Créer une culture de la cybersécurité en milieu de travail
Top Business Tech a rencontré le spécialiste de la cybersécurité pour ESET, Jake Moore, qui insiste sur la nécessité d'une culture de la cybersécurité sur le lieu de travail.
Top Business Tech a organisé son premier webinaire, 'Cybersecurity: Fighting back with AI' , où nous avons rencontré le spécialiste de la cybersécurité pour ESET, Jake Moore.
Moore a précédemment travaillé pour la police du Dorset, pendant 14 ans, enquêtant principalement sur la criminalité informatique dans l'unité de criminalistique numérique sur une gamme d'infractions allant de la fraude au meurtre. Dans le cadre des pouvoirs d'application de la loi, il a appris à récupérer des preuves numériques sur tous les appareils tout en s'engageant de diverses manières à briser la sécurité pour aider à protéger éthiquement les victimes innocentes de la cybercriminalité. Il est ensuite devenu consultant en cybersécurité pour la police, fournissant des conseils personnalisés au public et aux entreprises locales pour aider à protéger la communauté et à renforcer leurs fondements de sécurité.
Comme les responsables informatiques le savent très bien depuis l'année dernière, les menaces de cybersécurité ont continué à grimper à un rythme exponentiel. De plus, la nature des menaces a changé. Ce changement a été attribué aux risques de cybersécurité posés par le travail à distance et les migrations vers le cloud que les organisations ont effectuées à la hâte.
Les cyberattaques affectent les entreprises de toutes tailles
« Cela dépend toujours de la taille de l'entreprise », déclare Moore. « Une petite entreprise ne s'attend pas à faire l'objet d'une attaque et n'investit donc pas de ressources dans la cybersécurité. Même s'ils connaissent les ressources, ils n'y dépensent pas d'argent, car ils pensent qu'elles sont chères. Il note que les employés des petites entreprises portent souvent «plusieurs chapeaux» et sont souvent étirés ou manquent de connaissances approfondies en matière de sécurité. Il explique que le financement et la mise en œuvre de la stratégie de cybersécurité tombent souvent à la deuxième ou à la troisième année pour une petite entreprise, mais cela laisse les startups et les scale-ups extrêmement vulnérables aux attaques. C'est pourquoi il est essentiel que les petites entreprises passent d'un état d'esprit réactif à un état d'esprit proactif.
Moore dit que les grandes entreprises pensent souvent qu'elles sont réellement en sécurité lorsqu'elles offrent une formation, mais la culture est absente de la main-d'œuvre. « Le personnel en a assez d'entendre la même formation chaque année. Cela devient simplement un exercice de "case à cocher". Cette fatigue de formation s'accompagne souvent d'une baisse de la sensibilisation aux menaces de cybersécurité. Lorsque cela est associé à la menace posée par les attaquants qui exploitent l'IA pour lancer des attaques contre une organisation, les entreprises de toutes tailles sont à risque. Les grandes entreprises devront alors envisager l'ICO à la suite d'une attaque. Moore reconnaît qu'il est nécessaire que les grandes entreprises soient tenues responsables des lacunes en matière de protection des données, mais estime également que les amendes devraient être dépensées pour améliorer les capacités de cybersécurité. Le troisième problème post-attaque est la perte de confiance des clients et la perte de clients potentiels.
La sensibilisation culturelle
Les organisations des deux tailles doivent éduquer leurs employés et assurer une culture active de sensibilisation à la cybersécurité. Moore adore les simulations de pêche, mais seulement lorsqu'elles sont bien faites. "Je pense que les simulations de phishing peuvent avoir une arme à double tranchant qui leur est attachée." Il poursuit : « Les employés peuvent ne pas savoir comment signaler un e-mail de phishing lorsqu'il arrive. Dans le cas où ils seraient victimes d'une escroquerie, ils ne devraient pas être réprimandés pour l'erreur, car ils se sentiront probablement déjà très mal et devront être éduqués au lieu d'être punis.
Moore souligne que les contrefaçons profondes sont une "technologie incroyable" et sont devenues exceptionnellement sophistiquées, et la montée du ML a permis aux attaques de se développer considérablement. Les employés peuvent même ne pas savoir qu'une technologie de ce type existe, de sorte que les organisations ne peuvent pas les punir pour une éducation qu'elle n'a pas dispensée. L'apprentissage automatique dans les cyberattaques a également mis au défi les organisations et leurs données publiques. Moore fait référence à l'attaque de Facebook, qui a parcouru les informations publiques des profils Facebook publics à une échelle colossale. Bien que Facebook ait nié qu'il s'agissait d'une violation, les informations recueillies étant publiques, cela soulève certainement des questions sur la confiance dans la marque et sur la nécessité pour les organisations d'éduquer leurs employés et leurs clients.
Les petites organisations et les géants de la technologie ne sont pas à l'abri de ces attaques en constante évolution, et les organisations et les employés doivent se rappeler que cela s'étend aux plateformes de communication. Zoom, Slack et WhatApp présentent tous des risques de cybersécurité variables. Moore recommande Signal, un service de messagerie instantanée cryptée centralisée non multiplateforme, où les utilisateurs peuvent définir des images et des textes à supprimer après une certaine période. Outre ces nouvelles plateformes de communication, le courrier électronique reste au cœur des attaques de communication et de phishing. "Nous n'utilisons peut-être pas tous Signal ou WhatApp, mais nous utilisons tous le courrier électronique", déclare Moore. Le temps des e-mails mal rédigés de princes nigérians demandant des coordonnées bancaires est révolu depuis longtemps. Les e-mails de phishing d'aujourd'hui sont créés à partir d'algorithmes et ont souvent une compréhension aiguë de la psychologie humaine, dont le meilleur peut se faire passer pour le patron d'un employé ou jouer sur la faiblesse personnelle d'un utilisateur.
LIRE LA SUITE:
- Mettez les points sur les I et barrez les T : exigences en matière de gestion des données pour le secteur juridique
- Les pirates ciblent les routeurs Wi-Fi domestiques pour voler des données
- Sécurité et conformité des données : pourquoi mieux vaut prévenir que guérir
- 4 conseils simples pour assurer la protection des données
Le conseil de Moore est simple : "restez prudent". Toute demande de données personnelles doit toujours être traitée avec scepticisme. Nous sommes maintenant à une époque où les attaquants peuvent même supprimer l'authentification à deux facteurs. Un attaquant peut voler un «code à usage unique» pour l'authentification une fois saisi. À ce stade, l'utilisateur a investi dans la conviction qu'il ne s'agit pas d'une arnaque et qu'il est authentique, mais Moore insiste sur le fait que même un scintillement de doute devrait arrêter le l'utilisateur de progresser. Bien sûr, c'est plus facile à dire qu'à faire lorsque les escroqueries sont si convaincantes, et Moore réitère que les employés ne devraient pas être punis deux fois pour avoir été victimes d'une attaque de phishing. "Bien qu'ils puissent être ennuyeux, les quiz sont un bon moyen d'éduquer les employés." N'oubliez pas qu'une organisation ne sera jamais complètement protégée et que les menaces évoluent constamment. Les défenses doivent donc évoluer avec elles. L'engagement d'une organisation envers la sécurité ne doit jamais s'arrêter.
Suivez-nous sur LinkedIn et Twitter
