Trois points essentiels que votre formation en cybersécurité pour employés doit aborder

Chaque entreprise étant unique, une approche standardisée de la formation à la cybersécurité des employés est généralement une stratégie inadaptée. Par exemple, une entreprise qui encourage l'utilisation d'appareils personnels à des fins professionnelles devrait privilégier la formation aux bonnes pratiques BYOD, tandis qu'un établissement médical pourrait se concentrer principalement sur la formation à la conformité à la loi HIPAA.

Cependant, certains principes de sécurité de l'information sont importants à connaître pour les employés de toute organisation :

1. Meilleures pratiques pour la création de mots de passe : Créer des mots de passe robustes, composés d'au moins huit caractères et de combinaisons alphanumériques, peut s'avérer contraignant pour les employés, mais c'est indispensable à la sécurité des informations. Encouragez-les à créer des mots de passe complexes, sans lien avec des informations faciles à deviner, comme les dates d'anniversaire ou les noms de famille. Pour les employés qui préfèrent noter leurs mots de passe (par crainte de les oublier et du temps perdu à les retrouver), proposez-leur un espace sécurisé au bureau pour les conserver.

2. Identification du phishing : Les attaques de phishing, ou courriels demandant des informations personnelles sous de faux prétextes, comptent parmi les techniques les plus anciennes. Malheureusement, elles restent aussi parmi les plus courantes et les plus efficaces. Selon une étude du cabinet de conseil en sécurité CynergisTek, les attaques de phishing ont coûté aux entreprises 14 000 milliards de dollars à l'échelle mondiale en 2014. Cette étude a également révélé que 74 % des employés victimes de phishing ont cliqué sur un lien qui les incitait généralement à divulguer des informations ou qui déployait un logiciel malveillant. Par conséquent, la priorité absolue de la sensibilisation au phishing devrait être d'insister sur le fait que les liens provenant d'expéditeurs inconnus ne doivent être ouverts qu'après un examen extrêmement minutieux. Par exemple, les employés devraient être formés à survoler un lien avec leur souris pour vérifier que l'URL réelle correspond bien à l'adresse saisie dans le message.

3. Connaissance des politiques logicielles : Si vous jouez un rôle important dans votre entreprise stratégie de sécurité, La dernière chose que vous souhaitez entendre, c'est qu'un employé a téléchargé un nouveau jeu ou logiciel amusant : trop souvent, cela risque d'entraîner l'infection par un logiciel malveillant. Assurez-vous que vos employés comprennent la politique de l'entreprise concernant les téléchargements de logiciels, quitte à leur faire passer des tests sur ces règles.

La formation des employés est un élément crucial d'un plan de sécurité de l'information, mais en tant que DSI ou RSSI, vous savez qu'il vous faut également d'autres niveaux de protection. Découvrez comment… plateforme d'automatisation et d'orchestration de la sécurité peuvent renforcer vos défenses.