Formation sécurité informatique : élaboration d’un programme de sensibilisation à la cybersécurité destiné aux cadres supérieurs

En ce qui concerne le domaine de la formation en sécurité informatique, une enquête récente du gouvernement britannique intitulée "Enquête sur la résilience des dirigeants d'entreprise en matière de cybersécurité 2021" offre des indications intéressantes sur la sensibilisation aux risques de cybersécurité au sein de la direction et du conseil d'administration d'une organisation. L'enquête a révélé que la quasi-totalité des personnes interrogées estiment que le conseil d'administration intègre les considérations liées aux risques cybernétiques dans la gestion globale de l'entreprise.

Cependant, le rapport met en garde en ces termes : "Les dirigeants estiment qu'il reste beaucoup à faire pour préparer les membres du conseil d'administration à faire face aux cybermenaces. Les dirigeants ont principalement souligné la nécessité de sensibiliser les membres du conseil d'administration et de leur offrir une formation ciblée."

De fait, les cadres supérieurs et le conseil d'administration sont des entités spécifiques qui requièrent une formation en sécurité informatique personnalisée pour répondre à leurs besoins particuliers. Voici quelques idées pour créer un programme de sensibilisation à la cybersécurité adapté à vos cadres supérieurs.

Pourquoi former les cadres dirigeants à la sensibilisation à la cybersécurité en entreprise ?

Former les cadres dirigeants à la sensibilisation à la cybersécurité en entreprise est crucial pour plusieurs raisons. Tout d'abord, leur influence est essentielle pour promouvoir une sensibilisation à la sécurité cohérente et efficace dans toute l'organisation. Le concept du "ton est donné du sommet" est largement reconnu en matière de gestion des risques de sécurité. Il met en évidence le rôle des dirigeants dans la définition des attentes en matière de cybersécurité et dans la création d'une culture de sécurité.

Dans le manuel de l'Association Européenne des Directeurs (ecoDa), plusieurs recommandations clés sont formulées pour atténuer les risques à une époque où les cybermenaces sont omniprésentes. L'une de ces recommandations souligne l'importance pour le conseil d'administration et la direction de donner le ton en matière de sensibilisation dans l'ensemble de l'organisation. Ils doivent promouvoir une culture de sécurité solide et conscientiser le personnel à développer une cyber-résilience.

Formation sécurité informatique : les éléments clés d'un programme de sensibilisation ciblé à la sécurité pour les cadres supérieurs

Il est intéressant de noter que le Royaume-Uni est le seul pays à avoir mis en place un système de gestion de l'information. Le rapport du gouvernement sur les capitaines d'industrie a révélé que la sensibilisation à la cybersécurité a atteint le conseil d’administration. Cependant, les cadres dirigeants et les membres du conseil d'administration doivent participer à un programme de sensibilisation à la sécurité à la fois global et spécifique. La sensibilisation à ce niveau peut consolider une culture orientée vers la sécurité.

Voici les facteurs essentiels d'une campagne de sensibilisation et de formation en sécurité informatique axée sur les cadres dirigeants :

Formation sécurité informatique : créer une tension liée aux risques

Les cadres supérieurs doivent jongler avec de nombreuses responsabilités. Cependant, si cette activité centrale est menacée par des cybermenaces, l'entreprise doit accorder la priorité à ces menaces.

Il est essentiel de préparer le terrain pour la formation des cadres en mettant en évidence le retour sur investissement d'un programme de sensibilisation à la cybersécurité et de formation en sécurité informatique. Le rapport d'IBM et de Ponemon sur le coût d'une violation de données contient quelques chiffres qui illustrent ceci : le Royaume-Uni est l'un des pays où le coût d'une violation de données est le plus élevé, avec une moyenne de 4,67 millions de dollars (3,8 millions de livres sterling) par violation.

Une fois que vous avez obtenu l'approbation de votre hiérarchie, vous pouvez élaborer un cadre pour un programme de formation à la sensibilisation à la sécurité informatique ciblant spécifiquement la direction de l'entreprise.

Mettre en place un programme de sensibilisation et de formation en sécurité informatique axé sur les rôles des cadres supérieurs

Les cybercriminels concentrent de plus en plus leurs efforts sur les individus et les rôles au sein d'une organisation. Cela s'explique par le fait que plus les gens sont conscients des problèmes de sécurité, plus il est difficile de tromper les employés. Cependant, si un pirate informatique comprend sa cible, il peut créer des courriels d'hameçonnage intelligents et difficiles à reconnaître.

Les cadres supérieurs sont particulièrement visés par les cybercriminels, car ils représentent le cœur financier de l'entreprise et son autorité.

Un exemple concret est l'attaque subie par l'entreprise américaine Scoular Co, qui a été victime d'une attaque de type "Business Email Compromise" (BEC) ciblant la haute direction. Les cybercriminels ont réussi à détourner 17,2 millions de dollars en effectuant trois virements télégraphiques après avoir ciblé le PDG de l'entreprise à l'aide de courriels frauduleux.

Le rapport Verizon Data Breach Investigations Report (DBIR) 2021 souligne l'importance d'adapter la formation à la sensibilisation à la sécurité et conclut : "Il n'existe pas d'approche unique pour minimiser les risques humains qui conduisent à des violations. Chaque entreprise subit des variations différentes des mêmes types d'attaques et doit personnaliser ses programmes d'ingénierie comportementale et d'éducation à la cybersécurité en conséquence."

Il est donc essentiel de concevoir une formation de sensibilisation à la sécurité en fonction des rôles au sein de l'entreprise, en incluant spécifiquement les rôles des cadres supérieurs. Il convient de se concentrer sur les types d'attaques qui ciblent les cadres supérieurs, tels que l'escroquerie et l'usurpation d'identité du PDG.

Formation sécurité informatique : mettre l'accent sur l'ingénierie sociale visant les cadres supérieurs

Les cybercriminels ciblant les "gros poissons" tels que le PDG et le directeur financier identifient leur proie dans le cadre d'une chaîne d'ingénierie sociale qui utilise diverses techniques pour manipuler leur comportement.

L'une de ces tactiques est l'usurpation d'identité d'un cadre, communément appelée "whaling" ou "l'usurpation d'identité d'un cadre". Un exemple tristement célèbre est l'attaque "Deep Fake" de 2019, où la voix du PDG de l'entreprise a été usurpée pour tromper le directeur financier du Royaume-Uni. Celui-ci a été contraint d'envoyer 243 000 dollars sur le compte bancaire du fraudeur.

Ce type d'ingénierie sociale connaît une croissance fulgurante, les fraudes reposant sur la création d'un profil de la cible afin d'obtenir les informations nécessaires et mener à bien l'ingénierie sociale. Il est essentiel d'intégrer la sensibilisation à l'ingénierie sociale dans votre programme de formation à la sécurité et de former vos cadres supérieurs sur leur vulnérabilité dans ce domaine.

Formation sécurité informatique : mettre l'accent sur les attaques de spear-phishing visant les cadres supérieurs

Les cadres supérieurs sont souvent la cible d'attaques de spear-phishing, une forme ciblée d'hameçonnage. Récemment, une campagne de phishing a utilisé de faux courriels Microsoft Office 365 pour dérober des informations d'identification. Cette campagne visait spécifiquement les cadres supérieurs et leurs assistants dans différents secteurs d'activité. En effectuant du spear-phishing au niveau des cadres supérieurs, les cybercriminels s'adressent directement aux décideurs d'une organisation.

Le spear-phishing fonctionne car les courriels frauduleux sont basés sur des informations connues de la cible. Les spear-phishers utilisent souvent les mêmes applications, telles qu'Office 365, que l'entreprise utilise régulièrement. Il est donc important de créer une campagne de simulation phishing sophistiquée qui cible spécifiquement vos cadres supérieurs. Utilisez votre connaissance de l'hameçonnage basé sur les rôles pour créer des courriels de spear-phishing réalistes qui visent vos cadres supérieurs.

Pour renforcer la sensibilisation à la cybersécurité au sein d'une grande entreprise, utilisez une plateforme avancée de simulation de phishing qui utilise l'apprentissage "à la demande". Cela permet de capturer les problèmes de comportement au moment où ils se produisent et de fournir à l'utilisateur des informations sur ce qui n'a pas fonctionné et les raisons de ce problème.

Formation sécurité informatique : connaître vos cadres supérieurs grâce aux indicateurs de sensibilisation à la cybersécurité

Les plateformes de simulation phishing, comme MetaPhish, offrent des mesures sous la forme d'un tableau de bord qui présente les résultats des simulations d'hameçonnage.

Cela vous permettra de savoir combien de membres de votre équipe de direction ont cliqué sur un lien dans un e-mail de phishing simulé. Les rapports peuvent même indiquer l'appareil utilisé pour accéder à l'e-mail de phishing, ce qui vous permet d'adapter et de concentrer vos efforts sur l'amélioration du comportement des cadres en matière de sécurité.

Formation sécurité informatique pour cadres supérieurs : donner l'exemple en matière de sécurité depuis les sommets de la hiérarchie

Vos cadres supérieurs sont des leaders et des influenceurs internes au sein de votre organisation. En donnant l'exemple en matière de cybersécurité depuis les sommets de la hiérarchie, vous encouragez un état d'esprit axé sur la sécurité. Cet état d'esprit est essentiel pour créer une culture de la sécurité et atténuer les risques cybernétiques auxquels votre entreprise est confrontée.