Formation de sensibilisation à la cybersécurité

Ce qui est enjeu et le problème à résoudre

Conformes aux conclusions du Rapport d’enquête 2022 sur les violations de données (2022 Data Breach Investigations Report¹), 82 % des violations impliquaient la responsabilité de l’élément humain. Par conséquent, les employés jouent un rôle crucial dans la prévention des atteintes à la cybersécurité. Ces derniers constituent souvent la première ligne de défense contre les cyberattaques ainsi que la source la plus probable d’incidents de cybersécurité résultant d’une erreur humaine.

À titre d’exemple, l’hameçonnage augmente de 61 % d’une année à l’autre². De plus en plus d’entreprises se font pirater et l’hameçonnage demeure l’un des vecteurs d’attaque les plus couramment ciblés. L’hameçonnage est une forme d’ingénierie sociale par laquelle les cyberattaquants trompent les gens pour qu’ils révèlent des informations confidentielles ou installent sur des appareils informatiques des logiciels malveillants tels que des virus, des vers, des chevaux de Troie, des logiciels espions et des rançongiciels³.

[1] https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf

[2] https://www.cnbc.com/2023/01/07/phishing-attacks-are-increasing-and-getting-more-sophisticated.html

[3] Jansson, K.; von Solms, R. (2011-11-09). “Phishing for phishing awareness.” Behaviour & Information Technology. 32 (6):584-593.

Les cyberattaques par hameçonnage sont devenues de plus en plus sophistiquées et elles reflètent souvent de manière transparente le site Web ciblé, permettant au cyberattaquant de tout observer pendant que la victime est en train de naviguer sur le site Web, et de franchir toute frontière de cybersécurité supplémentaire avec la victime1 ⁴.

[4] Ramzan, Zulfikar (2010). “Phishing attacks and countermeasures.” In Stamp, Mark and Stavroulakis, Peter (Editors). Handbook of Information and Communication Security. Springer/Sci-Tech/Trade, 2010^th Edition, 867 pages.

L’hameçonnage est essentiellement un cybercrime dans lequel une cible ou des cibles sont contactées via courriel, téléphone ou messagerie texte (SMS) par un individu se faisant passer pour une institution légitime afin d’inciter des personnes à fournir des données confidentielles telles que des renseignements personnellement identifiables, des informations bancaires et de carte de crédit, et des mots de passe. Ces renseignements sont ensuite utilisés pour accéder à des comptes importants et ils peuvent résulter à un vol d’identité et à des pertes financières1. À partir de 2020, le Centre de plaintes du FBI contre la criminalité sur Internet (FBI Internet Crime Complaint Centre) a signalé que l’hameçonnage est le type de cybercriminalité le plus habituel car il y a plus d’incidents d’hameçonnage que tout autre type de crime informatique⁶.

[5] PHISHING.ORG, https://www.phishing.org/what-is-phishing

[6] “Internet Crime Report 2020” (PDF). FBI Internet Crime Complaint Centre, U.S. Federal Bureau of Investigation. https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

Pour complexifier et compliquer davantage la situation, les acteurs malveillants ont recours à plus de méthodes moins orthodoxes afin de compromettre les personnes et les entreprises. Le smishing ou l’hameçonnage par messagerie texte (SMS), le vishing ou l’hameçonnage par voix, et le l’hameçonnage via les réseaux sociaux sont en augmentation. Les hameçonneurs (phishermen) personnalisent également les messages au moyen d’une technique appelée cyberattaques par harponnage, lesquelles sont souvent lancées via un courriel qui semble provenir d’une source fiable, comme un collègue, un ami ou un associé en affaires.

En général, le courriel d’harponnage contient une demande de renseignements confidentiels, telles que des identifiants de connexion, c’est-à-dire des informations d’identification relatives à l’utilisateur, ou un hyperlien vers un site Web malveillant conçu pour voler des informations ou installer des logiciels nuisibles. En un mot, le harponnage est une méthode de cyberattaque que les pirates informatiques utilisent pour voler des informations confidentielles ou installer des logiciels malfaisants sur les appareils de victimes spécifiques. Les cyberattaques par harponnage sont très ciblées, extrêmement efficaces et difficiles à prévenir⁷.

[7] FORTINET. https://www.fortinet.com/resources/cyberglossary/spear-phishing

Ces complexités accrues soulignent la nécessité pour les entreprises d’envisager de bonnes pratiques de formation de sensibilisation pour assurer la cybersécurité de leur infrastructure.

L’importance de la Formation de sensibilisation à la cybersécurité

La Formation de sensibilisation à la cybersécurité vise à conscientiser les employés aux menaces et aux risques reliés à la cybersécurité, et elle fournit des informations pratiques et des conseils sur la manière de réagir à ces risques. Par exemple, cette formation aide les employés à reconnaître et à faire face aux courriels suspects, à identifier les sites Web malveillants et à comprendre l’importance des mots de passe robustes. Cette formation se rapporte à des sujets tels que l’hameçonnage, la gestion des mots de passe et la gestion sécurisée des données, et elle est conçue pour être intéressant et interactif afin de retenir l’attention des employés.

Les avantages de la Formation de sensibilisation à la cybersécurité incluent mais ne sont pas limités aux bénéfices suivants :

Ressources gratuites

Les coûts de la lutte contre l’hameçonnage sont en augmentation. Les coûts ne sont pas toujours acceptables pour les petites entreprises, mais les coûts d’une violation des données à la suite d’un hameçonnage sont également insoutenables. Menée en 2020, une récente étude de sécurité de CDW Canada a révélé que le coût moyen d’une violation des données a augmenté à 6 millions de dollars⁹. Heureusement, il existe davantage de ressources disponibles que les chefs d’entreprise peuvent exploiter à peu de frais, voire sans frais. Malheureusement la majorité de ces ressources sont en anglais. Les chefs d’entreprise doivent se familiariser avec certaines des ressources gratuites ci-dessous :

•  Amazon offre une formation multilingue gratuite (lien).
• Jeu-questionnaire sur l’hameçonnage (lien).
• Quiz sur l’hameçonnage. Pensez-vous pouvoir déjouer les escrocs sur Internet (lien)?
• Pensez cybersécurité est une campagne nationale de sensibilisation publique conçue pour sensibiliser les Canadiens à la sécurité en ligne et les informer des étapes à suivre pour se protéger en ligne (lien).
• L’Université Laval offre une trousse de sensibilisation pour sa communauté universitaire. Cette ressource est accessible gratuitement (lien).
• Le Simply Secure est un cours en ligne en anglais conçu par Rogers Cybersecure Catalyst (Toronto Metropolitan University). Ce cours fournit des ressources et une formation pour aider les petites et moyennes entreprises à développer une culture de la cybersécurité au sein de leur organisation (lien).
•  ISC2 : la principale organisation professionnelle de cybersécurité au monde a créé une formation en anglais de sensibilisation à la cybersécurité qui peut être suivie gratuitement sur la plate-forme Coursera MOOC (lien).
• La Federal Trade Commission des États-Unis a mis au point une série de questionnaires en anglais pour aider les entreprises à en savoir plus sur la cybersécurité (lien).
• Les neuf (9) meilleurs simulateurs d’hameçonnage [mise à jour 2021] de l’Institut Infosec (lien).

[9] L’étude en Cybersécurité 2020 de CDW Canada. La cyber-résilience : une perspective évolutive (lien).