VOUS NE POUVEZ PAS ARRÊTER LES CLICS !

employee breaches

VOUS NE POUVEZ PAS ARRÊTER LES CLICS !

Demandez au citoyen moyen dans la rue quelle est la plus grande menace pour la sécurité de l’entreprise, et il dressera une longue liste de pirates informatiques étrangers, de cas d’espionnage d’entreprise et de tous les types de scénarios de type James Bond. Posez la même question à un professionnel de la sécurité et vous obtiendrez une réponse beaucoup plus simple : « Les gens ». En particulier, les employés. C’est vrai, le « facteur humain » l’emporte sur tous les autres risques de sécurité auxquels les entreprises sont confrontées. Bon nombre des atteintes à la sécurité dont il est question dans les gros titres comportent également un élément humain, qu’il s’agisse d’un simple stratagème d’ingénierie sociale et de donner accès sans le savoir à un pirate informatique ou de quelque chose de plus ingénieux élaboré par un employé mécontent.

Selon l’Identify Theft Resource Center, en 2016, les entreprises et les organismes gouvernementaux américains ont subi plus de 1 000 infractions de sécurité, soit une augmentation de 40 % par rapport à 2015, atteignant un record absolu ! En 2016, les incidents de piratage ont atteint un niveau record – près de 55,5 % de toutes ces intrusions – soit une augmentation de 17,7 % par rapport à 2015. Les atteintes à la confidentialité de l’information par courriel au taux de 9,2 %, suivi de la catégorie des erreurs ou de la négligence des employés au taux de 8,7 %. Bien que certains types d’atteintes à la sécurité des données diminuent généralement en proportion du total, les pertes de données dues au piratage et à l’hameçonnage augmentent rapidement.

Dans un récent rapport du Data Breach Digest de Verizon, les attaques d’ingénierie sociale ont un tel succès parce que les acteurs de la menace savent que les humains sont le maillon faible de toute stratégie de sécurité de l’information. Ils exploitent la curiosité naturelle des gens, leurs peurs, leur fierté et d’autres facteurs du psychisme humain pour avoir accès à des données sensibles. Il s’agit habituellement de quelque chose d’aussi simple que de cliquer sur un lien ou d’ouvrir une pièce jointe dans un courriel qui semble provenir d’une source digne de confiance. Le rapport Verizon démontre à quel point cela peut être simple:

• Un employé qui reçoit un courriel de félicitations de la part du DPI de l’entreprise pour un travail bien fait : « Cliquez ici pour votre prix récompensant vos réalisations. » Résultat : une tentative de virements bancaires totalisant plus de 5 millions de dollars.

• Un ingénieur en chef à la recherche d’un emploi pendant ses heures de travail reçoit un courriel d’un recruteur offrant des possibilités d’emploi prometteuses : « Les postes vacants actuels sont dans le fichier joint. » Résultat : Des plans volés utilisés par un concurrent pour faire son entrée plus rapidement sur le marché.

Vous pensez que vos employés sont trop intelligents pour cela ? Pensez-y à nouveau. Les employés ne sont pas stupides – ils ont été mis en garde contre les risques de cliquer sur des liens et d’ouvrir des pièces jointes depuis des années. Beaucoup rigolent devant la fontaine d’eau à propos des courriels des banques de pays étrangers leur annonçant avoir hérité de 20 millions de dollars d’un parent décédé, ou les faux courriels de PayPal ou d’Apple qui veulent simplement « confirmer » leur compte. Mais les pirates informatiques sont devenus de plus en plus astucieux pour comprendre les facteurs qui motivent les humains à agir et créent des moyens astucieux pour en tirer profit. Ces types d’objectifs peuvent être de nature assez générale, comme l’accès à tous les dossiers d’une entreprise de soins de santé, ou ils peuvent être spécifiques, comme l’accès aux plans pour un nouveau produit d’une entreprise, tel que cela a été précédemment décrit.

(Opinion : Le monde entier est en train de se faire pirater. Pourquoi ne pas en faire plus pour arrêter cela ?) https://t.co/JvrhMZW9zc pic.twitter.com/HsmDvB8tEQ
— The New York Times (@nytimes) 14 mai 2017

Malheureusement, malgré le fait que les employés sont conscients de l’existence de ces programmes, cela ne change pas leur comportement – ou le comportement de l’entreprise dans son ensemble – en leur offrant une meilleure formation. Selon un récent rapport d’Osterman Research, « les employés doivent être constamment sensibilisés et formés par le biais de programmes de sensibilisation à la sécurité afin d’être plus vigilants quant à leurs actions ». Le rapport cite des statistiques alarmantes tirées d’un récent sondage auprès des personnes interrogées qui participent à la gestion des dispositifs de sécurité au sein de leur moyenne ou grande organisation. Dans ce sondage, seulement 31 % des personnes interrogées considéraient que « faire une évaluation du niveau de préparation de nos employés au niveau de la sécurité » était une méthode utilisée de manière significative ou approfondie pour évaluer l’efficacité de leurs dépenses en matière de sécurité de l’information. Comparativement, il y a 49 % des personnes qui attachaient une grande importance au fait de procéder à une évaluation de la conformité par rapport aux normes réglementaires.

L’étude a également révélé un écart important entre l’importance de prévenir les atteintes à la protection des données entre les cadres supérieurs et les cadres moyens et les travailleurs « moyens ». Bien que 77 % des personnes interrogées estiment que leur organisation est très bien ou raisonnablement bien préparée à faire face aux répercussions d’une atteinte importante aux données, la priorité accordée à la prévention des atteintes à la protection des données varie considérablement selon le rôle au sein d’une organisation. Par exemple, 71 % des cadres supérieurs en informatique accordaient une priorité élevée à la prévention contre les intrusions, alors que seulement 21 % des employés  » moyens  » l’ont fait. Les gestionnaires de niveau intermédiaire (43 %) et les cadres supérieurs (55 %) étaient également très peu enclins à accorder un degré de priorité élevé à la prévention des atteintes à la protection des données.

En résumé : La sécurité de l’entreprise peut être une préoccupation majeure pour les dirigeants, mais cette urgence ne se fait pas sentir chez les employés qui mettent en danger les données sensibles de l’entreprise, quelle qu’en soit la forme. Lorsque la sécurité se résume à une simple case à cocher, le blâme retombe sur l’entreprise lorsque des erreurs humaines sont commises. Les éliminer autant que possible en utilisant une technologie qui les préviennent de faire de simples erreurs « humaines » est essentiel à la sécurité de l’entreprise.

Si vous souhaitez savoir comment protéger vos informations sensibles contre le facteur « humain », le contenu ci-dessous peut vous intéresser :

Téléchargez notre RAPPORT| Combien Faites- Vous Confiance au Courriel?

Par Greg Aligiannis, Directeur principal de la sécurité, Echoworx