employés pour développer une culture de cybersécurité
L’étalon-or pour la formation de sensibilisation à la sécurité est de développer une culture de la cybersécurité. C’est celui où tout le monde est conscient de la nécessité de protéger les données sensibles. En plus d’éviter les escroqueries par hameçonnage et de garder les mots de passe sécurisés.
Ce n’est pas le cas dans la plupart des organisations, selon le rapport Sophos 2021 sur les menaces. L’une des plus grandes menaces pour la sécurité du réseau est le manque de bonnes pratiques de sécurité.
Le rapport indique ce qui suit,
“Un manque d’attention à un ou plusieurs aspects de l’hygiène de sécurité de base s’est avéré être à l’origine de bon nombre des attaques les plus dommageables sur lesquelles nous avons enquêté.”
Des employés bien formés réduisent considérablement les risques d’une entreprise. Ils réduisent le risque d’être victime d’un certain nombre d’attaques en ligne différentes. Être bien formé ne signifie pas que vous devez mener une longue journée de formation en cybersécurité. Mieux vaut mélanger les modes de livraison.
Voici quelques exemples de façons engageantes de former les employés à la cybersécurité. Vous pouvez les inclure dans votre plan de formation :
- Vidéos en libre-service envoyées par e-mail une fois par mois
- Tables rondes en équipe
- “Astuce de la semaine” sur la sécurité dans les newsletters ou les canaux de messagerie de l’entreprise
- Session de formation donnée par un professionnel de l’informatique
- Tests de phishing simulés
- Affiches sur la cybersécurité
Lors de la formation, le phishing est un sujet important à couvrir, mais ce n’est pas le seul. Voici quelques sujets importants que vous souhaitez inclure dans votre combinaison de formation de sensibilisation.
Hameçonnage par e-mail, SMS et réseaux sociaux
Le phishing par e-mail reste la forme la plus répandue. Mais l’hameçonnage par SMS (“smishing”) et l’hameçonnage sur les réseaux sociaux sont tous deux en augmentation. Les employés doivent savoir à quoi ils ressemblent, afin d’éviter de tomber dans ces sinistres escroqueries.
Sécurité des informations d’identification et du mot de passe
De nombreuses entreprises ont déplacé la plupart de leurs données et processus vers des plateformes basées sur le cloud. Cela a entraîné une forte augmentation du vol d’informations d’identification, car c’est le moyen le plus simple de violer les outils cloud SaaS.
Le vol d’identifiants est désormais la première cause de violation de données dans le monde. Cela en fait un sujet essentiel à aborder avec votre équipe. Discutez de la nécessité de protéger les mots de passe et de l’utilisation de mots de passe forts. Aidez-les également à apprendre des outils comme un gestionnaire de mots de passe d’entreprise.
Sécurité des appareils mobiles
Les appareils mobiles sont désormais utilisés pour une grande partie de la charge de travail dans un bureau typique. Ils sont pratiques pour lire et répondre à un e-mail de n’importe où. La plupart des entreprises n’envisageront même pas d’utiliser un logiciel de nos jours si elles ne disposent pas d’une excellente application mobile.
Examinez les besoins en matière de sécurité pour les appareils des employés qui accèdent aux données et aux applications de l’entreprise. Comme sécuriser le téléphone avec un mot de passe et le maintenir correctement mis à jour.
Sécurité des données
Les réglementations sur la confidentialité des données sont une autre chose qui a augmenté au fil des ans. La plupart des entreprises ont plusieurs réglementations sur la confidentialité des données qui doivent être respectées.
Former les employés à la gestion appropriée des données et aux procédures de sécurité. Cela réduit le risque que vous soyez victime d’une fuite ou d’une violation de données pouvant entraîner une pénalité de conformité coûteuse.
Besoin d’aide pour former votre équipe à la cybersécurité ?
Débarrassez-vous de la formation et formez votre équipe avec des professionnels de la cybersécurité. Nous pouvons vous aider avec un programme de formation engageant. Celui qui aide votre équipe à changer ses comportements pour améliorer la cyber-hygiène.
Article Permission The Technology Press
