SENSIBILISEZ VOS COLLABORATEURS À LA SÉCURITÉ INFORMATIQUE

Kaspersky Lab France

SOMMAIRE

LES UTILISATEURS : LE MAILLON FAIBLE DE LA SÉCURITÉ DE

L’ENTREPRISE 3

SENSIBILISATION DES UTILISATEURS AUX CYBER-MENACES 15

LES UTILISATEURS : LE MAILLON FAIBLE DE LA SÉCURITÉ DE L’ENTREPRISE

PHISHING (HAMEÇONNAGE)

• Technique pour soutirer des informations

confidentielles : mots de passe, données

bancaires, etc.

• Vecteur de propagation : principalement par

mail, web, réseaux sociaux, etc.

• Prend l’apparence du site légitime : impôts,

FAI, banque, CAF, etc.

MACRO DANS LES EMAILS MALVEILLANTS

SCRIPT MALVEILLANT INTÉGRÉ EN TANT QU’OBJET

MALWARE SUR PÉRIPHÉRIQUES AMOVIBLES

• Infection d’un poste de travail puis copie du

malware sur le périphérique amovible détecté lors

du branchement

• Infection des autres machines via le mécanisme

d’exécution automatique “autorun”

• Kido (alias Conficker ou Downadup), Stuxnet, etc.

VULNÉRABILITÉS DANS LES APPLICATIONS TIERCES

• Les applications tierces sont rarement

maintenues à jour dans les Entreprises,

faute d’outils appropriés

• Les utilisateurs qui disposent des privilèges

étendus ne procèdent pas à ces mises à jour

d’applications faute de volonté ou par crainte

d’effectuer de mauvaises manipulations

SCAM (ARNAQUES)

• Alertes de changement / réinitialisation de

mot de passe

• Emails de confirmation de réservation de

vols ou d’hôtels

• Appels aux dons suite à une catastrophe

humanitaire

• Loteries, jeux d’argent

LES MOTS DE PASSE RÉUTILISÉS

• Réutilisation des mots de passe identique

pour le code PIN du smartphone, la CB, la

messagerie, les médias sociaux, etc.

• 63 % des personnes utilisent des mots de

passe faciles à deviner et 39% le même mot

de passe pour tous leurs comptes

• Piratage des comptes via :

• Vols des bases de données des sites

webs

• Attaques par dictionnaire sur des mots

de passe simples et usuels

MOBILITÉ ET DONNÉES CONFIDENTIELLES

• Connexion à des réseaux non sécurisés

depuis les périphériques mobiles : 34% des

utilisateurs de WiFi public ne prennent

aucune mesure spécifique pour se protéger

• Perte / vol d’appareils : près de 1/3 des

entreprises ont enregistré des cas de perte /

vol de mobiles d’employés

et

• ¼ d’entre elles savent qu’elles ont perdu des

données de ce fait

• Infection via des applications

« personnelles » qui engendrent des pertes

financières

WEB ET MÉDIAS SOCIAUX

• Diminution de la vigilance des utilisateurs

sur les médias sociaux augmente les risques

d’infection

• Accès depuis des médias variés :

ordinateurs (66%), smartphones (38%) et

tablettes (23%)

• Les réseaux sociaux sont les cibles des

attaques de phishing : Facebook (56%),

Twitter (8%), Pintereset (3%)

SÉCURISER LES RÉSEAUX D'ENTREPRISE : UNE TÂCHE DE PLUS EN PLUS DIFFICILE

Des terminaux de plus en plus

diversifiés

Utilisation des périphériques

personnels à des fins

professionnelles

Installation de correctifs pour

plusieurs applications sur

plusieurs appareils

WiFi non sécurisé

Augmentation de la mobilité

Évolution et multiplication des

programmes malveillants

Prévention des atteintes à la sécurité informatique et des données

PRENDRE DES MESURES POUR PROTÉGER VOTRE ENTREPRISE N'A JAMAIS ÉTÉ AUSSI VITAL

Créez une politique de sécurité robuste, concise et efficace

Mettez vos politiques en pratique rapidement et simplement

Sensibilisez vos employés aux cyber-menaces et offrez-leur les moyens d'agir

Éliminez toute situation pouvant laisser la place aux comportements à risque

Consacrez-vous plus à la sécurité qu'à la résolution des problèmes a posteriori

Anticipez les risques et instaurez des mesures préventives

Éducation

Mise en

application

Outils

Prévention des atteintes à la sécurité informatique et des données

SENSIBILISATION DES UTILISATEURS AUX CYBER-MENACES

Les posters

sont

insufissants

Trop long

Trop technique

Trop de méfiance (menaces

et liste des choses à ne pas

faire, sans conseils)

Les entreprises sont à la recherche d’approches

plus sophistiquées (par exemple, le

développement d’une culture d’entreprise) ce

qui nécessite des investissements permanents

dans la sensibilisation et la formation à la

sécurité (Gartner 2014)

Formations

ennuyantes et

frustrantes

Employés qui

ne collaborent

pas avec

l’équipe

sécurité IT

Les employés formés ne changent

pas de comportement

Seuls 22% pensent

pouvoir être la cible des

cybercriminels.

Pas de

motivation,

méconnaissance

POURQUOI ??

• 80% des incidents sont causés par les erreurs des employés

• Les employés formés peuvent réduire le taux d’incident de 90%

• La sensibilisation à la cyber-sécurité est un élément essentiel de la sécurité

• Vous investissez probablement déjà dans ce type de formation..

Mais..

LE

PR

OB

LÈ

ME

CU

LT

UR

E D

E L

A C

YB

ER

-SÉ

CU

RIT

É

Connaissance

Comportement Motivation

La plupart des formations de sensibilisation intègrent

uniquement le volet Connaissance, alors que ce n’est

pas ainsi que les gens fonctionnent

Notre approche (Culture de la Cyber-Sécurité) est :

- Influente

- Mesurable

À 3 niveaux – Connaissance, Comportement, Motivation.

Le Comportement est le point clé de

la sensibilisation, il est étroitement

lié avec la connaissance et la

motivation

Directeurs commerciaux Travail d’équipe avec le service sécurité IT

Prise de responsabilité pour la cyber-sécurité

Responsables

opérationnels

Créént un environnement cyber-sécurisé

Transmettent un comportement cyber-securisé

aux employés

Employés

Partagent des valeurs de cyber-sécurité

Agissent avec cyber-sécurité

Rapportent les incidents

Coopèrent avec l’équipe de sécurité informatique

Les attentes suite au “programme de sensibilisation”

La méthodologie “Culture de la Cyber-Sécurité Kaspersky Lab” repose sur les Programmes de

Sécurité Industriels utilisés par DuPont, BP, Shell, Siemens, et des millions d’entreprises.

SE

NS

IBIL

ISA

TIO

N

OK

=

CO

MP

OR

TE

ME

NT

AD

AP

TÉ

CY

BE

R S

AF

ET

Y C

ULT

UR

E P

OR

TF

OLIO

Connaissance Comportement Motivation

Cible Tous les employés Responsables

opérationnels

Responsables

Support √ Plate-forme de

formation en ligne

(modules de

formation)

√ CyberSafety

Games training

√ Kaspersky

Interactive

Protection

Simulation

Mesure √ Plate-forme de

formation en ligne

(CyberStrength

Assessment )

√ Plate-forme de

formation en ligne

(attaques simulées via

PhishGuru)

√ Evaluation de la

culture de la cyber-

sécurité

Skills training Platform CyberSafety

Games Cyber Safety

Culture Assessment Kaspersky Interactive Protection Simulation

VID

ÉO

: P

LA

TE

-FO

RM

E D

E F

OR

MA

TIO

N

Cliquez sur l’image pour accéder à la vidéo

Chaque employé se voit assigner de

multiples modules de formations interactifs

et courts, campagnes de simulation

d’attaques et d’évaluations au cours de

l’année, gérées et mesurées par l’équipe

de sécurité.

17 formations en ligne de ~15 min.

Plate-forme Cloud, avec rôles d’administration multiples

Anglais + autres

1.

PL

AT

E-F

OR

ME

DE

FO

RM

AT

ION

EN

LIG

NE

Modules de formation

en ligne

+

Simulation d’attaque de phishing

Evaluation des connaissances

individuelles

Analyses et rapports

FORMATION : REPÉRER DES URLS FRAUDULEUSES

Chaque formation intègre de l’apprentissage….

…avec des exercices pratiques

FORMATION : CRÉER UN MOT DE PASSE COMPLEXE

L’utilisateur bénéficie d’une

formation progressive de

connaissances basiques à

avancées.

Ici la création d’un mot de passe

complexe

FORMATION : SIMULATION D’ATTAQUE PAR PHISHING Type de mails

FORMATION : SIMULATION D’ATTAQUE PAR PHISHING

Redirection de l’utilisateur vers une page de sensibilisation et conseils

2.

CY

BE

RS

AF

ET

Y G

AM

ES

TR

AIN

ING

•Pourquoi je dois prêter attention à la sécurité ?

•De qui je dois me méfier ?

Changez les

croyances, Motivation

•Distringuer un comportement cyber-sécurisé et cyber- dangereux (compétences techniques et vigilance);

•Donner des exemples positifs de “Comment faire”, pas uniquement “A ne pas faire”;

Vigilance

•Encourage et forme les employés à coopérer avec l’équipe sécurité IT (la sécurité n’est pas l’antithèse de l’efficacité, surveillance du voisinage).

Sécurité-Efficacité gagnant-gagnant

10 domaines de sécurité - AV/Apps, Fuite

des données, Mobile, Web, Mail,

Comportement de victime, Ingénierie

sociale, Alertes de sécurité, Compétences

de vigilance, Violation de la politique,

Réseautage social

Lieux de travail typiques – Openspace,

Sur la route, Salle de conférence

1 jour sur site par un formateur Kaspersky Lab, 20-50 participants

Responsables opérationnels / Superviseur Les gens qui influencent le niveau de vigilance sur la cyber-

sécurité de leurs subordonnés dans leur travail quotidien

Ludification Mobiliser les gens dans une compétition, et apprendre par

l’exercice.

2. C

YB

ER

SA

FE

TY

GA

ME

S T

RA

ININ

G

• Objectifs : sensibiliser, éduquer

les utilisateurs aux risques et

évaluer leur niveau de

connaissance en matière de

sécurité

• Format : par équipe de 4/5 et

animé par un formateur

• Durée : 3 parties (mises en

situation) de 2 à 3 heures.

• Contenu : chaque partie

contient 12 situations pour

lesquelles l’équipe devra

évaluer le niveau de

dangerosité et la fréquence

• Score : cumul des points

(évaluation de la menace et

fréquence)

“LesVirus vont

détruire mon PC”

Méfiez vous des gens

suspects, pas de destruction

des ordinateurs

Pensez aux conséquences de vos actes dangereux

“Je suis une cible

trop petite”

Vous n’avez pas besoin d’être une

cible pour être une victime

Devenez une cible plus

compliquée que les autres

“Je n’ai pas de temps pour la

sécurité”

La sécurité permet d’être

efficace

Coopérez avec l’équipe Sécurité

1.Transformer

les doutes des

gens sur la

cyber-sécurité

2. En une

percéption

adéquate

3. Donner aux

gens des

modèles de

comportement

positifs MO

TIV

AT

ION

= M

OD

IFIE

R L

ES

C

RO

YA

NC

ES

3. É

VA

LU

AT

ION

DE

LA

CU

LT

UR

E L’évaluation de la culture de la cyber-sécurité analyse quotidiennement le

comportement et l’attitude concernant la cyber-sécurité de tous les niveaux

de la direction de l’entreprise, ce qui permet au CISO de comprendre les

deséquilibres et les zones sur lesquelles se concentrer

Les résultats de cette évaluation constituent la base d’une discussion sur

le rôle et la place de la cyber-sécurité pour supporter l’efficacité du

business avec les responsables de niveau CxO.

Sondage réalisé via une plate-forme Cloud. Prends ~15 mins par employé. Rapport consolidé

4.

INT

ER

AC

TIV

E P

RO

TE

CT

ION

S

IMU

LA

TIO

N

Pour les équipes informatiques,

Business et Sécurité – simulation

de stratégie pour les preneurs de

décision sur la cyber-sécurité.

Travail d’équipe pour la

construction de domaines croisés

de coopération

La concurrence favorise l’initiative

et l’analyse des compétences

La jouabilité aide à la

compréhension des mesures et de

la stratégie de cyber-sécurité

Les équipes s’affrontent en simulant la gestion

d’une entreprise et en gagnant de l’argent.

Lorsque l’entreprise subit une cyber-attaque ils

visualisent l’impact sur la production et les

revenus, et doivent adopter différentes

solutions et stratégies IT afin de minimiser

l’impact de l’attaque et gagner plus d’argent.

Amusant, prenant et rapide (2 heures)

Aucune compétence technique approfondie

nécessaire

Scénario basé sur une

installation d’appro. eau

Financial industry scenario

VID

ÉO

: K

AS

PE

RS

KY

IN

DU

ST

RIA

L

PR

OT

EC

TIO

N S

IMU

LA

TIO

N

Cliquez sur l’image pour accéder à la vidéo

TO

UT

ES

LE

S P

IÈC

ES

RÉ

UN

IES

CyberSafety Games

Formation face à face

Plate-forme de formation

Compétences

Evaluation des connaissances (2 semaines)

Simulation

phishing

(1

semaine)

Assignation des formations

Vos statistiques d’incident

Evaluation de la

Culture

Mesure (2 semaines)

Analyse Plan d’actions

Démarrez à partir des points faibles (domaine de la sécurité)

Organisation et lancement en 1 mois

Nous fournissons un guide des bonnes pratiques et du support technique

Evaluation des connaissances

Attaques simulées

Modules de

formation

interactifs

Matériels de

sensibilisation à la

cyber-sécurité

Rapports

détaillés,

suivi,

comparatifs

Continue dans l’année, cycle par cycle

Nous fournissons un guide des bonnes pratiques et du support technique

FO

RM

AT

ION

CO

NT

INU

E

MÉ

TH

OD

OLO

GIE

SE

NS

IBIL

ISA

TIO

N M

ES

UR

AB

LE

Connaissance, Comportement,

Motivation, Résultats

Statistiques des attaques

simulées

Evaluation des connaissances

Evaluation de la Culture

Statistiques sur les incidents

Mesurez vos progrès en

permanence

DÉ

LIV

RA

BLE

S

CyberSafety Games pour Responsables

Evaluation des connaissances à la cyber-sécurité

Plate-forme de formation des compétences pour tous les employés

Les bénéfices

- Diminue le nombre d’incidents jusqu’à 90%,

- Réduit le volume monétaire du cyber-risque 1) de 50-60%.

- Offre 37x2) le retour sur investissement du programme de

sensibilisation à la cyber-sécurité

- Traduit la cyber-sécurité d’un jargon informatique en langage business,

et permet d’impliquer les responsables commerciaux.

- Permet d’obtenir des résultats mesurables sur la sensibilisation à la

cyber-sécurité

1) Aberdeen Group research, 2014.

2) Ponemon Institute research, 2015

TY

PE

S D

E L

ICE

NC

ES

MERCI, QUESTIONS ? Kaspersky Lab France

2, rue Joseph Monier

92500 Rueil Malmaison

www.kaspersky.fr

Pour toutes questions sur les Cyber-Safety Games Kaspersky Lab de sensibilisation à la sécurité

informatique en Entreprise, contactez-nous : information-services@kaspersky.fr