Aperçu
J.S. Held publie ses perspectives sur les risques et les opportunités qui devraient avoir un impact sur les organisations en 2025
En savoir plusDans la première partie de cette mini-série, nous avons établi que le fait de montrer aux utilisateurs quotidien comment sécuriser les données n'est peut-être pas aussi important que mettre l'accent sur pourquoi la sécurité des données est importante. Ce « pourquoi » aide les utilsateurs quotidiens à évaluer et à intégrer les besoins en matière de cyber-hygiène en démontrant leur intérêt personnel, pouvant ainsi améliorer l'adhésion. Maintenant, clôturons cette série avec deux enjeux pertinents en 2023.
Les facteurs externes en constante évolution, dont la pandémie, ont imposé un changement dans les habitudes de travail : Les espaces de travail à distance, et par la suite hybrides, sont devenus la norme et devraienr durer. Pami les plus chanceux qui ont pu continuer de travailler pendant les confinements, nombreux sont ceux à avoir transformé une pièce de leur maison, une table ou un canapé en bureau.
Les avancées technologiques, comme les appareils mobiles et les connexions Internet à haute vitesse à domicile, ont permis à un grand nombre d'industries de service de fonctionner. Mais, les avantages et les gains d'efficacité vont de pair avec des risques potentiels : dans notre cas, la possible érosion du périmètre de sécurité. Ceci peut avoir des impacts financiers et opérationnels jamais rencontrés dans un environnement uniquement professionnel.
D'un point de vue financier, les coûts résultent des outils de sécurité (par ex. : contrôle, connexions VPN, appareils). Dans le future, les dirigeants financiers et ceux de la sécurité de l'information devront gérer les dépenses professionnelles et déterminer quelles solutions répondent le mieux aux demandes profesionnelles afin d'assurer le bon retour sur invetissement.
Dans le cas des utilisateurs quotidiens, les impacts opérationnels sont le résultat des changements dans les habitudes de travail. Un environnement de travail professionnel dispose de contrôles de sécurité inhérents, que l'on ne retrouve pas dans un bureau à domicile, ni même dans un espace de travail hybride (par ex. : l'aménagement des bureaux façon « hoteling » peut permettre de réduire les charges du foncier, mais cela s'accompagne de risques imprévus ou cachés en matière de sécurité). Mais alors, comment minimiser ces risques ?
Avoir son bureau à domicile offre une sensation de confort, mais le confort peut entraîner des comportements laxistes. « De toute façon, qui pourrait entrer chez moi pour consulter mes dossiers numériques, non ? »
Et bien, des acteurs malveillants suivraient même des miettes de pain, si ces miettes sont attractives. Et un espace de travail à distance est une piste attractive du fait des potentielles zones tendres à exploiter, telles que :
Alors que de nombreux enjeux seront maintenus grâce aux programmes d'entreprise, comme la gestion des appareils et les contrôles d'identité, des contrôles et des soutiens supplémentaires peuvent être ajoutés.
Il existe quelques bonnes pratiques afin d'atténuer les risques associés aux employés travaillant à distance et de façon hybride, dont :
Comme précisé dans la Partie 1 de cette série, créer un environnement sûr n'est pas qu'une question de technologie ; créer un environnement sûr requiert également un intérêt personnel ainsi qu'une responsabilité personnelle. Par conséquent, relier ces efforts de contrôle et de soutien à la question du « pourquoi » la sécurité des données est un enjeux important permet de motiver les utilisateurs quotidiens à s'investir personnellement.
Dans cette optique, terminons avec quelques solutions pour aider les utilisateurs quotidiens à prévenir les attaques traditionnelles et nouvelles.
Quelles que soient les raisons, les gens ont des attitudes différentes envers la confidentialité numérique. Mais, en mettant en place une aide au niveau origanisationnel, il est possible d'obtenir une certaine cohérence en matière de comportement. Les responsables de la gestion du risque et de la sécurité de l'information doivent être conscients que la valorisation d'une culture de la confidentialité peut mener à un environnement opérationnel profesionnel plus sécurisé.
Gardez à l'esprit qu'avec moins de sauvegardes réalisées au bureau, chaque utilisateur augmente la surface d'attaque. Même les contrôles informels, comme le fait de passer voir un collègue à son bureau, n'ont plus lieu, ce qui impacte la façon dont nous traitons les informations sans importance et les informations sensibles. Par exemple : Les discussions devant la fontaine à eau ont été remplacées par des messages instantanés de groupe. Mais, si les premières sont généralement oubliées avec le temps, Internet quant à lui n'oublie rien.
Ces changements sont des ouvertures pour les attaques par ingénierie sociale. En perdant ces temps de « face-à-face » les utilisateurs quotidiens sont plus susceptibles d'être manipulés, et même si ces astuces peuvent sembler basiques, elles n'en restent pas moins précieuses :
À première vue, ces stratégies pourraient ne pas sembler être des solutions manifestes en matière de cybersécurité. Pourtant, c'est bien ce qu'elles sont, à cause de l'importance accordée aux portions négligées (en gras) du trio suivant : personnes, processus et technologie. Tous trois doivent travailler main dans la main pour mettre en place une cyber-hygiène efficace. Ces éléments mis en avant nécessitent une attention toute particulière. En effet, traditionnellement, la cybersécurité s'est concentrée sur la technologie, laissant souvent de côté les personnes et les processus.
Pour conclure, nous utiliserons une référence sportive pour démontrer à quel point des avantages, aussi petits et progressifs soient-ils, peuvent être énomément bénéfiques : si à chaque actions vous déplacez la balle de quelques mètres, alors chaque possession entraîne un touchdown. Voici comment rester en tête dans la bataille pour la cybersécurité.
Nous tenons à remercier nos collègues George Platsis et Ron J. Yearwood, Jr, CISSP, CISM, CIPM, pour leurs éclairages et leur expertise qui ont grandement contribué à cette recherche.
George Platsis est directeur principal au sein du service de recherche et découverte numériques du cabinet d'enquêtes internationales de J.S. Held. M. Platsis est un professionnel des affaires, auteur, éducateur et conférencier. Il possède une expérience entrepreneuriale et éducative de plus de 20 ans. Il a conçu et fourni des solutions et dirigé des équipes pour améliorer la préparation aux violations, les programmes de réponse aux incidents à l'échelle de l'entreprise et des unités commerciales et le renforcement du patrimoine pour une série de clients Fortune 100 dans les secteurs de la santé, des médias et des services financiers, de l’industrie, de la défense et de l'électronique commerciale, y compris l'assistance aux clients des petites et moyennes entreprises. De plus, il apporte une expérience complexe en matière d'enquête et de gestion des urgences aux entreprises et aux particuliers qui cherchent à réduire leur exposition aux risques. George est responsable de la sécurité informatique certifié.
George peut être contacté à l'adresse [e-mail protégé] ou au +1 321 346 6441.
Cet article en deux parties se concentre sur ce que les utilisateurs quotidiens peuvent faire pour mieux protéger les données, avec le soutien de la direction et d'un programme de sécurité des données bien conçu et bien entretenu.
L'écosystème de la sécurité moderne est multiple et en constante évolution, un espace où le risque en cybersécurité est une priorité pour les dirigeants à tous les niveaux, alors que les menaces pour la sécurité et la confidentialité des informations et des données suivent le rythme…
Cet article passe en revue les risques inhérents qui pèsent sur la protection des données électroniques des clients et les plateformes basées dans le cloud résultant du travail à distance. Il explique également pourquoi il est important pour les utilisateurs...