Traitez vos exercices de cybersécurité comme des exercices d'incendie

Lorsque l'avertisseur de fumée se déclenche, la plupart des employés savent exactement où aller et comment agir — après tout, ils ont pratiqué ce scénario à de nombreuses reprises.

Mais dans le cas de failles de réseau, les gens ont tendance à paniquer ou à ignorer complètement le problème parce qu'ils n'ont jamais suivi de formation formelle. C'est pourquoi les entreprises doivent éduquer leurs employés en organisant des exercices de cybersécurité.

La cybercriminalité est en hausse

Les taux de piratage ont explosé en 2020 et n'ont cessé d'augmenter depuis. Rien qu'en 2020, le FBI a rapporté 4,2 milliards de dollars du total des pertes corporatives et personnelles dues à la cybercriminalité. Cela équivaut à 700 millions de dollars de plus volés que l'année précédente.

Aujourd'hui, plus de personnes travaillent à domicile que jamais - beaucoup d'entre elles utilisent des mesures de sécurité faibles - et plus de personnes sont en ligne en général.

Cela ouvre la porte aux acteurs de la menace pour qu'ils utilisent des attaques de phishing, l'ingénierie sociale et d'autres stratégies malveillantes pour exploiter les gens. Les pirates peut accéder à des systèmes informatiques au niveau du réseau, du terminal, de l'application ou du serveur.

Il ne s'agit pas de savoir si une cyberattaque se produira, mais quand. En 2021, 14 des 16 secteurs d'infrastructures critiques a été victime d'attaques de rançongiciels. Les pirates ciblant l'infrastructure peuvent tout perturber, des systèmes CVC individuels à la chaîne d'approvisionnement alimentaire de tout le pays.

Une sécurité réseau solide est primordiale pour les organisations qui traitent des données personnelles ou financières.

En éduquant leurs employés sur la protection des bases de données sensibles, les entreprises peuvent mieux se préparer à gérer une faille de sécurité et l'empêcher de subir des dommages importants.

Comment exécuter des exercices de cybersécurité

Voici quelques exercices pour aborder différents scénarios impliquant des failles de sécurité. Certains d'entre eux fonctionnent mieux s'ils sont planifiés, car les employés auront besoin de beaucoup de temps pour y travailler et ils perturberont les fonctions normales du bureau. D'autres doivent être spontanés pour prendre les gens au dépourvu.

Les employés peuvent se diviser en deux équipes, l'une jouant les pirates et l'autre essayant de réparer ou d'empêcher la faille de sécurité.

Après avoir terminé les exercices, les employeurs doivent organiser une session de formation pour mettre tout le monde au courant des bonnes pratiques de cybersécurité. Ils devraient discuter de ce que les employés ont bien fait et de ce qu'ils auraient pu faire différemment.

1. Attaque par déni de service (DoS)

Cet exercice cible plus particulièrement le service informatique. Un exercice DoS peut simuler une attaque sur un site Web, un réseau ou un hôte sans causer de dommages au système ni de perte de données.

Il reproduit les conditions qui se produiraient lors d'une attaque DoS réelle - des systèmes insupportablement lents ou inaccessibles qui altèrent massivement les performances.

L'équipe informatique doit remarquer et réagir rapidement à l'exercice. Les employeurs peuvent surveiller la rapidité avec laquelle ils résolvent la situation et fournir des outils utiles pour les scénarios futurs.

2. Intrusion physique

L'équipe de hackers dispose de clés USB qui téléchargent un faux code malveillant lorsqu'elles sont insérées dans un ordinateur. Lorsqu'un membre de l'ordinateur de l'autre équipe est laissé sans surveillance, les pirates doivent faire de leur mieux pour télécharger le logiciel dessus.

Cela ne fonctionnera que si l'ordinateur est laissé déverrouillé pendant que l'utilisateur est absent, il teste donc la façon dont les gens protègent leurs postes de travail.

3. Exercices sur table

Cet exercice est simple. Les employés se réunissent autour d'une table et effectuent simplement des exercices de sécurité sur papier, expliquant ce qu'ils pensent devoir faire lors d'une cyberattaque.

Ensuite, leur responsable et le service informatique peuvent présenter les meilleurs protocoles et qui contacter en cas d'attaque. Les exercices sur table prennent très peu de temps et ne perturbent pas les services en ligne.

4. Ajout d'un appareil non autorisé

L'équipe de piratage apportera un appareil externe - tel qu'un ordinateur ou une tablette - et l'ajoutera au réseau. Le service informatique doit rapidement remarquer l'appareil non autorisé et s'efforcer de le supprimer. Ils doivent également essayer de localiser l'appareil physique et de le débrancher.

L'appareil non autorisé représente un ordinateur malveillant introduit discrètement à l'intérieur du bâtiment, ce qui pourrait menacer la sécurité.

5. Exercices d'hameçonnage

Une attaque de phishing consiste à envoyer à quelqu'un un lien malveillant. Lorsque la personne sans méfiance clique sur le lien - qui semble généralement inoffensif ou semble provenir de quelqu'un qu'elle connaît - son ordinateur peut être infecté.

Ou, le lien mène à une page d'apparence légitime demandant les informations de la personne, que le pirate peut ensuite voler.

Un exercice de cybersécurité pourrait impliquer d'envoyer au personnel un e-mail contenant un lien, puis de voir combien d'entre eux cliquent dessus ou, pire encore, saisissent leurs informations sur la page de destination. Le lien alertera l'équipe de test lorsque quelqu'un l'ouvrira.

6. Exercices de harponnage

Il s'agit d'une forme d'hameçonnage ciblé. L'équipe de piratage doit adapter ses messages pour tromper des personnes spécifiques, par exemple en se faisant passer pour le responsable de quelqu'un et en utilisant le nom et les informations personnelles de l'employé dans l'e-mail.

Comme pour l'exercice de phishing générique, l'équipe de test saura qui a cliqué sur le lien et s'il a saisi ses informations d'identification sur le formulaire.

Cet exercice de cybersécurité fonctionne mieux si les destinataires ne le savent pas. De toute évidence, un e-mail arrivant à une heure prévue ne trompera probablement personne.

Bonnes pratiques de sécurité

En plus d'effectuer des exercices de cybersécurité, les entreprises doivent utiliser les stratégies suivantes pour minimiser leurs risques d'être piratés :

• Sauvegardez fréquemment les données et conservez des copies hors ligne des sauvegardes.
• Utilisez des mots de passe uniques et difficiles à deviner pour chaque compte.
• Changez fréquemment les mots de passe.
• Auditer régulièrement les comptes administratifs.
• Utilisez un gestionnaire de mots de passe pour générer des mots de passe chiffrés composés d'un mélange de lettres, de chiffres, de symboles et de lettres majuscules et minuscules.
• Activez l'authentification à deux facteurs.
• Désactivez l'accès à distance et les ports RDP inutilisés.
• Désactivez les hyperliens des adresses e-mail extérieures à l'organisation et ajoutez une bannière aux expéditeurs inconnus.
• Utilisez la segmentation du réseau.
• Utilisez des réseaux sécurisés plutôt que le Wi-Fi public.
• Installez un logiciel antivirus sur tous les appareils et maintenez-le à jour.
• Mettre en place un modèle de sécurité zéro confiance avec un principe de moindre privilège.

Ces méthodes ne sont pas infaillibles, mais prises ensemble, elles représentent un formidable défi pour les acteurs de la menace.

Prévenir les cyberattaques

La prévention des violations de données n'est pas seulement le travail du service informatique - tout le monde doit être sur ses gardes.

En mettant en œuvre des méthodes de cybersécurité robustes et en utilisant des exercices pratiques, les entreprises peuvent mieux se préparer au cas où un cybercriminel tenterait de monter une attaque, et les employés se sentiront plus confiants dans leurs compétences informatiques.