Combien d'entreprise et d'organisation sont victimes de rançongiciel et de vol de donnée sur une base hebdomadaire? Trop (et ça ne s'améliore pas dutout).
Des entreprises avec des pare-feu, des antivirus, des antipourriels... Parfois même des équipes de sécurité informatique!
Après plus de 20 ans en gestion TI en plus d'avoir passé les 3 dernières années à assister des dizaines de compagnies victimes de rançongiciel, je crois pouvoir dire avec assurance que le problème n'est pas dans le matériel ou les logiciels.
Je crois que le meilleur exemple pour expliquer le problème au coeur de l'échec des solutions de sécurité informatique est l'un de mes derniers dossiers de prévention en cybersécurité :
- Je rencontre un client après avoir effectué, un exercice d'envois de faux courriels d’hameçonnage/virus/extorsion.
- 30% des employés sont tombés dans le panneau et l'un d'entre eux avait, à lui seul, plus d'échecs que toutes les autres "victimes" réunies. Il s’agissait du CFO (Directeur Financier).
- Nous avons formé les équipes et fourni des jeux-questionnaires en ligne à tous, ce qui a permis de créer dans l'entreprise, les réflexes nécessaire pour bien réagir à un courriel douteux. Seul le CFO semblait ne pas arriver à changer ses habitudes.
- Lors des 3 exercices effectués par la suite, le CFO maintenait un score de plus de 75% d'échec.
- Lorsque nous l'avons rencontré à ce sujet avec la haute direction, il nous a expliqué (en gros) que l'entreprise payait déjà assez pour toute leurs solutions de sécurité et donc, que c'était la responsabilité des TI de s'assurer que ça fonctionne correctement. Et comme le CFO était la seule personne dans l'entreprise à autoriser les "dépenses" informatiques...
La sécurité informatique est bien souvent le problème de l'autre.
Participer activement à votre sécurité informatique, c'est exactement la même chose que de verrouiller la porte de sa maison, même si vous avez des assurances, un système d'alarme et un poste de police dans le cartier, vérouiller la porte de votre domicile reste votre responsabilité.
Commencez par effectuer des envois de faux courriels (il existe des solutions qui débutent à quelques dollars par personne PAR ANNÉE!) ce qui vous procurera des rapports vous permettant de comprendre vos véritables besoins (Vous risquez d'être TRÈS surpris de savoir à quel point les gens ouvrent des attachements et clique sur des liens) et ainsi, pouvoir développer de saines habitudes de gestion des courriels à travers toute l'entreprise.
L'avantage de ce genre d'exercice c'est qu'il conjugue prévention évolutive et formation personnalisée. La solution (comme le problème) ne vient pas de l'outil, mais bien de l'humain.
Informez-vous avec le responsable de la sécurité de votre département informatique ou avec votre MSP.
Au plaisir!