Apprenez comment éduquer au mieux votre entreprise sur les menaces de sécurité de cybersécurité émergentes comme les courriels de phishing et le spam de calendrier.
La nouvelle menace de sécurité est là — et elle est dans nos calendriers. Les spammeurs envoient des invitations Google Calendar contenant des liens, contournant les boîtes de réception et profitant des paramètres de calendrier par défaut qui permettent aux invitations de s'afficher automatiquement, que celles-ci aient été acceptées ou non. Nous avons discuté avec notre responsable des risques et de la conformité, Wes Andrues, sur la meilleure façon d'éduquer votre entreprise sur les menaces de sécurité émergentes liées à l'ingénierie sociale (comme le phishing ou le spam de calendrier), et comment une connaissance généralisée peut aider à maintenir votre sécurité technologique interne.
Tout d'abord, un peu sur Wes avant d'explorer ses conseils : son parcours comprend un service au sein du Département de la Défense et des Commandements Cybers de l'Armée au Pentagone, suivi de la direction du département des risques et de la conformité chez Dell SecureWorks. Inutile de dire qu'il sait de quoi il parle.
Le phishing n'est PAS du hacking — c'est pire
Alors que Hollywood aimerait nous faire croire que le "hacking" implique un gars tapant frénétiquement des commandes dans le terminal, ce type de vulnérabilité a été en grande partie (bien que pas entièrement) découragé grâce aux programmes de "récompense de bogues". Wes l'explique de cette manière : "Les programmes de récompense de bogues permettent aux entreprises de dire : ‘Nous vous paierons si vous trouvez quelque chose qui ne va pas avec notre appli. Ne tentez pas de nous hacker ; dites-le nous et nous vous paierons.'"
"L'ingénierie sociale contourne cette tentative de hacking traditionnel et passe directement par les humains ayant accès aux données — et cela s'est avéré beaucoup plus efficace."
Certaines sont des courriels de mauvaise qualité, mais beaucoup sont assez convaincants, jouant sur nos peurs existantes d'exposition afin de... nous exposer ! Il suffit qu'une seule personne panique pour que l'ingénierie sociale impacte toute une entreprise.
Le cas classique d'une personne sage trompée par l'ingénierie sociale ? John Podesta. Il y a deux ans. Le DNC. "Il a cliqué sur le lien pour changer de mot de passe entendu dans le monde entier," dit Wes. "C'est un avocat diplômé de Georgetown qui est tombé dans le piège, donc vous pouvez voir pourquoi l'ingénierie sociale offre beaucoup plus d'opportunités que le hacking."
Comment lutter efficacement contre les menaces de sécurité
Si les attaques d'ingénierie sociale sont conçues pour nous convaincre que nous sommes déjà exposés, comment pouvez-vous, en tant qu'entreprise, éduquer vos employés à lutter contre l'envie naturelle de paniquer ? Ici, Wes est sans équivoque :
"Vous devez changer la culture."
"Chez Guru, nous partageons généralement les tentatives d'e-mail de phishing les plus drôles que nous voyons — et elles viennent généralement de Rick [le PDG de Guru], qui semble avoir un besoin constant de nos numéros de téléphone portable. C'est drôle, mais ce n'est pas que cela. Et si l'un de nos CSM tombait dans le piège et donnait un numéro de portable ou une adresse e-mail qui serait ensuite utilisée pour atteindre nos clients ? Ce serait un gros problème. Heureusement, car nous surface ces menaces régulièrement, nous sommes en mesure d'en parler et de nous éduquer mutuellement sur les nouvelles tactiques, ce qui nous rend beaucoup plus susceptibles de les repérer."
Les entreprises peuvent même essayer des exercices de phishing qui permettent à leur propre équipe des risques et de la conformité d'envoyer de faux courriels de phishing pour voir qui, dans l'entreprise, est susceptible de tomber dans une réelle attaque, mais cela risque d'éroder la confiance dans l'équipe. Au lieu de cela, ici chez Guru, Wes a veillé à ce que tout le monde dans l'entreprise suive le Quiz de phishing de Google Jigsaw à des fins de formation.
Comment ne pas lutter contre les menaces de sécurité
"Pour une raison quelconque, dans de nombreux cas, la norme d'or dans l'industrie est de 'former' la main-d'œuvre annuellement sur la sécurité d'une manière passive. Tout le monde regarde une vidéo ou reçoit une lettre d'email sur les risques de répondre aux courriels de phishing, et ensuite, l'équipe de sécurité peut dire : ‘Regardez, tout le monde a regardé ou lu ceci, donc tout le monde passe à autre chose.'"
Ce type de formation passive n'enseigne pas nécessairement à quiconque comment répondre à une attaque ou comment identifier activement ces menaces, surtout que les tactiques évoluent tout au long de l'année. Votre équipe des risques et de la conformité doit maintenir ce dialogue ouvert avec la base d'employés plus large et s'assurer que c'est une conversation continue.
La défense la plus forte contre le phishing
"En fin de compte, la défense la plus forte contre le phishing est une méfiance saine," explique Wes. Dans un monde idéal, ce genre de menaces n'existerait pas, mais puisqu'elles existent, maintenir une quantité raisonnable de scepticisme vis-à-vis des outils dont nous dépendons est la seule manière de rester réellement vigilant.
La nouvelle menace de sécurité est là — et elle est dans nos calendriers. Les spammeurs envoient des invitations Google Calendar contenant des liens, contournant les boîtes de réception et profitant des paramètres de calendrier par défaut qui permettent aux invitations de s'afficher automatiquement, que celles-ci aient été acceptées ou non. Nous avons discuté avec notre responsable des risques et de la conformité, Wes Andrues, sur la meilleure façon d'éduquer votre entreprise sur les menaces de sécurité émergentes liées à l'ingénierie sociale (comme le phishing ou le spam de calendrier), et comment une connaissance généralisée peut aider à maintenir votre sécurité technologique interne.
Tout d'abord, un peu sur Wes avant d'explorer ses conseils : son parcours comprend un service au sein du Département de la Défense et des Commandements Cybers de l'Armée au Pentagone, suivi de la direction du département des risques et de la conformité chez Dell SecureWorks. Inutile de dire qu'il sait de quoi il parle.
Le phishing n'est PAS du hacking — c'est pire
Alors que Hollywood aimerait nous faire croire que le "hacking" implique un gars tapant frénétiquement des commandes dans le terminal, ce type de vulnérabilité a été en grande partie (bien que pas entièrement) découragé grâce aux programmes de "récompense de bogues". Wes l'explique de cette manière : "Les programmes de récompense de bogues permettent aux entreprises de dire : ‘Nous vous paierons si vous trouvez quelque chose qui ne va pas avec notre appli. Ne tentez pas de nous hacker ; dites-le nous et nous vous paierons.'"
"L'ingénierie sociale contourne cette tentative de hacking traditionnel et passe directement par les humains ayant accès aux données — et cela s'est avéré beaucoup plus efficace."
Certaines sont des courriels de mauvaise qualité, mais beaucoup sont assez convaincants, jouant sur nos peurs existantes d'exposition afin de... nous exposer ! Il suffit qu'une seule personne panique pour que l'ingénierie sociale impacte toute une entreprise.
Le cas classique d'une personne sage trompée par l'ingénierie sociale ? John Podesta. Il y a deux ans. Le DNC. "Il a cliqué sur le lien pour changer de mot de passe entendu dans le monde entier," dit Wes. "C'est un avocat diplômé de Georgetown qui est tombé dans le piège, donc vous pouvez voir pourquoi l'ingénierie sociale offre beaucoup plus d'opportunités que le hacking."
Comment lutter efficacement contre les menaces de sécurité
Si les attaques d'ingénierie sociale sont conçues pour nous convaincre que nous sommes déjà exposés, comment pouvez-vous, en tant qu'entreprise, éduquer vos employés à lutter contre l'envie naturelle de paniquer ? Ici, Wes est sans équivoque :
"Vous devez changer la culture."
"Chez Guru, nous partageons généralement les tentatives d'e-mail de phishing les plus drôles que nous voyons — et elles viennent généralement de Rick [le PDG de Guru], qui semble avoir un besoin constant de nos numéros de téléphone portable. C'est drôle, mais ce n'est pas que cela. Et si l'un de nos CSM tombait dans le piège et donnait un numéro de portable ou une adresse e-mail qui serait ensuite utilisée pour atteindre nos clients ? Ce serait un gros problème. Heureusement, car nous surface ces menaces régulièrement, nous sommes en mesure d'en parler et de nous éduquer mutuellement sur les nouvelles tactiques, ce qui nous rend beaucoup plus susceptibles de les repérer."
Les entreprises peuvent même essayer des exercices de phishing qui permettent à leur propre équipe des risques et de la conformité d'envoyer de faux courriels de phishing pour voir qui, dans l'entreprise, est susceptible de tomber dans une réelle attaque, mais cela risque d'éroder la confiance dans l'équipe. Au lieu de cela, ici chez Guru, Wes a veillé à ce que tout le monde dans l'entreprise suive le Quiz de phishing de Google Jigsaw à des fins de formation.
Comment ne pas lutter contre les menaces de sécurité
"Pour une raison quelconque, dans de nombreux cas, la norme d'or dans l'industrie est de 'former' la main-d'œuvre annuellement sur la sécurité d'une manière passive. Tout le monde regarde une vidéo ou reçoit une lettre d'email sur les risques de répondre aux courriels de phishing, et ensuite, l'équipe de sécurité peut dire : ‘Regardez, tout le monde a regardé ou lu ceci, donc tout le monde passe à autre chose.'"
Ce type de formation passive n'enseigne pas nécessairement à quiconque comment répondre à une attaque ou comment identifier activement ces menaces, surtout que les tactiques évoluent tout au long de l'année. Votre équipe des risques et de la conformité doit maintenir ce dialogue ouvert avec la base d'employés plus large et s'assurer que c'est une conversation continue.
La défense la plus forte contre le phishing
"En fin de compte, la défense la plus forte contre le phishing est une méfiance saine," explique Wes. Dans un monde idéal, ce genre de menaces n'existerait pas, mais puisqu'elles existent, maintenir une quantité raisonnable de scepticisme vis-à-vis des outils dont nous dépendons est la seule manière de rester réellement vigilant.
