Ce qui est enjeu et le problème à résoudre
Conformes aux conclusions du Rapport d’enquête 2022 sur les violations de données (2022 Data Breach Investigations Report1), 82 % des violations impliquaient la responsabilité de l’élément humain. Par conséquent, les employés jouent un rôle crucial dans la prévention des atteintes à la cybersécurité. Ces derniers constituent souvent la première ligne de défense contre les cyberattaques ainsi que la source la plus probable d’incidents de cybersécurité résultant d’une erreur humaine.
À titre d’exemple, l’hameçonnage augmente de 61 % d’une année à l’autre2. De plus en plus d’entreprises se font pirater et l’hameçonnage demeure l’un des vecteurs d’attaque les plus couramment ciblés. L’hameçonnage est une forme d’ingénierie sociale par laquelle les cyberattaquants trompent les gens pour qu’ils révèlent des informations confidentielles ou installent sur des appareils informatiques des logiciels malveillants tels que des virus, des vers, des chevaux de Troie, des logiciels espions et des rançongiciels3.
[2] https://www.cnbc.com/2023/01/07/phishing-attacks-are-increasing-and-getting-more-sophisticated.html
[3] Jansson, K.; von Solms, R. (2011-11-09). “Phishing for phishing awareness.” Behaviour & Information Technology. 32 (6):584-593.
Les cyberattaques par hameçonnage sont devenues de plus en plus sophistiquées et elles reflètent souvent de manière transparente le site Web ciblé, permettant au cyberattaquant de tout observer pendant que la victime est en train de naviguer sur le site Web, et de franchir toute frontière de cybersécurité supplémentaire avec la victime1 4.
[4] Ramzan, Zulfikar (2010). “Phishing attacks and countermeasures.” In Stamp, Mark and Stavroulakis, Peter (Editors). Handbook of Information and Communication Security. Springer/Sci-Tech/Trade, 2010th Edition, 867 pages.
L’hameçonnage est essentiellement un cybercrime dans lequel une cible ou des cibles sont contactées via courriel, téléphone ou messagerie texte (SMS) par un individu se faisant passer pour une institution légitime afin d’inciter des personnes à fournir des données confidentielles telles que des renseignements personnellement identifiables, des informations bancaires et de carte de crédit, et des mots de passe. Ces renseignements sont ensuite utilisés pour accéder à des comptes importants et ils peuvent résulter à un vol d’identité et à des pertes financières1. À partir de 2020, le Centre de plaintes du FBI contre la criminalité sur Internet (FBI Internet Crime Complaint Centre) a signalé que l’hameçonnage est le type de cybercriminalité le plus habituel car il y a plus d’incidents d’hameçonnage que tout autre type de crime informatique6.
[5] PHISHING.ORG, https://www.phishing.org/what-is-phishing
[6] “Internet Crime Report 2020” (PDF). FBI Internet Crime Complaint Centre, U.S. Federal Bureau of Investigation. https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf
Pour complexifier et compliquer davantage la situation, les acteurs malveillants ont recours à plus de méthodes moins orthodoxes afin de compromettre les personnes et les entreprises. Le smishing ou l’hameçonnage par messagerie texte (SMS), le vishing ou l’hameçonnage par voix, et le l’hameçonnage via les réseaux sociaux sont en augmentation. Les hameçonneurs (phishermen) personnalisent également les messages au moyen d’une technique appelée cyberattaques par harponnage, lesquelles sont souvent lancées via un courriel qui semble provenir d’une source fiable, comme un collègue, un ami ou un associé en affaires.
En général, le courriel d’harponnage contient une demande de renseignements confidentiels, telles que des identifiants de connexion, c’est-à-dire des informations d’identification relatives à l’utilisateur, ou un hyperlien vers un site Web malveillant conçu pour voler des informations ou installer des logiciels nuisibles. En un mot, le harponnage est une méthode de cyberattaque que les pirates informatiques utilisent pour voler des informations confidentielles ou installer des logiciels malfaisants sur les appareils de victimes spécifiques. Les cyberattaques par harponnage sont très ciblées, extrêmement efficaces et difficiles à prévenir7.
[7] FORTINET. https://www.fortinet.com/resources/cyberglossary/spear-phishing
Ces complexités accrues soulignent la nécessité pour les entreprises d’envisager de bonnes pratiques de formation de sensibilisation pour assurer la cybersécurité de leur infrastructure.
L’importance de la Formation de sensibilisation à la cybersécurité
La Formation de sensibilisation à la cybersécurité vise à conscientiser les employés aux menaces et aux risques reliés à la cybersécurité, et elle fournit des informations pratiques et des conseils sur la manière de réagir à ces risques. Par exemple, cette formation aide les employés à reconnaître et à faire face aux courriels suspects, à identifier les sites Web malveillants et à comprendre l’importance des mots de passe robustes. Cette formation se rapporte à des sujets tels que l’hameçonnage, la gestion des mots de passe et la gestion sécurisée des données, et elle est conçue pour être intéressant et interactif afin de retenir l’attention des employés.
Les avantages de la Formation de sensibilisation à la cybersécurité incluent mais ne sont pas limités aux bénéfices suivants :
La réduction des risques
en fournissant aux employés une compréhension essentielle des risques de cybersécurité et des meilleures pratiques, les entreprises peuvent réduire le risque de perpétration d’incidents affectant la cybersécurité.
La culture améliorée des technologies de l’information
la Formation de sensibilisation à la cybersécurité aide à créer une culture de la cybersécurité des technologies de l’information au sein d’une entreprise. Lorsque les employés comprennent l’importance de protéger les informations confidentielles, ils sont plus susceptibles de prendre la cybersécurité au sérieux et d’appliquer les meilleures pratiques.
La conformité
dans de nombreux secteurs, une Formation de sensibilisation à la cybersécurité est nécessaire pour se conformer aux lois ou aux cadres et réglementations du secteur connexe. Par exemple, la LPRPDE et la PIPA obligent les entreprises qui traitent des renseignements personnels à fournir une formation sur la protection des renseignements personnels à leurs employés. Par ailleurs, les entreprises souscrivant aux cadres de l’industrie et aux réglementations des normes comme ISO 27001 ou SOC 2 sont obligées d’avoir une Formation régulière de sensibilisation à la cybersécurité pour leurs employés.
L’amélioration des capacités d’intervention face aux cyber-incidents
les employés conscients des risques relatifs aux incidents de cybersécurité sont mieux préparés à y faire face et à prendre les mesures appropriées pour minimiser les dommages. Lorsque les employés comprennent les types de menaces auxquels ils peuvent être confrontés, tels que les escroqueries par hameçonnage ou les sites Web malveillants, ils sont plus susceptibles de détecter ces types de cyberattaques lorsqu’elles se produisent et de prendre les mesures adéquates, telles que signaler l’incident au personnel responsable au sein de l’entreprise.
La rentabilité
offrir une Formation de sensibilisation à la cybersécurité aux employés est un moyen rentable de réduire le risque de violation de données et d’autres cyber-incidents reliés aux technologies de l’information. Tandis que les coûts du compromis des négociations augmentent, la mise en œuvre de pratiques de Formation de sensibilisation à la cybersécurité est – par conséquent – efficace pour faire économiser aux entreprises des sommes considérables.
La réduction des cyberattaques
en offrant à leurs employés une compréhension fondamentale des risques de cybersécurité et des meilleures pratiques à adopter, les entreprises peuvent réduire les risques d’attaques informatiques.
Mise en œuvre de formation de sensibilisation à la cybersécurité
La mise en œuvre d’une solide Formation de sensibilisation à la cybersécurité est cruciale pour toute organisation qui s’efforce de faire progresser sa posture en matière de cybersécurité. Même si tout effort de formation contribuera à réduire l’impact d’une cyberattaque, une approche structurée à l’échelle de l’organisation est le plus susceptible d’être efficace.
L’Autorité canadienne pour les enregistrements Internet (ACEI) est une organisation privée canadienne à but non lucratif dirigée par ses membres qui, au nom de tous les Canadiens et Canadiennes, supervisent, promeuvent et protègent le nom de domaine .CA. L’ACEI élabore des programmes, des produits et des services qui optimisent tout l’éventail de contenu qu’Internet est susceptible d’offrir afin de procurer une variété de ressources pour aider à sécuriser Internet aux Canadiens et Canadiennes qui naviguent sur la toile du Web.
Dans cette optique, l’ACEI a produit un guide en cinq étapes pour réussir la mise en œuvre d’un Programme de Formation de sensibilisation à la cybersécurité8.
[8] https://www.cira.ca/resources/cybersecurity/5-steps-to-implement-training
- Étape 1 – Convaincre la direction que vous avez besoin d’une formation, hier
- Étape 2 – Évaluer les options de formation
- Étape 3 – Préparer et donner la formation
- Étape 4 – Analyser les résultats et agir en conséquence
- Étape 5 – Garder la cybersécurité comme priorité
Simulations d’hameçonnage
Les simulations d’hameçonnage sont une composante primordiale des programmes de sensibilisation à la cybersécurité. Lorsqu’il s’agit d’enseigner aux employés comment reconnaître et intervenir face aux attaques d’hameçonnage, une simulation d’hameçonnage est souvent considérée comme plus utile que d’autres types de formation. Les simulations d’hameçonnage permettent aux employés de mettre en pratique leurs compétences dans un environnement sécuritaire et de recevoir des commentaires sur leurs performances, ce qui peut les aider à prendre conscience des risques relatifs à l’hameçonnage et à se protéger, ainsi qu’à protéger leur entreprise contre les menaces potentielles de cyberattaques. De nombreuses études ont démontré l’efficacité des simulations d’hameçonnage.
En incorporant des simulations d’hameçonnage dans leurs programmes de sensibilisation à la cybersécurité, les entreprises peuvent aider les employés à repérer et à réagir aux attaques d’hameçonnage, à améliorer leur posture intégrale en matière de cybersécurité et à réduire le risque de violation de données.
Ressources gratuites
Les coûts de la lutte contre l’hameçonnage sont en augmentation. Les coûts ne sont pas toujours acceptables pour les petites entreprises, mais les coûts d’une violation des données à la suite d’un hameçonnage sont également insoutenables. Menée en 2020, une récente étude de sécurité de CDW Canada a révélé que le coût moyen d’une violation des données a augmenté à 6 millions de dollars9. Heureusement, il existe davantage de ressources disponibles que les chefs d’entreprise peuvent exploiter à peu de frais, voire sans frais. Malheureusement la majorité de ces ressources sont en anglais. Les chefs d’entreprise doivent se familiariser avec certaines des ressources gratuites ci-dessous :
- Amazon offre une formation multilingue gratuite (lien).
- Jeu-questionnaire sur l’hameçonnage (lien).
- Quiz sur l’hameçonnage. Pensez-vous pouvoir déjouer les escrocs sur Internet (lien)?
- Pensez cybersécurité est une campagne nationale de sensibilisation publique conçue pour sensibiliser les Canadiens à la sécurité en ligne et les informer des étapes à suivre pour se protéger en ligne (lien).
- L’Université Laval offre une trousse de sensibilisation pour sa communauté universitaire. Cette ressource est accessible gratuitement (lien).
- Le Simply Secure est un cours en ligne en anglais conçu par Rogers Cybersecure Catalyst (Toronto Metropolitan University). Ce cours fournit des ressources et une formation pour aider les petites et moyennes entreprises à développer une culture de la cybersécurité au sein de leur organisation (lien).
- ISC2 : la principale organisation professionnelle de cybersécurité au monde a créé une formation en anglais de sensibilisation à la cybersécurité qui peut être suivie gratuitement sur la plate-forme Coursera MOOC (lien).
- La Federal Trade Commission des États-Unis a mis au point une série de questionnaires en anglais pour aider les entreprises à en savoir plus sur la cybersécurité (lien).
- Les neuf (9) meilleurs simulateurs d’hameçonnage [mise à jour 2021] de l’Institut Infosec (lien).
[9] L’étude en Cybersécurité 2020 de CDW Canada. La cyber-résilience : une perspective évolutive (lien).