La sensibilisation à la sécurité informatique des travailleurs à distance n’a jamais été aussi importante. Il n’y a jamais eu autant de personnes travaillant à domicile que pendant la pandémie du COVID-19, et celles-ci sont maintenant activement ciblées par les cybercriminels.
Les pirates informatiques savent très bien que les travailleurs distants leur permettent facilement d’accéder aux réseaux d’entreprise des travailleurs distants pour voler des informations sensibles ou pour installer des malwares et des ransomwares.
Les entreprises peuvent dispenser à leurs employés une formation de sensibilisation à la sécurité. Ceci, afin de s’assurer qu’ils soient conscients des risques auxquels ils s’exposent et pour leur apprendre à reconnaître les menaces et pour y répondre efficacement.
Cependant, le télétravail à domicile présente beaucoup plus de risques qui n’ont peut-être pas été couverts par les formations de sensibilisation à la sécurité. De plus, les entreprises ne dispensent pas régulièrement une formation pour renforcer la capacité des travailleurs à distance à faire face aux nouvelles menaces cybercriminelles, ce qui augmente le risque lorsqu’ils travaillent à distance.
Dans cet article, nous avons donc décidé de mettre en évidence certains des domaines clés qui doivent être abordés lors d’une formation de sensibilisation à la sécurité des travailleurs à domicile.
La sensibilisation accrue à la sécurité informatique des travailleurs distants est important à mesure que la crise du COVID-19 s’aggrave
Naturellement, en tant que fournisseur de solutions de sécurité de la messagerie électronique, nous préconisons vivement l’utilisation d’une solution puissante de sécurité des e-mails et la mise en place d’une protection multicouche pour se protéger contre le phishing.
Pourtant, les contrôles techniques, bien qu’efficaces, n’empêcheront pas toutes les menaces d’atteindre les boîtes de réception de vos employés. Il est trop facile de s’appuyer sur des solutions de sécurité technique pour sécuriser votre réseau et les ordinateurs de travail. La vérité est que, même si vous mettez en place les meilleures défenses de sécurité des e-mails, certaines menaces finiront toujours par atteindre les boîtes de réception de vos employés.
Plusieurs études ont souligné l’importance et les avantages d’une formation de sensibilisation à la sécurité pour le personnel. Une étude comparative menée par le fournisseur de formation à la sensibilisation à la sécurité KnowBe4 a révélé que 37,9 % des employés échouent aux tests de phishing s’ils ne reçoivent pas de formation à la sensibilisation à la sécurité et à l’ingénierie sociale.
Ce chiffre a augmenté de 8,3 % par rapport à l’année précédente. Après une formation à la sécurité et des simulations de phishing par e-mail, ce taux était toutefois passé à 14,1 % après seulement 90 jours.
Pendant la pandémie du COVID-19, le volume des e-mails de phishing a considérablement augmenté et de nombreuses campagnes ont été menées contre les travailleurs à distance. L’objectif de ces e-mails est d’obtenir des identifiants de connexion à des comptes de messagerie, à des VPN et à des plateformes SaaS. Mais les pirates peuvent également les utiliser pour diffuser des malwares et des ransomwares.
Malgré le nombre élevé d’employés travaillant désormais à domicile et la vitesse à laquelle les entreprises ont dû passer d’une main-d’œuvre essentiellement basée dans les bureaux à une main-d’œuvre travaillant pratiquement à domicile, la formation de sensibilisation à la sécurité pour les travailleurs à distance a été mise en veilleuse.
Pourtant, avec la prolongation probable du confinement pendant plusieurs mois et la multiplication des attaques cybercriminelles, il est important de veiller à ce que la formation soit dispensée dès que possible.
Augmentation des enregistrements de nom de domaines liés au COVID-19 et hausse des attaques lancées via le web
La formation de sensibilisation à la sécurité des travailleurs à distance doit couvrir la sécurité sur Internet, car toutes les menaces n’arrivent pas seulement via les e-mails. A titre d’exemple, les attaques de phishing lancées contre CMost (Children’s Museum of Science and Technology) avaient un composant web et des sites web malveillants ont été mis en place pour permettre le téléchargement de malwares.
Actuellement, la grande majorité des menaces utilisent le thème du COVID-19 pour inciter les travailleurs à distance à télécharger des malwares, des ransomwares ou à divulguer des informations sensibles comme leurs identifiants de connexion.
Il n’est pas surprenant que les cybercriminels aient multiplié les attaques sur le web. Ils utilisent une grande variété de domaines thématiques liés au COVID-19 et au Coronavirus.
Fin mars, environ 42 000 domaines liés au COVID-19 et au coronavirus avaient été enregistrés. Une analyse réalisée par Check Point Research a révélé que ces domaines avaient 50% de chances de plus d’être malveillants que les autres domaines enregistrés au cours de la même période.
Il est important de sensibiliser vos employés aux risques liés à l’utilisation d’ordinateurs portables d’entreprise à des fins personnelles, comme la navigation sur Internet.
Des mesures doivent également être prises pour limiter les sites web auxquels les employés peuvent accéder. Au moins, une solution doit être mise en œuvre et configurée pour bloquer l’accès à des sites de phishing connus, pour utiliser des fraudes et pour distribuer des malwares.
Le Shadow IT, un risque majeur pour la sécurité
Lorsque les employés travaillent au sein des locaux et se connectent au réseau de leur entreprise, il est plus facile d’identifier le Shadow IT, c’est-à-dire l’utilisation des logiciels et matériels non autorisés et qui ne sont pas pris en charge par le service informatique de leur entreprise.
Non seulement le problème devient plus difficile à identifier lorsque les employés travaillent à domicile, mais le risque que des logiciels non autorisés soient utilisés sur des appareils fournis par l’entreprise augmente.
Les logiciels téléchargés sur les ordinateurs fournis par leurs entreprises impliquent un risque d’infection par des malwares et offrent aux pirates un moyen facile d’attaquer ces appareils et votre réseau informatique.
En réalité, les équipes informatiques n’auront que peu de visibilité sur les logiciels non autorisés présents sur les appareils des employés distants : elles ne sauront pas si ces applications ont été mises à jour si elles ont été corrigées pour des vulnérabilités connues ou non.
L’une des mesures que vous pouvez adopter est de sensibiliser vos employés distants, de préciser qu’aucun logiciel ne doit être installé sur les appareils de travail et que les dispositifs USB personnels ne doivent pas être connectés aux appareils de l’entreprise sans l’autorisation de votre service informatique.
Par ailleurs, face à la pandémie du COVID-19, de nombreux travailleurs sont contraints de se tourner vers les plateformes de téléconférence pour communiquer avec d’autres employés, avec leurs amis et leur famille. L’une des plates-formes de téléconférence les plus populaires est Zoom. Sur ce point, des pirates ont utilisé cette application pour lancer leurs attaques, en créant des comptes Zoom qui semblaient authentiques, mais qui ont été associés à des malwares, des logiciels publicitaires et des chevaux de Troie d’accès à distance.
Conseils pratiques pour sensibiliser vos employés afin d’assurer leur sécurité en ligne
Nous avons déjà mis en exergue l’importance d’une formation de sensibilisation à la cybersécurité pour vos employés. Dans ce qui suit, nous avons décidé d’aller plus loin. Nous nous concentrerons sur les principaux éléments que vous devez intégrer dans la formation à la cybersécurité de votre personnel.
- Sensibilisez vos employés au fait qu’ils doivent se méfier des courriers électroniques qui peuvent sembler légitimes ou qui prétendent provenir de sources officielles, notamment ceux utilisant les objets associés au COVID-19. Ces messages peuvent les inciter à divulguer des informations confidentielles ou à visiter des sites web malveillants.
- Sensibilisez-les pour qu’ils évitent de cliquer sur les liens ou qu’ils téléchargent les pièces jointes intégrés dans des e-mails dont l’objet prétend contenir des informations liées au Coronavirus ou au COVID-19, ou tout autre message destiné à les séduire. Ces sites peuvent impliquer l’infection de leurs machines par des malwares ou les inciter à divulguer leurs identifiants de connexion.
- Apprenez à vos collaborateurs à vérifier les destinataires des e-mails suspects via d’autres méthodes de communication.
- Faites leur savoir qu’ils ne doivent pas laisser l’émotion et la peur les inciter à ne pas faire preuve de bon sens lorsqu’ils reçoivent des e-mails ou lorsqu’ils consultent des contenus concernant le COVID-19.
- Intégrez dans votre formation de sensibilisation l’identification des menaces les plus courantes, comme le phishing, le spear phishing, le whaling, le smishing, les malwares, les ransomwares, les attaques de type BEC, l’ingénierie sociale, etc.
Des actions de communication spécifiques pourraient être menées au sein de votre organisation afin d’informer davantage vos salariés des actions qu’ils doivent entreprendre pour faire face à la crise du COVID-19 et pour leur donner les moyens d’agir et de se projeter dans l’avenir malgré les difficultés du moment.
Comme la cybersécurité est un domaine en constante évolution, et que les pirates évoluent rapidement et proposent continuellement de nouveaux types d’attaques, vous devez donc adapter vos messages de sensibilisation dans ce contexte.
Quid de la sensibilisation des travailleurs distants en particulier ?
Vous devez savoir que le fondement d’une communication efficace en matière de cybersécurité est votre message. Votre équipe informatique doit donc être en mesure d’expliquer pourquoi la cybersécurité est si importante aujourd’hui ; à quoi les employés distants doivent faire attention et quelles mesures devraient-ils prendre pour rester en sécurité.
Rappelons que la sécurité est particulièrement importante pour les travailleurs distants. Ces derniers utilisent leurs propres réseaux Wi-Fi pour réaliser leurs tâches quotidiennes et leurs appareils ne sont peut-être pas protégés comme ils le seraient au bureau. De plus, il a déjà été prouvé que le nombre d’attaques de phishing ne cesse d’augmenter en période de crise.
Comme pour les travailleurs sur site, il importe de rappeler à vos collaborateurs les principales menaces en ligne ainsi que les meilleures pratiques qui permettront de protéger leurs appareils et les donnes importantes de votre entreprise. Envoyez-leur des messages qui rappellent les pratiques de sécurité de routine comme la sécurité des mots de passe, l’utilisation du VPN, la sécurité des e-mails, la sécurité du réseau et les politiques relatives aux appareils personnels.
Enfin, insistez sur le fait que les menaces cybercriminelles évoluent constamment et deviennent de plus en plus sophistiquées, et que chacun doit être vigilant.
Diversifiez vos stratégies de communication
Une fois que vous avez déterminé les différentes informations à partager avec vos employés distants au sujet de la cybersécurité, la prochaine étape consiste à établir un plan de communication solide. Par exemple, le fait d’envoyer un e-mail contenant un lien vers vos politiques de cybersécurité n’est peut-être pas le meilleur moyen de garantir que votre message soit lu, d’autant que les boîtes de réception de vos collaborateurs sont souvent encombrées.
Bien entendu, le courrier électronique reste encore la méthode la plus courante pour communiquer avec de nombreux employés en même temps, mais ne vous contentez pas d’adopter l’approche « une fois pour toutes ». Envoyez une série d’e-mails et créez une lettre d’information régulière avec des contenus pertinents et importants. Créez des vidéos qui fournissent des conseils en matière de cybersécurité et consultez votre équipe informatique et l’équipe de direction pour que vous puissiez élaborer, réfléchir et élaborer le contenu dont vous avez besoin. Cette approche est plus efficace que la lecture d’une liste de choses à faire et celles qui sont à éviter pour ne pas tomber dans le piège des cybercriminels.
Après avoir diffusé les informations sur la cybersécurité, faites en sorte que vos employés puissent les retrouver facilement à l’avenir. Pour ce faire, vous pouvez créer un dépôt central pour tous vos documents afin que vos collaborateurs puissent chercher des réponses à leurs questions et revoir de temps en temps les politiques que vous avez adoptées.
Pour finir, sachez que votre plan de communication ne doit pas porter seulement sur les mesures de prévention. Vous devez aussi communiquer à vos employés votre plan de réponse à une éventuelle attaque. Ces derniers doivent savoir quoi faire et qui contacter en cas de besoin, qu’ils reçoivent un e-mail de phishing, que leur ordinateur soit infecté par un malware, etc. Un système de communication rapide vous aidera à neutraliser toute menace et à protéger vos données sensibles.
Comment TitanHQ peut vous aider ?
Plusieurs organisations qui proposent des formations à la sensibilisation à la sécurité informatique ont mis gratuitement des ressources à la disposition des entreprises pendant la crise COVID-19 pour les aider à former leur personnel, comme l’Institut SANS. Profitez de ces ressources et diffusez-les auprès de vos employés distants.
Si vous avez une PME, vous pouvez également avoir accès à des e-mails gratuits de simulation de phishing pour tester la capacité de vos employés à reconnaître et à adopter les mesures adéquates en cas d’attaques.
Bien que nous ne puissions pas fournir une formation de sensibilisation à la cybersécurité, nous pouvons vous aider votre entreprise en minimiser les risques d’attaques cybercriminelles en les protégeant contre les attaques lancées via la messagerie électronique et via le web.
SpamTitan est une solution avancée et puissante de sécurité de la messagerie électronique basée dans le cloud. Elle protège les travailleurs distants contre les attaques de phishing, de spear phishing, de malwares, de virus et de ransomwares en bloquant les menaces à la source et en empêchant les e-mails malveillants d’atteindre les boîtes de réception de vos employés.
SpamTitan est doté de deux moteurs antivirus qui vous protègent contre les menaces de malwares connues et d’une solution de sandboxing qui permet de bloquer les menaces de malwares inconnus (zero-day).
Par ailleurs, SpamTitan intègre plusieurs flux de renseignements sur les menaces en temps réel pour bloquer les attaques de phishing actuelles et émergentes, ainsi que la technologie d’apprentissage des machines qui permet de détecter et de bloquer les menaces de phishing jusqu’alors inconnues.
SpamTitan a été conçu pour fonctionner de manière transparente avec Office 365 et pour permettre à votre entreprise de créer des défenses multicouches, en augmentant les protections de ce produit de Microsoft et en ajoutant des capacités avancées de détection et de blocage des menaces.
Quant à notre autre solution de filtrage DNS, WebTitan, elle protège tous vos employés contre les attaques basées sur le web, quel que soit l’endroit où ils accèdent à Internet. WebTitan intègre un système de renseignement sur les menaces à la minute près et bloque les noms de domaine ainsi que les pages web malveillants dès qu’ils sont identifiés.
La solution peut être utilisée pour contrôler soigneusement les sites web auxquels les travailleurs à distance peuvent accéder sur les appareils appartenant à leur entreprise, et ce, grâce à des contrôles par mots clés et par catégories. En outre, WebTitan peut être configuré pour bloquer le téléchargement de fichiers malveillants et le téléchargement de malwares par vos employés.
Conclusion
La cyber-sensibilisation est désormais un must pour les entreprises. Les pirates informatiques adaptent continuellement leurs tactiques en vue de tirer parti des nouvelles situations, à l’instar de la pandémie du COVID-19. Ils ne tarderont pas à tirer parti de tout manquement à la sécurité, et c’est pour cette raison que vous devez continuer à responsabiliser et à éduquer vos employés pour qu’ils restent vigilants.
Autre chose importante : n’oubliez pas que tout le monde peut devenir une cybermenace. Il peut s’agir d’un individu ou d’un groupe de personnes. Souvent les menaces qui pèsent sur votre technologie ou vos données proviennent des individus de l’extérieur, notamment ceux qui cherchent à obtenir de l’argent ou des informations sensibles ; ceux qui veulent accéder illégalement à votre réseau et à vos données ou ceux qui veulent perturber votre activité. Attention toutefois, car il peut aussi s’agir de clients avec lesquels vous faites des affaires ; de concurrents qui veulent prendre l’avantage sur votre entreprise ; ou d’anciens employés qui compromettent par inadvertance ou intentionnellement vos informations.
Comme nous ne savons pas dans combien de temps nous pourrons reprendre notre activité sur site – et même lorsque ce sera le cas, le travail à distance sera probablement plus courant – nous devons nous efforcer de sécuriser nos dispositifs et nos données, en suivant les meilleures pratiques. Outre la formation des employés, pensez à utiliser un filtre internet pour voir ce que votre entreprise fait bien et ce que vous pouvez faire pour la rendre plus sûre. Si vous voulez une protection fiable contre le phishing et les autres menaces en ligne pendant la pandémie du COVID-19, contactez notre équipe et bénéficiez d’une démonstration du produit SpamTitan et/ou WebTitan. Inscrivez-vous à un essai gratuit de nos solutions afin de commencer à protéger votre entreprise contre les menaces liées à la messagerie électronique et au web dès maintenant.