#DPO_News #cyberisques #ESET: 5 leçons à retenir pour une sécurité efficace

Tribune: Benoît Grunemwald ESET France

 

 

5 leçons pour une cybersécurité efficace 

 

IMG 8472

 

Les équipes ESET assistent régulièrement à des conférences sur la sécurité. Ils constatent que de nombreux thèmes font leur apparition : Next-gen, IoT, DDoS, plateforme d'administration des alertes complexes…

Le fait que ces mots soient de plus en plus utilisés n'est pas un problème en soi, mais nous nous sommes demandé si le monde de la cybersécurité ne prenait pas le problème dans le mauvais sens et passait alors à côté de sujets qui doivent être abordés.

À travers cette tribune, nous vous proposons 5 règles essentielles pour une sécurité efficace en entreprise.

 

 

Leçon 1 : appréhender les risques associés à l’entreprise

La sécurité informatique est complexe, mais son objectif premier est simple. Il s’agit de réduire les risques tout en les rendant visibles pour que l’entreprise puisse les accepter afin de continuer à travailler.

Pour y parvenir de manière efficace, vous devez amener vos éditeurs de solutions de sécurité à comprendre votre entreprise et à ne pas la considérer uniquement du point de vue IT, mais la saisir dans sa globalité.

En débutant un projet avec une entreprise, l’éditeur doit d’abord identifier, cartographier et catégoriser les risques y compris ceux liés spécifiquement à votre secteur d’activité (approche sectorielle). Deuxièmement, vous déterminerez ensemble les risques qui nécessitent d'être traités et dans quel ordre. Une fois cette étape réalisée, le responsable de la sécurité informatique doit mettre en place une conduite de changement avec des objectifs clairs et des délais. Idéalement, ce processus aura été pensé bien en amont et réalisé pas à pas, afin de ne pas s’engager dans trop de projets à la fois.

 

 

Leçon 2 : mettre en place une approche sécuritaire avec un but précis

La définition d’une feuille de route est essentielle et doit impliquer les responsables de l'activité de votre entreprise afin de s'adapter si cela est nécessaire. Pendant la création et l'exécution de la feuille de route, les projets définis contribueront à la réduction des risques et à l’atteinte des objectifs. Il est important de ne pas perdre de vue ces derniers pour que les responsables de la sécurité n’entravent pas la bonne marche de l’entreprise avec leurs mesures. L’approche sécuritaire définie doit être comprise par tout le monde, même sans compétences IT. Bien sûr, l’informatique joue un rôle, mais uniquement à la fin du processus lorsque les solutions sont nécessaires à l’exécution des projets de sécurité.

 

 

Leçon 3 : garantir l'essentiel avant la mise en œuvre de solutions de sécurité plus avancées

Après avoir fait le point sur les congrès auxquels nous avons assisté, nous constatons que la plupart des entreprises n'ont même pas les mesures de sécurité essentielles telles que la mise en place d’un antivirus et la protection des postes de travail par un mot de passe. Les présentations des entreprises expertes en cybersécurité offrent un contenu intéressant, mais trop avancé pour la plupart des entreprises. En outre, les retours d’expérience montrent que la grande majorité des piratages (environ 90 %) utilisent les méthodes les plus simples ou des vulnérabilités connues : courriers électroniques et phishing, pièces jointes contenant des malwares, etc. Sans oublier le maillon le plus faible : l'être humain.

Vous devez donc déployer des solutions de sécurité en rapport avec ces risques connus avant de vous tourner vers des technologies de pointe plus sophistiquées, même si ces dernières sont importantes. 

 

 

Leçon 4 : choisir ses fournisseurs de cybersécurité comme des partenaires

Le nombre de cybercriminels se multiplie autant que les techniques de cyberattaque (qui peuvent être très avancées). Ainsi, les solutions de sécurité ayant une protection multicouche seront indissociables de l’approche sécuritaire des entreprises. Cependant, une telle stratégie suppose comme pour toute construction de bonnes fondations. Construire un tel édifice implique une réelle coopération entre l'architecte, l'agent immobilier, le maçon, le plâtrier et bien sûr le propriétaire. Cette approche commune pour bâtir quelque chose ensemble, pas à pas, correspond exactement ce qui doit arriver dans le monde de la cybersécurité.

 

 

Leçon 5 : impliquer l’ensemble des collaborateurs pour mener à la réussite

Pour améliorer votre sécurité, vous devez avoir le soutien de vos collaborateurs. Le responsable de la sécurité doit être en mesure de fournir des explications brèves et claires à l’ensemble des métiers de la société. Si cela n’est pas réalisé correctement, votre entreprise ne comprendra pas les enjeux et ne pourra soutenir les plans définis. Comme l'a déclaré Albert EINSTEIN : « si vous ne pouvez pas expliquer quelque chose simplement, c’est que vous ne l’avez pas bien compris ! »

 

 

BONUS: 

 

 

 

Détectée par ESET® comme Android/TrojanDownloader.Agent.JI, et distribuée via des sites pornographiques sous la forme d’une fausse mise à jour d’Adobe Flash Player®, la menace peut télécharger d’autres logiciels malveillants en simulant l’appui sur l’écran.

 

Comment fonctionne le malware ?

Une fois le téléchargement effectué, le malware crée un faux service « Saving Battery » dans le système Android™ et incite la victime à lui céder des autorisations (dans les fonctions d’accessibilité d’Android) pour surveiller ses actions, récupérer le contenu de la fenêtre et activer l’exploration par le « toucher ». Ainsi, le cybercriminel dispose des droits pour imiter les actions de sa victime et télécharger des logiciels malveillants.

« Suite à nos investigations, nous avons constaté que ce cheval de Troie a été créé pour télécharger un autre cheval de Troie, conçu pour extorquer des comptes bancaires. Il suffit d’un petit changement dans le code pour que l’utilisateur soit utilisé comme spyware ou ransomware », met en garde Lukáš Štefanko, Malware Researcher chez ESET et en charge de cette analyse.

Comment vérifier que son appareil est infecté et comment le nettoyer ?

L’indicateur clé pour vérifier qu’un smartphone n’est pas infecté par ce cheval de Troie est la présence d’une option « Saving Battery » parmi les services du menu Accessibilité.

Pour le supprimer, la victime doit désinstaller l’application manuellement en allant dans Paramètres -> Gestionnaire d'applications -> Flash-Player.

Parfois, le programme de téléchargement demande également à l'utilisateur d'activer les droits d'administrateur du périphérique. Dans ce cas, il est nécessaire de les désactiver en allant dans Paramètres -> Sécurité -> Flash-Player.

Toutefois, la désinstallation du programme de téléchargement ne supprime pas les applications malveillantes téléchargées par le cheval de Troie. La meilleure façon de nettoyer l’appareil est d’utiliser une application de sécurité mobile connue, comme ESET Mobile Security.

Comment éviter de se retrouver infecté ?

Les experts ESET livrent leurs recommandations et rappellent que la prévention reste la meilleure solution pour se protéger des malwares sous Android :

- télécharger uniquement les applications ou les mises à jour à partir d'une source fiable. Dans le cas d'une mise à jour Adobe Flash Player, le site officiel à consulter est celui d'Adobe

- toujours vérifier l'adresse URL dans le navigateur

- faire attention aux autorisations et droits demandés par les applications

- utiliser une solution de sécurité pour smartphone connue

 plus d’informations: WeLiveSecurity

 

 

 

Michel Lanaspeze, Sophos: "fuite de données ? restons pragmatiques"

Tribune: Sophos 

 

Fuite de données et protection des données, une affaire de pragmatisme

 

Les attaques les plus efficaces sont souvent celles qui utilisent des complicités internes. Dans ce cas, droit d'accès et chiffrement des données s'imposent, en séparant bien les rôles: l’administrateur qui gère les droits d’accès réseaux ne doit pas pouvoir déchiffrer les données, et celui qui gère les clés de chiffrement ne doit pas pouvoir accéder aux données chiffrées. 

 

La protection des données c'est d’abord une approche systémique de la sécurité, avec des architectures réseaux et des pare-feux bien configurés, une protection des serveurs Web renforcée, une politique de correction des vulnérabilités de sécurité systématique et un suivi constant via un monitoring (log, corrélations..). Des tests de vulnérabilité indiquent toujours des « trous » dans le SI. 

 

Il est bon de rappeler une règle : il faut mettre en œuvre des moyens proportionnés aux enjeux en matière de données sensibles et de continuité de service. Par exemple, dans le cas des fuites dites "Panama Papers", les moyens déployés pour contrer des attaques externes ont manifestement été insuffisants au regard des enjeux.

Cependant, les attaques les plus efficaces sont souvent celles qui utilisent des complicités internes. Dans ce cas, droit d'accès et chiffrement des données s'imposent, en séparant bien les rôles: l’administrateur qui gère les droits d’accès réseaux ne doit pas pouvoir déchiffrer les données, et celui qui gère les clés de chiffrement ne doit pas pouvoir accéder aux données chiffrées.  Côté utilisateurs, il faut identifier les données sensibles et les groupes de personnes pouvant y accéder (par métiers, applications, projets …) et séparer les droits pour les attribuer au plus « juste ».

Pour autant, la technologie ne peut pas tout faire, et face à des attaques d’ingénierie sociale bien ciblées et orchestrées, la meilleure défense est de créer et promouvoir une culture de la sécurité forte. Comment procéder ? 

D’abord en communiquant aux utilisateurs aux plus près de leurs métiers. Des exemples d’arnaque au Président  seront particulièrement parlants pour un département Finance, par exemple. Il faut aussi  procéder à des mesures régulières du niveau de préparation des utilisateurs, avec des tests internes de « faux phishing » par exemple, pour vérifier que les utilisateurs ont les bons réflexes. Il ne faut pas non plus hésiter à demander l’aide de services marketing pour mettre en place ces campagnes de communicationcar les experts techniques ne sont pas toujours les meilleurs "communicants".

Il faut également s’assurer de ne pas bloquer ou freiner excessivement les utilisateurs dans leur tâches quotidienne. Ils risquent en effet de se tourner vers des services de « shadow IT ».  Interdire toute utilisation de services de stockage dans le Cloud (de type Dropbox) sera par exemple contre-productif.  Il vaut mieux le permettre à condition que les données soient chiffrées, en fournissant des outils les plus simples possibles et qui permettent d’échanger les informations avec des partenaires externes de manière sécurisée.   

Il faut noter à ce propos que la nouvelle règlementation européenne sur la protection des données personnelles (RGPD ou GDPR) établit que,dans le cas des données sous-traitées, la responsabilité de l’entreprises à l'« origine » de l'émission de ces données est engagée. Il faut donc également s’assurer que ces partenaires sous-traitant adoptent les pratiques de sécurité adéquates.

Sophos, avec 2500 employés et des millions d’utilisateurs, est bien sûr directement concerné par la RGPD, comme toute entreprise qui gère un grand nombre de données personnelles. Nous le sommes également pour nos solutions de sécurité administrés dans le Cloud, où nous devons assurer la confidentialité des données d’administration hébergées pour nos clients en respectant les exigences du RGDP.   

Un des principaux défis de notre industrie est de rendre les fonctions de sécurité avancées accessibles au plus grand nombre, et pas uniquement aux Grands Comptes. Pour cela, il faut rendre l’expérience utilisateur et la gestion de la sécurité les plus simples possibles. C’est ce sur quoi Sophos se focalise.

Michel Lanaspèze

SOPHOS

Head of Marketing Western Europe 

 

Cyberisques NEWS BONUS:

http://www.cebr.com/reports/60-of-british-ctos-say-uk-government-is-performing-poorly-in-protecting-firms-from-cyberattacks/

https://blogs.sophos.com/2015/06/22/how-more-joined-up-security-thinking-could-save-billions-in-data-breach-costs/

https://blogs.sophos.com/2016/05/03/location-based-ransomware-threat-research/

 

Partenariats autour de l'académie de formation Fortinet dédiée à la sécurité

PR Communication

 

 

 

L’Académie de formation Fortinet dédiée à la sécurité réseau vise à concrétiser un vivier international de talents en cybersécurité

 

 

 

Fortinet annonce ses premiers partenariats avec des acteurs de l’enseignement et des organismes à but non lucratif afin de former une nouvelle génération d’experts en cybersécurité

 

 

 

Ken Xie, fondateur et PDG, Fortinet : « C’est une réalité : les menaces qui pèsent sur la sécurité des entreprises sont toujours plus nombreuses, quel que soit le secteur d’activité ou envergure des organisations. Selon les estimations actuelles, plus d’un million de postes liés à la cybersécurité sont ouverts et ce chiffre devrait grimper à six millions en 2019. Nous sommes partenaires d’organismes dans le monde afin d’enrichir le vivier d’experts en cybersécurité requis pour gérer et déjouer des cyberattaques de plus en plus sophistiquées. »

 

L’essentiel :

Fortinet (NASDAQ: FTNT), le leader mondial de solutions haute performance en cybersécurité, annonce la création de la Fortinet Network Security Academy (FNSA), dont l’ambition est de  former des experts en cybersécurité opérationnels, capables de prendre en charge et neutraliser  les nouvelles et virulentes menaces qui se profilent à l’horizon. 

  • L’Académie a pour objectif de prodiguer une formation Fortinet reconnue par le marché et d’offrir des opportunités de certification à tous ses étudiants dans le monde.
  • Sur les différents sites FNSA dans le monde, les étudiants se préparent à une carrière dans la sécurité réseau : ils bénéficient d’un enseignement théorique et pratique nécessaire à l’obtention de la certification Fortinet.
  • Sept organisations issues des Etats-Unis, du Canada et de la zone Europe-Moyen Orient-Afrique comptent déjà parmi les partenaires de la FNSA. Pour le trimestre à venir, ce sont 20 sites de formation supplémentaires qui devraient être inaugurés dans le monde.

Fortinet Network Security Academy : former les talents de demain en cybersécurité

 

Plusieurs études pointent la pénurie de profils en cybersécurité, ainsi que le colossal besoin en nouveaux experts, au prisme des offres d’emploi actuelles et des milliers de postes à pourvoir au niveau international.

L’assureur britannique Lloyd's a évalué le coût des cyber-attaques pour les entreprises à pas moins de 400 milliards de dollars par an. Les principaux secteurs verticaux ciblés sont les services de santé, les services financiers, l’enseignement et les entreprises technologiques qui subissent des nombreuses menaces, qu’il s’agisse de logiciels malveillants, de botnets ou du piratage d’applications. Les acteurs de l’enseignement, qui représentent 27,4 % des victimes d’attaques, comme l’indique un récent rapport de Fortinet (Fortinet’s Cyber Threat Assessment Program), représente le second secteur d’activité le plus à risques.

L’objectif de la FNSA est précisément de pallier le déficit international d’experts en cybersécurité et de faire émerger des profils qualifiés dans tous les volets de la sécurité réseau de bout en bout de Fortinet. Ces profils seront reconnus comme faisant partie de l’élite des professionnels de la sécurité. En effet, des applications logicielles, aux postes clients et au cloud, l’Académie propose une formation et des opportunités de certification qui, jusqu’à présent, étaient l’apanage des clients et partenaires de Fortinet (acteurs de l’enseignement, organisations à but non lucratif et programmes de reconversion d’anciens militaires). La formation des formateurs est gratuite pour ces organisations, le but étant de leur inculquer les compétences requises pour enseigner à leurs étudiants le cursus qui leur permettra de protéger de façon optimale les entreprises contre les cybermenaces mondiales.

 

 

Fortinet Network Security Academy : déjà le point de ralliement de nombreux organismes à travers le monde

Les organisations sont conscientes des atouts majeurs que représente la formation en cybersécurité pour leurs étudiants. Aux Etats-Unis, le Cape Coral Technical College de Floride, Per Scholas - une organisation à but non lucratif proposant d’acquérir des compétences technologiques au sein de ses nombreux centres américains -  ou encore l’Institute for Veterans and Military Families de la Syracuse University de New York, sont toutes devenues des centres de formation de l’Académie. Des sites de formation supplémentaires ont été inaugurés dans le giron de la Dalhousie University en Nouvelle Ecosse, du Willis College d’Ottawa au Canada ainsi que du HTL Rennweg en Autriche. L’académie compte ouvrir de vingt autres sites au cours du prochain trimestre.

Fortinet se charge du contenu de la formation et de l’organisation des examens pour chaque site de son Académie, tout en accompagnant les équipes de formateurs. Les sites de l’Académie offrent un cursus de formation, mettent à disposition un environnement de laboratoire (virtuel ou réel) et proposent des formateurs qui délivrent le contenu du programme.

Pour plus d’informations sur la Fortinet Network Security Academy, ou pour déposer une candidature pour figurer parmi les sites de l’Académie, rendez-vous surhttp://www.fortinet.com/training/fortinet-network-security-academy.html ou envoyez un email à    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. .

 

 

Verbatims

"Willis College est un pionnier lorsqu’il s’agit de préparer nos étudiants aux postes les plus courus sur le marché. Le partenariat avec Fortinet nous permet d’intégrer une formation de haut niveau en cybersécurité dans le cursus de nos étudiants. Concrètement, une expérience comme celle que dispense l’Académie a déjà permis à plus de 50 diplômés de trouver un emploi prometteur chez Fortinet au cours des cinq dernières années. Notre engagement a toujours eu pour finalité de préparer nos étudiants à une carrière sur le long terme, et pas seulement de permettre à nos jeunes diplômés de décrocher un job."

 

 

- Rima Aristocrat, CEO, Willis College, Canada  

"Per Scholas conçoit des cursus spécifiques à des métiers ou carrières, dans le but de créer un vivier de talents adaptés à un secteur technologique en pleine croissance. Nous nous sommes engagés à mettre un terme à la carence en compétences, en offrant gracieusement une formation et un accompagnement à l’emploi, à celles et ceux qui sont curieux et passionnés par les technologies. La Fortinet Network Security Academy nous donne l’opportunité d’apporter à nos étudiants un cursus de haut niveau qui les orientera vers une carrière dans la sécurité réseau. Il faut dire que nombre de nos étudiants n’auraient même pas imaginé une telle orientation sans un tel programme.” 

 

 

- Eduardo Hernandez, Directeur des études, Per Scholas, New York

“Alors que les technologiques progressent, et à un rythme toujours plus rapide, c’est le rôle des acteurs de l’enseignement de proposer aux générations futures les moyens de rester compétitifs. Le programme de Fortinet nous donne l’opportunité de dispenser à nos étudiants un cursus avant-gardiste et de leur donner les outils nécessaires à leur employabilité future. »

 

 

- Christian Schöndorfer, Professionnel de l’informatique, HTL Rennweg, Autriche

Sensibiliser par l'image

 

CA-2015-CYBERISQUES-NEWS

Sensibiliser par l'image

Comment mieux impliquer les décideurs, métiers, salariés, clients aux questions de sécurité: quelles innovations en matière de sensibilisation et de mobilisation ?  C'était le thème du dernier petit déjeuner du FIC à Paris.

 

Jean Paul Mazoyer, Président du cercle cyber du CIGREF (initiateur de la « hackacademy ») a noté l'importance de la sensibilisation par l'image. La banque Crédit Agricole comme les autres est soumise à un grand nombre d’attaques et cela finit par impacter aussi les comptes client. Le département Sécurité a décidé d’investir faute d’argent public dans des films de sensibilisation*. De nombreuses entreprises ont rejoint cette initiative :création site internet ,films ,espace publicitaire gracieux et aujourd’hui la « Hackacademy » compte plus d’un million de vues.

Il y a 3 ans ,les DSIs n’étaient pas convaincus  du bienfait de cette initiative mais le CIGREF a aidé à convaincre cette population tandis que le sujet peine à remonter à la direction générale.

En région parisienne, c'est pres de 2000 emplois en cybersécurité qui demeurent non pourvus rappelle Jean Paul Mazoyer. Les écoles ne forment pas suffisamment sur ce sujet et la Hackacademy peut aider à ce recrutement. En moyenne le budget sécurité représente 5% du budget informatique et on consacre 10 à 15% de ce budget sécurité à la sensibilisation.

Gil Delille, Directeur de la Sécurité des Systèmes d’Information du Groupe Crédit Agricole et Président du Forum des Compétences insiste sur le fait que la sensibilisation n’est pas l’unique voie dans la mesure ou les cyberattaquants utilisent des outils de plus en plus sophistiqués pas toujours faciles a « vulgariser ». Le déploiement de sensibilisation doit emprunter plusieurs canaux : films, jeux, quiz, animation cantine, colloque avec des partenaires. Les messages ne sont pas les mêmes entre les catégories internes et externes aux organisations.

Un autre point mérite d'être souligné : exploiter les statistiques pour sensibiliser la direction générale au ROI afin d’obtenir des budgets. Aujourd’hui, bon nombre de directions ont compris l’enjeu et l’ANSSI joue un rôle important dans ce changement des mentalités.

Reste que certains freins à la sensibilisation existent. Le personnel se sent moins concerné car il considère que les outils sont sécurisés. Parfois, n voit aussi parfois les RHs étudier le temps consacré à ces activités de sensibilisation et chiffrer le nombre d’heures perdu par l’employé dans son quota de travail. Si l'on constate un engouement il reste toujours très difficile de vérifier après 6 mois l’impact auprès des employés.

Jean-François Escolier, Directeur général de GETZEM, livre quelques clefs pour définir au mieux cette approche de sensibilisation. Au travers d’un exemple il illustre la simplicité du quotidien :

« Un Utilisateurs récupère toutes les attaques sur son poste de travail au sein de l’entreprise . Pourquoi lui ? L’employé n’est pas surpris car il explique qu’il renvoie tous ses emails douteux de chez lui vers l’entreprise car il pense que le réseau de l’entreprise est mieux protégé » … Eh oui ,il fallait y penser !!!

Pour maximiser l’impact il faut respecter certaines règles : implication de la direction, vecteurs de sensibilisation ancrés dans le réel, oser des vecteurs différents jeux ,vidéos, e-learning), passeport Digital...

Laurent  Huberson, journaliste, rédacteur en chef du magazine « en quête d’actualité » sur la chaîne D8 évoque le piratage de TV5 monde en février 2015. Sur ce cas très médiatisé, « on constate mais on ne décrypte pas ». Selon lui, il faut lutter contre la culture de la sécurité réservée aux experts.

Gérald Delplace

 

*Gérard Pesch,organisateur du Festival du Film Sécurité et fondateur de GSI, a lancé un appel à la participation pour des candidats voulant participer au festival du film sécuritéqui se déroulera le 11 octobre 2016 à Enghien Les bains. Un Jury récompensera les créateurs dont les créations seront nommés. L’image devient un vecteur incontournable pour participer à la sensibilisation sur la sécurité dans l’entreprise et chez Monsieur tout le monde. Le GSI (Initiative pour une Sécurité Globale) bénéficie de nombreux soutiens institutionnels, associatifs et industriels, tous convaincus de l’importance de faire face aux dangers pour un monde plus sûr.

Michel Gérard, Conscio: "Sensibiliser les équipes permet de réduire les incidents de 60%"

Recontre cyber-expert: Michel Gérard PDG Conscio

 

               "Sensibiliser les équipes permet de réduire les incidents de 60%"

 

Salut Michel, çà faisait un petit moment depuis Neurocom et Hapsis qu'on ne s'étaient pas vraiment croisés...

Oui. Après l’aventure Neurocom comme tu le sais j’ai monté puis revendu Hapsis et depuis huit ans une nouvelle aventure avec Conscio Technologies.

 

 

Ton cœur d'activité avec Conscio c'est la sensibilisation en cybersécurité. Çà marche encore cette approche . Je te demande cela parce que çà fait 20 ans qu on en parle et les avis sont partagés sur les « ROI » coté users. Tu disposes de chiffres sur cet aspect ?

Oui et différentes formes de sensibilisation existent. Sensibiliser les équipes permet de réduire les incidents de 60% chiffre argumenté dans l’étude d’Aberdeen group sur le sujet. Nous avons plus de 7 ans d’expérience dans la sécurité informatique, la sensibilisation et la formation et plus de 800 000 utilisateurs satisfaits. Nous disposons de nombreuses références auprès d’organisations de toutes tailles dans différents secteurs. Notre client le plus fidèle nous suit depuis 7 ans en repartant sur de nouvelles campagnes.

 

Ton approche pour sensibiliser des profils « end-users » très distincts est basée sur les « serious games » dont on parle beaucoup en cybersécurité ?

Non, nous n’utilisons pas l’approche Serious Games telle qu’on l’entend généralement même si nos supports sont plaisants et interactifs.. En effet, si l’approche « serious games » se justifie dans une formation de fond elle n’est guère appropriée pour une opération de sensibilisation. Ils sont en effet en général difficiles à déployer sur une grande échelle et nécessitent un temps de prise en mains préjudiciables à une appréhension rapide du message par le plus grand nombre.. Quand on a des « end-users » d'origine et de profils très différents il faut au contraire de la légèreté pour accéder à l'outil, le choix en fonction de son planning et une ergonomie ne nécessitant aucun apprentissage. Bref, le contraire des « serious games » trop lourds et complexes.

 

L'approche de Conscio est basée sur un service Sensiwave et Rapid Awareness en mode SaaS, avec un forfait pour que les collaborateurs a sensibiliser se connectent quand ils le désirent ?

Oui c'est la philosophie. Nous disposons dans des data center de la région parisienne de serveurs hébergeant s une plate-forme de services de sensibilisations. Ces services peuvent se percevoir comme des parcours à suivre en fonction du type de sensibilisation souhaitée. Chez, Conscio Technologies nous tenons compte par exemple des problématiques de sécurité internes aux entreprises. Avec RapidAwareness une entreprise peut mettre en œuvre une campagne de sensibilisation en quelques clics et en quelques minutes. En revanche il n’est pas possible de personnaliser le contenu. Avec Sensiwave il est en revanche possible de personnaliser les contenus et de gérer ses campagnes comme on veut. En revanche il faut y passer plus de temps.

 

Face aux évolutions constantes des paysages réglementaires, tu es contraint de mettre à jour en permanence tes cours je suppose ?

Oui quand la réglementation est abordée. Je voudrai souligner un point important. Nos campagnes de sensibilisation fonctionnent selon plusieurs vecteurs et de façon ludique afin de séduire un large public. Des saynètes tirées du quotidien, des vidéos d’animation attractives, des sondages, des quizs, des BD… ou des mises en situations, ces nouveaux parcours interactifs et éducatifs de sensibilisation forment un support intéressant pour la formation aux bonnes pratiques.

 

Quels thèmes abordes-tu dans tes campagnes ?

Cela dépend de la demande des clients et de leur secteur professionnel. En plus d’un parcours sur les Essentiels permettant une première sensibilisation sur les principaux sujets (Mot de passe, Messagerie, Protection de l’Information, Ingénierie Sociale, Mobilité, Accès Physique), Conscio Technologies propose depuis le début de l'année 2016, 17 parcours couvrant de manière approfondie l’ensemble des problématiques de sécurité qu’il est possible de rencontrer en entreprise. Chaque parcours est constitué de séquences d’images de type BD, vidéos et autres visuels présentant un scénario et se concluant par un quiz dont l’objectif est de faire réagir le collaborateur à la situation rencontrée. Ces parcours sont personnalisablesen fonction des besoins et des métiers.

 

Il n y a pas de formateurs physiquement présents dans les locaux de tes clients. La plateforme joue donc un rôle stratégique. Quelles pistes as-tu privilégiées pour mettre au point ton outils ?

C'est vrai que le développement a demandé beaucoup de travail. Notre outil, ISAM utilisé pour réaliser une étude pour connaître le niveau de sensibilisation à la sécurité des entreprises françaises (cf ci dessous) fonctionne selon un questionnaire basé sur des thématiques. Les réponses sont classées selon trois niveaux d'évaluation. Pour l'étude réalisée avec Solucom pour le FIC 2016 nous avons obtenu des réponses assez proches de nos propres constats connus à partir de nos campagnes. Ainsi, comportement, sensibilité et connaissance se retrouvent dans toutes les réponses indépendamment du niveau de culture de l'entreprise en cybersécurité. Globalement les résultats de cette étude montrent que si le niveau de sensibilité est assez élevé il y a un travail important à mener sur les connaissances ce qui empêche aujourd’hui d’atteindre un bon niveau de comportements spécialement sur les mots de passe et sur l’ingénierie sociale.

 

Dernier point avant qu on se donne RdV dans dix ans :) , quelles sont les motivations des entreprises qui entreprennent des campagnes de sensibilisation de leurs équipes ?

C'est très varié : pour certains c'est offrir de la sensibilisation sur des points précis comme la conformité réglementaire, la fraude au Président. Pour d'autres comme le département de l'Aisne c'est transformer les collaborateurs en acteurs du changement..

 

Propos recueillis par @jpbichard

 

 

BONUS: 

Sensibilisation à la cybersécurité : où en sont les entreprises françaises ?

À l'occasion du FIC 2016, Solucom, cabinet de conseil spécialiste de la transformation des entreprises, et Conscio Technologies, spécialiste de la sensibilisation à la sécurité de l'information, révèlent les résultats de leur étude exclusive sur la sensibilisation à la cybersécurité dans les grandes entreprises françaises.

Fondée sur un panel de 28 000 personnes interrogées dans 12 entreprises majeures, cette étude met en lumière des points cruciaux sur lesquels les entreprises doivent agir aujourd'hui afin d'éviter d'être, une fois de plus, victimes de cyberattaques. Cette analyse complète, unique en France, a été réalisée avec la solution ISAM de Conscio Technologies, qui permet d'auditer le niveau de sensibilisation des salariés en matière de sécurité informatique.

46% des collaborateursneconnaissent pas les comportements à adopter face à l'ingénierie sociale

Premier enseignement, la fragilité des entreprises face à l'ingénierie sociale (faux emails de type phishing,escroqueries au président, appels téléphoniques frauduleux...) est clairement démontrée. 46% descollaborateurs ne connaissent pas les comportements à adopter face à ce type d'attaques. « L'ingénierie sociale est aujourd'hui le vecteur n°1 pour réaliser des fraudes ou s'introduire dans les réseaux d'entreprise. L'ensemble des collaborateurs doit connaître cette menace et surtout savoir comment se comporter, en particulier en alertant rapidement les responsables sécurité » détaille Gérôme Billois, senior manager cybersécurité chez Solucom. « La majorité des incidents ou pertes de données sont déclenchés par le facteur humain. Il est donc primordial de sensibiliser les salariés aux bonnes pratiques et d'envisager la sécurité dans son ensemble. » confirme Michel Gérard, directeur de Conscio Technologies.

Les bonnes pratiques de sécurité des mots de passe maitrisées par 47% des collaborateurs

Deuxième enseignement, les mots de passe restent un sujet complexe pour les collaborateurs des entreprises. 88% d'entre eux sont sensibilisés sur la nécessité d'avoir un mot de passe de bonne qualité (longueur, absence de mots existants...) mais seulement 47% adoptent les bonnes pratiques dans leurs activités quotidiennes. « Ce chiffre montre que malgré de bonnes intentions, seule la mise en place de mécanismes techniques pour forcer la qualité des mots de passe fera évoluer la situation » analyse Gérôme Billois.

La réglementation, un sujet connu uniquement par 63% des collaborateurs

Enfin, il apparaît que les collaborateurs des grandes entreprises sont très peu sensibilisés aux réglementations sur la protection des données à caractère personnel. Ce thème obtient globalement le plus faible des scores, avec 63% des répondants connaissant les règles de base sur la protection des données des clients ou des collaborateurs. « Ceci fait courir un risque juridique direct aux entreprises, d'autant plus que la réglementation va très prochainement se durcir avec le nouveau règlement européen sur les données à caractère personnel » détaille Gérôme Billois.

La sensibilisation des collaborateurs est un facteur clé de la cyberprotection des entreprises. Aujourd'hui, de nombreuses structures réalisent des actions dans ce domaine mais peu en évaluent réellement l'effet. « C'est pourtant cette évaluation qui permet de mesurer l'efficacité et d'orienter les prochaines actions vers les populations les plus à risque » ajoute Michel Gérard.

Etude menée par Solucomet Conscio Technologies en 2015sur un panel de 28 000 utilisateurs de la solution ISAM de 12 entreprises majeures en France. L'étude estdisponible auprèsde Solucom et ConscioTechnologieset sera distribuée lors du FIC2016 qui se tiendra à Lille les 25 et 26 janvier 2016.

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires