Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Recommandations pour des programmes de sensibilisation à la sécurité réussis LI

Recommandations pour des programmes de sensibilisation à la sécurité réussis LIVRE BLANC Introduction La formation de sensibilisation à la sécurité, lorsqu'elle est correctement effectuée, améliore considérablement votre profil de sécurité, en permettant aux employés de rester vigilants face à la menace constante des escroqueries et autres attaques qui profitent de l'erreur humaine. Avec la pandémie de COVID-19, nos routines de travail ont été grandement perturbées et les activités de phishing se sont accélérées, ce qui a plus que jamais rendu nécessaire le besoin d'une formation efficace, responsable et pertinente. Mais il y a un problème. La formation ne fait pas partie des compétences de la plupart des administrateurs informatiques, et le niveau d'effort nécessaire à la mise en place d'un programme de formation, d'accréditations de conformité et de simulations de phishing peut être décourageant. Ce petit livre blanc fournit des recommandations sur la façon d'éviter les pièges du démarrage du parcours de formation à la sécurité de votre organisation, afin de vous aider à maximiser l'impact de vos efforts. 1. Obtenir l'adhésion des parties prenantes Vous disposez peut-être déjà d'un périmètre de sécurité qui inclut la protection des terminaux, le filtrage DNS ou Web et l'anti-spam, mais les principales tactiques utilisées pour trouver les failles de cybersécurité sont le phishing et l'ingénierie sociale.1 2 S'assurer que vos parties prenantes comprennent ces menaces est la première étape pour lancer puis exécuter avec succès un programme de sensibilisation à la sécurité. Adressez un e-mail présentant le programme à la direction. Décrivez l'importance d'éduquer les utilisateurs et de mesurer et d'atténuer votre risque d'exposition au phishing et à d'autres attaques d'ingénierie sociale. Partagez les détails de vos premières campagnes de phishing et de formation. Si possible, incluez dans la boucle votre support informatique local pour qu'il soit au courant du programme et du calendrier de formation. 2. Autoriser l'adresse IP du serveur de messagerie de Webroot Pour éviter les problèmes liés à la formation ou à la livraison simulée d'e-mails de phishing, vous devez configurer votre serveur de messagerie pour qu'il fasse confiance à l'adresse IP de Webroot pour les envois d'e-mails : 167.89.85.54. Consultez nos guides détaillés sur la façon de procéder pour Microsoft® Exchange, Microsoft® 365 et G Suite Gmail. 3. Importer des utilisateurs via Microsoft® Azure AD Pour simplifier l'inscription et la gestion continue des utilisateurs, Webroot fournit une intégration Microsoft Azure Active Directory (AD) basée sur SCIM. Cela permet à toute organisation abonnée à Microsoft 365 d'importer facilement des utilisateurs sans la configuration et les coûts imposés par d'autres modèles d'intégration Azure AD. L'intégration Webroot Azure AD : • Ne nécessite aucune modification de votre abonnement Azure AD • Ne nécessite aucun déploiement d'infrastructure ou d'agent sur site • Ne nécessite pas de services de provisioning dépendant de LDAP hébergés sur Azure • Est déployée plus rapidement avec des coûts d'intégration nettement inférieurs L'intégration d'Azure AD permet de maintenir les utilisateurs de la console Security Awareness Training synchronisés avec le locataire AD ; vous n'avez ainsi donc pas besoin de télécharger des fichiers CSV ou LDIF ou de créer manuellement des utilisateurs (bien que ces options soient disponibles, si vous en avez besoin ou si vous les préférez). Cela permet d'automatiser l'importation initiale des utilisateurs cibles, ainsi que l'ajout/la suppression futurs d'utilisateurs lorsque ceux-ci rejoignent ou quittent l'organisation. À partir du portail Microsoft Azure, vous pouvez choisir de synchroniser tous les utilisateurs ou uniquement les groupes AD spécifiés qui nécessitent une formation. Pour configurer cela, ouvrez la console de gestion Webroot. Accédez à Paramètres > Formation de sensibilisation à la sécurité et cliquez sur Configurer l'intégration d'Azure AD. Ensuite, vous pouvez obtenir le jeton secret et des instructions plus détaillées sur l'utilisation de Microsoft Azure AD. Remarque : Il est toujours possible d'importer des utilisateurs à partir d'Azure AD, d'un fichier LDIF Active Directory, d'un fichier CSV ou d'un formulaire Web. Les balises permettent de regrouper facilement les utilisateurs par emplacement, service ou catégorie pour vous aider à cibler vos campagnes. 4. Commencer par une campagne de phishing de base Lorsque vous lancez votre première campagne de phishing, vous établissez votre point de départ pour mesurer et démontrer l'amélioration au fil du temps. Idéalement, cette campagne initiale devrait être envoyée à tous les utilisateurs sans aucun type d'avertissement ou d'annonce formelle (sauf à toutes les parties prenantes qui ont approuvé le programme ; même si elles devraient également être testées). Utilisez l'option Lien rompu lors du choix d'une page d'accueil pour la campagne afin de ne pas alerter les utilisateurs qu'ils sont en cours de formation. Modèles de phishing recommandés : • Réinitialisation de compte • Nouvelle politique d'entreprise COVID : Politique de gestion des maladies transmissibles 5. Mettre en place une formation de base à la sécurité Créez des campagnes de formation pour couvrir des sujets essentiels en matière de cybersécurité, notamment le phishing, l'ingénierie sociale, les mots de passe, etc. La série Webroot Cybersecurity Essentials fournit un bon aperçu. Cours de formation recommandés : • Phishing - Comprendre le phishing • E-mail - Principes fondamentaux de la cybersécurité • Mots de passe - Principes fondamentaux de la cybersécurité • Travail à distance - Rester cyber-résilient en télétravail 6. Lancer une formation sur la conformité appropriée Créez des campagnes de formation avec des cours de conformité adaptés à votre organisation et aux employés qui en ont besoin. Cours de formation recommandés : • GDPR – Une ruse réglementée • CCPA - Tout sur le CCPA • HIPAA – Un accident évitable • PCI – Le PDG désintéressé 7. Établir des simulations de phishing mensuelles Mesurez le succès de votre programme et gardez un œil sur les utilisateurs à haut risque en exécutant régulièrement des simulations de phishing. Si vous ne pouvez pas exécuter de simulations de phishing mensuellement, essayez d'adopter une cadence trimestrielle. S'il vous est interdit d'envoyer des e-mails à tout le monde, donnez la priorité aux utilisateurs de test qui ont échoué au tour précédent. 8. Mettre en place une formation mensuelle Les programmes de sensibilisation à la sécurité sont plus efficaces lorsqu'ils sont exécutés de manière continue et soutenue sur le long terme, au lieu d'être considérés comme une exigence annuelle unique. Un engagement régulier avec les employés leur rappelle de rester vigilants. L'utilisation de nos modules plus courts de 4 à 5 minutes entre des formations plus approfondies est une tactique efficace pour garder la sécurité en tête tout en évitant la fatigue des utilisateurs. 3 © 2020 Open Text. Tous droits réservés. OpenText, Carbonite et Webroot sont des marques commerciales d'Open Text ou de ses filiales. Toutes les autres marques sont la propriété de leurs détenteurs respectifs. WP _ 092120 À propos de Webroot et de Carbonite Les sociétés Carbonite, Webroot et OpenText exploitent le cloud et l'intelligence artificielle pour fournir des solutions complètes de cyber-résilience aux entreprises, aux particuliers et aux fournisseurs de services gérés. La cyber-résilience signifie pouvoir rester opérationnel, même face aux cyberattaques et à la perte de données. C'est pourquoi nous avons uni nos forces pour fournir des solutions de protection des postes et des réseaux, de sensibilisation à la sécurité et de sauvegarde des données et de reprise après sinistre, ainsi que des services de renseignement sur les menaces utilisés par les principaux fournisseurs de technologies du marché dans le monde entier. Nous exploitons la puissance de l'apprentissage automatique pour protéger des millions d'entreprises et de particuliers, et sécuriser le monde connecté. Webroot et Carbonite opèrent en Amérique du Nord, en Europe, en Australie et en Asie. Découvrez la cyber résilience sur carbonite.com et webroot.com. Voici une liste de modules de formation recommandés à mettre en place sur une période de 18 mois : # Module de formation 1 Spear Phishing – Une erreur terminale 2 Phishing - Comprendre le phishing, version intégrale 3 Escroqueries caritatives – Cas caritatif 4 Travail à distance - Rester cyber-résilient en télétravail 5 Cybersécurité – Comprendre la cybersécurité 6 Sensibilisation à la violation – Introduction 7 Pièces jointes aux e-mails – Les escroqueries sont devenues virales 8 Logiciels malveillants - Comprendre les logiciels malveillants 9 Sécurité physique – Passons au physique 10 Sécurité physique - Principes fondamentaux de la cybersécurité 11 Ingénierie sociale 12 Mots de passe – Votre page est ma page 13 Mots de passe - Principes fondamentaux de la cybersécurité 14 Menaces internes - Le jeu de la honte 15 2FA – Factor Fakeout 16 E-mail - Principes fondamentaux de la cybersécurité 17 BEC - Vous n'appelez jamais 18 Sensibilisation à la violation – Préparation et réponse 9. Personnaliser la formation de rattrapage / sécurité supplémentaire Sur la base des simulations de phishing, identifiez les utilisateurs à haut risque qui sont les plus susceptibles de cliquer sur des liens de phishing et ciblez-les avec une formation corrective. Vous pouvez également choisir d'inclure des utilisateurs qui présentent un risque élevé de phishing/attaques ciblées en raison de leur rôle au sein de l'organisation. Cela peut inclure des employés de la comptabilité/finance, des ressources humaines, de l'informatique et du personnel de direction. uploads/Management/ webroot-recommendations-for-successful-security-awareness-wp.pdf