sensibilisez vos collaborateurs À la sÉcuritÉ …
TRANSCRIPT
SENSIBILISEZ VOS COLLABORATEURS À LA SÉCURITÉ INFORMATIQUE
Kaspersky Lab France
SOMMAIRE
LES UTILISATEURS : LE MAILLON FAIBLE DE LA SÉCURITÉ DE
L’ENTREPRISE 3
SENSIBILISATION DES UTILISATEURS AUX CYBER-MENACES 15
LES UTILISATEURS : LE MAILLON FAIBLE DE LA SÉCURITÉ DE L’ENTREPRISE
PHISHING (HAMEÇONNAGE)
• Technique pour soutirer des informations
confidentielles : mots de passe, données
bancaires, etc.
• Vecteur de propagation : principalement par
mail, web, réseaux sociaux, etc.
• Prend l’apparence du site légitime : impôts,
FAI, banque, CAF, etc.
MACRO DANS LES EMAILS MALVEILLANTS
SCRIPT MALVEILLANT INTÉGRÉ EN TANT QU’OBJET
MALWARE SUR PÉRIPHÉRIQUES AMOVIBLES
• Infection d’un poste de travail puis copie du
malware sur le périphérique amovible détecté lors
du branchement
• Infection des autres machines via le mécanisme
d’exécution automatique “autorun”
• Kido (alias Conficker ou Downadup), Stuxnet, etc.
VULNÉRABILITÉS DANS LES APPLICATIONS TIERCES
• Les applications tierces sont rarement
maintenues à jour dans les Entreprises,
faute d’outils appropriés
• Les utilisateurs qui disposent des privilèges
étendus ne procèdent pas à ces mises à jour
d’applications faute de volonté ou par crainte
d’effectuer de mauvaises manipulations
SCAM (ARNAQUES)
• Alertes de changement / réinitialisation de
mot de passe
• Emails de confirmation de réservation de
vols ou d’hôtels
• Appels aux dons suite à une catastrophe
humanitaire
• Loteries, jeux d’argent
LES MOTS DE PASSE RÉUTILISÉS
• Réutilisation des mots de passe identique
pour le code PIN du smartphone, la CB, la
messagerie, les médias sociaux, etc.
• 63 % des personnes utilisent des mots de
passe faciles à deviner et 39% le même mot
de passe pour tous leurs comptes
• Piratage des comptes via :
• Vols des bases de données des sites
webs
• Attaques par dictionnaire sur des mots
de passe simples et usuels
MOBILITÉ ET DONNÉES CONFIDENTIELLES
• Connexion à des réseaux non sécurisés
depuis les périphériques mobiles : 34% des
utilisateurs de WiFi public ne prennent
aucune mesure spécifique pour se protéger
• Perte / vol d’appareils : près de 1/3 des
entreprises ont enregistré des cas de perte /
vol de mobiles d’employés
et
• ¼ d’entre elles savent qu’elles ont perdu des
données de ce fait
• Infection via des applications
« personnelles » qui engendrent des pertes
financières
WEB ET MÉDIAS SOCIAUX
• Diminution de la vigilance des utilisateurs
sur les médias sociaux augmente les risques
d’infection
• Accès depuis des médias variés :
ordinateurs (66%), smartphones (38%) et
tablettes (23%)
• Les réseaux sociaux sont les cibles des
attaques de phishing : Facebook (56%),
Twitter (8%), Pintereset (3%)
SÉCURISER LES RÉSEAUX D'ENTREPRISE : UNE TÂCHE DE PLUS EN PLUS DIFFICILE
Des terminaux de plus en plus
diversifiés
Utilisation des périphériques
personnels à des fins
professionnelles
Installation de correctifs pour
plusieurs applications sur
plusieurs appareils
WiFi non sécurisé
Augmentation de la mobilité
Évolution et multiplication des
programmes malveillants
Prévention des atteintes à la sécurité informatique et des données
PRENDRE DES MESURES POUR PROTÉGER VOTRE ENTREPRISE N'A JAMAIS ÉTÉ AUSSI VITAL
Créez une politique de sécurité robuste, concise et efficace
Mettez vos politiques en pratique rapidement et simplement
Sensibilisez vos employés aux cyber-menaces et offrez-leur les moyens d'agir
Éliminez toute situation pouvant laisser la place aux comportements à risque
Consacrez-vous plus à la sécurité qu'à la résolution des problèmes a posteriori
Anticipez les risques et instaurez des mesures préventives
Éducation
Mise en
application
Outils
Prévention des atteintes à la sécurité informatique et des données
SENSIBILISATION DES UTILISATEURS AUX CYBER-MENACES
Les posters
sont
insufissants
Trop long
Trop technique
Trop de méfiance (menaces
et liste des choses à ne pas
faire, sans conseils)
Les entreprises sont à la recherche d’approches
plus sophistiquées (par exemple, le
développement d’une culture d’entreprise) ce
qui nécessite des investissements permanents
dans la sensibilisation et la formation à la
sécurité (Gartner 2014)
Formations
ennuyantes et
frustrantes
Employés qui
ne collaborent
pas avec
l’équipe
sécurité IT
Les employés formés ne changent
pas de comportement
Seuls 22% pensent
pouvoir être la cible des
cybercriminels.
Pas de
motivation,
méconnaissance
POURQUOI ??
• 80% des incidents sont causés par les erreurs des employés
• Les employés formés peuvent réduire le taux d’incident de 90%
• La sensibilisation à la cyber-sécurité est un élément essentiel de la sécurité
• Vous investissez probablement déjà dans ce type de formation..
Mais..
LE
PR
OB
LÈ
ME
CU
LT
UR
E D
E L
A C
YB
ER
-SÉ
CU
RIT
É
Connaissance
Comportement Motivation
La plupart des formations de sensibilisation intègrent
uniquement le volet Connaissance, alors que ce n’est
pas ainsi que les gens fonctionnent
Notre approche (Culture de la Cyber-Sécurité) est :
- Influente
- Mesurable
À 3 niveaux – Connaissance, Comportement, Motivation.
Le Comportement est le point clé de
la sensibilisation, il est étroitement
lié avec la connaissance et la
motivation
Directeurs commerciaux Travail d’équipe avec le service sécurité IT
Prise de responsabilité pour la cyber-sécurité
Responsables
opérationnels
Créént un environnement cyber-sécurisé
Transmettent un comportement cyber-securisé
aux employés
Employés
Partagent des valeurs de cyber-sécurité
Agissent avec cyber-sécurité
Rapportent les incidents
Coopèrent avec l’équipe de sécurité informatique
Les attentes suite au “programme de sensibilisation”
La méthodologie “Culture de la Cyber-Sécurité Kaspersky Lab” repose sur les Programmes de
Sécurité Industriels utilisés par DuPont, BP, Shell, Siemens, et des millions d’entreprises.
SE
NS
IBIL
ISA
TIO
N
OK
=
CO
MP
OR
TE
ME
NT
AD
AP
TÉ
CY
BE
R S
AF
ET
Y C
ULT
UR
E P
OR
TF
OLIO
Connaissance Comportement Motivation
Cible Tous les employés Responsables
opérationnels
Responsables
Support √ Plate-forme de
formation en ligne
(modules de
formation)
√ CyberSafety
Games training
√ Kaspersky
Interactive
Protection
Simulation
Mesure √ Plate-forme de
formation en ligne
(CyberStrength
Assessment )
√ Plate-forme de
formation en ligne
(attaques simulées via
PhishGuru)
√ Evaluation de la
culture de la cyber-
sécurité
Skills training Platform CyberSafety
Games Cyber Safety
Culture Assessment Kaspersky Interactive Protection Simulation
VID
ÉO
: P
LA
TE
-FO
RM
E D
E F
OR
MA
TIO
N
Cliquez sur l’image pour accéder à la vidéo
Chaque employé se voit assigner de
multiples modules de formations interactifs
et courts, campagnes de simulation
d’attaques et d’évaluations au cours de
l’année, gérées et mesurées par l’équipe
de sécurité.
17 formations en ligne de ~15 min.
Plate-forme Cloud, avec rôles d’administration multiples
Anglais + autres
1.
PL
AT
E-F
OR
ME
DE
FO
RM
AT
ION
EN
LIG
NE
Modules de formation
en ligne
+
Simulation d’attaque de phishing
Evaluation des connaissances
individuelles
Analyses et rapports
FORMATION : REPÉRER DES URLS FRAUDULEUSES
Chaque formation intègre de l’apprentissage….
…avec des exercices pratiques
FORMATION : CRÉER UN MOT DE PASSE COMPLEXE
L’utilisateur bénéficie d’une
formation progressive de
connaissances basiques à
avancées.
Ici la création d’un mot de passe
complexe
FORMATION : SIMULATION D’ATTAQUE PAR PHISHING Type de mails
FORMATION : SIMULATION D’ATTAQUE PAR PHISHING
Redirection de l’utilisateur vers une page de sensibilisation et conseils
2.
CY
BE
RS
AF
ET
Y G
AM
ES
TR
AIN
ING
•Pourquoi je dois prêter attention à la sécurité ?
•De qui je dois me méfier ?
Changez les
croyances, Motivation
•Distringuer un comportement cyber-sécurisé et cyber- dangereux (compétences techniques et vigilance);
•Donner des exemples positifs de “Comment faire”, pas uniquement “A ne pas faire”;
Vigilance
•Encourage et forme les employés à coopérer avec l’équipe sécurité IT (la sécurité n’est pas l’antithèse de l’efficacité, surveillance du voisinage).
Sécurité-Efficacité gagnant-gagnant
10 domaines de sécurité - AV/Apps, Fuite
des données, Mobile, Web, Mail,
Comportement de victime, Ingénierie
sociale, Alertes de sécurité, Compétences
de vigilance, Violation de la politique,
Réseautage social
Lieux de travail typiques – Openspace,
Sur la route, Salle de conférence
1 jour sur site par un formateur Kaspersky Lab, 20-50 participants
Responsables opérationnels / Superviseur Les gens qui influencent le niveau de vigilance sur la cyber-
sécurité de leurs subordonnés dans leur travail quotidien
Ludification Mobiliser les gens dans une compétition, et apprendre par
l’exercice.
2. C
YB
ER
SA
FE
TY
GA
ME
S T
RA
ININ
G
• Objectifs : sensibiliser, éduquer
les utilisateurs aux risques et
évaluer leur niveau de
connaissance en matière de
sécurité
• Format : par équipe de 4/5 et
animé par un formateur
• Durée : 3 parties (mises en
situation) de 2 à 3 heures.
• Contenu : chaque partie
contient 12 situations pour
lesquelles l’équipe devra
évaluer le niveau de
dangerosité et la fréquence
• Score : cumul des points
(évaluation de la menace et
fréquence)
“LesVirus vont
détruire mon PC”
Méfiez vous des gens
suspects, pas de destruction
des ordinateurs
Pensez aux conséquences de vos actes dangereux
“Je suis une cible
trop petite”
Vous n’avez pas besoin d’être une
cible pour être une victime
Devenez une cible plus
compliquée que les autres
“Je n’ai pas de temps pour la
sécurité”
La sécurité permet d’être
efficace
Coopérez avec l’équipe Sécurité
1.Transformer
les doutes des
gens sur la
cyber-sécurité
2. En une
percéption
adéquate
3. Donner aux
gens des
modèles de
comportement
positifs MO
TIV
AT
ION
= M
OD
IFIE
R L
ES
C
RO
YA
NC
ES
3. É
VA
LU
AT
ION
DE
LA
CU
LT
UR
E L’évaluation de la culture de la cyber-sécurité analyse quotidiennement le
comportement et l’attitude concernant la cyber-sécurité de tous les niveaux
de la direction de l’entreprise, ce qui permet au CISO de comprendre les
deséquilibres et les zones sur lesquelles se concentrer
Les résultats de cette évaluation constituent la base d’une discussion sur
le rôle et la place de la cyber-sécurité pour supporter l’efficacité du
business avec les responsables de niveau CxO.
Sondage réalisé via une plate-forme Cloud. Prends ~15 mins par employé. Rapport consolidé
4.
INT
ER
AC
TIV
E P
RO
TE
CT
ION
S
IMU
LA
TIO
N
Pour les équipes informatiques,
Business et Sécurité – simulation
de stratégie pour les preneurs de
décision sur la cyber-sécurité.
Travail d’équipe pour la
construction de domaines croisés
de coopération
La concurrence favorise l’initiative
et l’analyse des compétences
La jouabilité aide à la
compréhension des mesures et de
la stratégie de cyber-sécurité
Les équipes s’affrontent en simulant la gestion
d’une entreprise et en gagnant de l’argent.
Lorsque l’entreprise subit une cyber-attaque ils
visualisent l’impact sur la production et les
revenus, et doivent adopter différentes
solutions et stratégies IT afin de minimiser
l’impact de l’attaque et gagner plus d’argent.
Amusant, prenant et rapide (2 heures)
Aucune compétence technique approfondie
nécessaire
Scénario basé sur une
installation d’appro. eau
Financial industry scenario
VID
ÉO
: K
AS
PE
RS
KY
IN
DU
ST
RIA
L
PR
OT
EC
TIO
N S
IMU
LA
TIO
N
Cliquez sur l’image pour accéder à la vidéo
TO
UT
ES
LE
S P
IÈC
ES
RÉ
UN
IES
CyberSafety Games
Formation face à face
Plate-forme de formation
Compétences
Evaluation des connaissances (2 semaines)
Simulation
phishing
(1
semaine)
Assignation des formations
Vos statistiques d’incident
Evaluation de la
Culture
Mesure (2 semaines)
Analyse Plan d’actions
Démarrez à partir des points faibles (domaine de la sécurité)
Organisation et lancement en 1 mois
Nous fournissons un guide des bonnes pratiques et du support technique
Evaluation des connaissances
Attaques simulées
Modules de
formation
interactifs
Matériels de
sensibilisation à la
cyber-sécurité
Rapports
détaillés,
suivi,
comparatifs
Continue dans l’année, cycle par cycle
Nous fournissons un guide des bonnes pratiques et du support technique
FO
RM
AT
ION
CO
NT
INU
E
MÉ
TH
OD
OLO
GIE
SE
NS
IBIL
ISA
TIO
N M
ES
UR
AB
LE
Connaissance, Comportement,
Motivation, Résultats
Statistiques des attaques
simulées
Evaluation des connaissances
Evaluation de la Culture
Statistiques sur les incidents
Mesurez vos progrès en
permanence
DÉ
LIV
RA
BLE
S
CyberSafety Games pour Responsables
Evaluation des connaissances à la cyber-sécurité
Plate-forme de formation des compétences pour tous les employés
Les bénéfices
- Diminue le nombre d’incidents jusqu’à 90%,
- Réduit le volume monétaire du cyber-risque 1) de 50-60%.
- Offre 37x2) le retour sur investissement du programme de
sensibilisation à la cyber-sécurité
- Traduit la cyber-sécurité d’un jargon informatique en langage business,
et permet d’impliquer les responsables commerciaux.
- Permet d’obtenir des résultats mesurables sur la sensibilisation à la
cyber-sécurité
1) Aberdeen Group research, 2014.
2) Ponemon Institute research, 2015
TY
PE
S D
E L
ICE
NC
ES
MERCI, QUESTIONS ? Kaspersky Lab France
2, rue Joseph Monier
92500 Rueil Malmaison
www.kaspersky.fr
Pour toutes questions sur les Cyber-Safety Games Kaspersky Lab de sensibilisation à la sécurité
informatique en Entreprise, contactez-nous : [email protected]