Guide rapide pour la mise en place d’un programme de sensibilisation à la cybersécurité

(Version. 1.1.12) Améliorer le niveau de votre personnel en matière de sécurité : un guide des meilleures pratiques pour un programme de sensibilisation réussi. Le guide SAPF de LUCY vous aidera dans la mise en œuvre de l’avant-projet au sein de votre entreprise.

Table des matières:

  1. Définir le périmètre, planifier, exécuter, évoluer – Aperçu des différentes phases du SAPF
  2. Aller plus loin – Cadre pour le contenu des tests et des formations
  3. Petit ou grand projet?
  4. Exécuter seulement une simulation d’hameçonnage?
  5. Besoin d’un conseil?

La sécurité de l’entreprise ne peut être garantie sans systèmes et matériels de sécurité informatique. Les systèmes ne cessant de s’améliorer, Il n’est pas surprenant que 97 % des cyberattaques portent sur le facteur humain et non sur le matériel. Et 91 % des attaques réussies ont commencé par une attaque dite d’hameçonnage. C’est pourquoi la prise de conscience des employés et les programmes de sensibilisation à la sécurité informatique prennent de plus en plus d’importance.

La mise en place de programmes de sensibilisation à la sécurité exige parfois de penser comme un pirate informatique. Avec son programme-cadre de sensibilisation à la cybersécurité (SAPF – Security Awareness Programme Framework), LUCY propose des lignes directrices modulaires pour la mise en place d’initiatives exhaustives de sensibilisation à la cybercriminalité. Le guide SAPF permet une mise en œuvre efficace d’un pré-projet visant à la mise en place d’un programme de sensibilisation.

Ses étapes de mise en œuvre telles que «Définition du périmètre», «Planification», «Exécution» et «Évolution» permettent de couvrir tous les niveaux de l’organisation: normatif, stratégique et opérationnel. Cela garantit l’efficacité des mesures préventives dans le domaine de la cybersécurité de manière effective et durable.

Leitfaden zum Aufbau eines kompletten Sensibiliserungsprogrammes für Security Awareness auf allen Ebenen

La définition du périmètre consiste à comprendre le contexte de l’entreprise et à prendre des décisions stratégiques, à définir les points d’ancrage au niveau global et à dresser une base de référence initiale pour la campagne d’hameçonnage et de formation visant à déterminer où se situe l’entreprise. Il en ressort une politique de sensibilisation à la sécurité, une stratégie de sensibilisation à la sécurité (plan quinquennal) et les résultats de la campagne de base.

La planification consiste à créer un plan directeur pour la sensibilisation à la sécurité. Ce qui doit être testé, ce qui nécessite une formation et dans quel ordre. Déterminer quelles simulations d’hameçonnage seront utilisées, quels contenus de formation doivent impérativement être traités et quels sont les thèmes généraux de sécurité informatique à aborder en formation. Les résultats consistent en une analyse des filtres de la messagerie électronique et du web (Quelles sont les informations transmises?), un plan détaillé pour le contenu des tests et de la formation, un plan de campagne et une infrastructure de formation à la sensibilisation mise en place.

La phase EXÉCUTER se réfère essentiellement à une campagne individuelle. Quels sont les éléments à prendre en compte lors de la préparation d’une simple campagne de sensibilisation en fonction de vos scénarios d’attaque et de votre formation? Finalement, la phase ÉVOLUER veille à ce que le programme de sensibilisation des employés conserve son efficacité sur le personnel, qu’il se perfectionne et qu’il permette d’acquérir de nouvelles connaissances.

La documentation du plan-cadre comprend une description des processus individuels nécessaires à l’élaboration d’un programme de prise de conscience/sensibilisation à la cybernétique. La documentation est fournie gratuitement par LUCY Security. Veuillez nous contacter au moyen du formulaire suivant si vous souhaitez obtenir un manuel détaillé.

Définir le périmètre, Planifier, Exécuter, Evoluer - Aperçu des phases du SAPF

Veuillez noter que les phases se chevauchent. Il ne s’agit pas d’un modèle en cascade.

Processes of a cyber-protection roadmap for employee awareness in the insurance industry

Définition du périmètre du programme de sensibilisation

Niveau:Stratégique – Normatif
Objectif:Pourquoi et Quoi
Résultat:Stratégie de sensibilisation à la sécurité, Politique de sensibilisation à la sécurité, Campagne de référence
  • Comprenez le cadre de la politique de sécurité existant dans votre entreprise. Cela permet de déterminer vos besoins en matière de tests, d’évaluation et de formation.
  • Comprenez votre liste actuelle de cyber-risques. Vous devez former votre personnel en fonction des vecteurs d’attaque.
  • Comprenez les antécédents en matière de formation à la sécurité. Vous devez savoir où vous voulez commencer avec la formation standard.
  • Comprenez les implications en matière de confidentialité des données. Gardez à l’esprit que vous recueillez des données personnelles.
  • Comprenez votre infrastructure technique et vos systèmes. La connaissance des composants techniques est importante. Vous ne pouvez jamais planifier un programme contre l’hameçonnage avec succès tant que vous ne connaissez pas et ne comprenez pas toutes les informations techniques impliquées. Par exemple, cela n’a aucun sens d’exécuter une simulation d’hameçonnage basée sur Dropbox si l’accès à Dropbox est refusé par vos systèmes.
  • Réalisez des actions immédiates: organisez une formation et un test de base (afin d’identifier les failles spécifiques et de déterminer le niveau de connaissance). Oui, lancez votre première campagne de formation et d’hameçonnage dès la phase de définition du périmètre.
  • Identifiez vos acteurs, soutiens et unités d’influence (Ingénierie système, Direction, RH, SOC (centre des opérations de sécurité), CSIRT (Computer Security Incident Response Team), Comité d’entreprise, Service d’assistance, etc.).
  • Examinez les dépendances et les interfaces avec des outils tiers.
  • Définissez une stratégie d’hébergement pour les systèmes de sensibilisation à la sécurité. Souhaitez-vous exploiter LUCY dans vos propres locaux, sur vos propres serveurs en nuage? Voulez-vous utiliser des fournisseurs tiers ou un hébergement LUCY?
  • Définissez les objectifs globaux du programme (BHAG – Big Hairy Audacious Goal), les taux de clics souhaités, les taux d’achèvement de la formation et les taux d’incidents.
  • Définissez les KPI pertinents, ainsi que les fréquences et les durées de formation souhaitées, etc.
  • Définissez les étapes globales du programme. N’essayez pas de tout aborder en une seule étape.
  • Rédigez une stratégie globale (plan quinquennal) et une politique de programme de sensibilisation (Les résultats, les définitions et décisions que vous avez prises au cours de cette phase). Il n’est pas nécessaire que ces documents soient volumineux ! Souvent il suffit d’une ou deux pages, ce qui permet d’intégrer le contenu dans les politiques existantes.
  • Obtenez l’approbation de la direction, des comités d’entreprise et d’autres instances de gouvernance si nécessaire.
  • Publiez et communiquez le document relatif à la politique de votre programme de sensibilisation et le document relatif à la stratégie.

Planifiez le programme et ses campagnes

Niveau:Tactique
Objectif:Comment, dans quel ordre et quand
Résultat:Plan du programme de sensibilisation à la sécurité, Environnement retenu, «Prêt à fonctionner».
  • Définissez les niveaux de maturité et les niveaux de réputation à utiliser dans les outils.
  • Planifiez et mettez en œuvre les choix d’infrastructure (filtre anti-spam, listes blanches, WAF – Web Application Firewall, pare-feu).
  • Identifiez les différents groupes à risque. Ils bénéficieront de campagnes et de contenus spécifiques.
  • Définissez les publics cibles (groupes de destinataires).
  • Définissez les niveaux initiaux des tests et des formations. Voulez-vous commencer en douceur ou au contraire avec un niveau déjà élevé?
  • Définissez les phases du programme (planification des phases). Vous ne pouvez pas réaliser une formation sur tous les sujets en même temps. Il est judicieux de fixer des priorités et de regrouper certains sujets.
  • Décidez de l’utilisation des noms de marques. Les attaquants utilisent des marques, des entreprises, des sites web, etc. reconnus parce qu’ils savent que les utilisateurs sont enclins à cliquer dessus. Vos campagnes doivent-elles en tenir compte? Vous devez également prévoir des campagnes avec votre propre nom d’entreprise, usurpé ou falsifié.
  • Effectuez l’analyse des filtres de courrier et du web au moyen de la fonction MFT de LUCY. Découvrez quels types de fichiers passent par le navigateur ou la messagerie électronique. Vous avez besoin de ces informations pour décider quels types de fichiers seront utilisés dans les simulations d’hameçonnage basées sur des fichiers (ou pour les bloquer).
  • Créez le programme détaillé des tests de votre entreprise («Cadre du contenu des attaques», voir ci-dessous).
  • Créez le programme détaillé de votre formation («Cadre de contenu de sensibilisation», voir ci-dessous).
  • Planifiez la responsabilisation des utilisateurs dans l’identification et le signalement des menaces. Définissez le processus de signalement en collaboration avec le service d’assistance et le SOC. Installez le plugin Incident d’hameçonnage et configurez la console des incidents si nécessaire.
  • Élaborez un plan de campagne (planification de la campagne et du public cible) pour une période de 12 à 18 mois.
  • Evaluez les limites de tout scénario d’attaque. Parfois, il arrive que vous lanciez une simulation d’attaque, mais le scénario à utiliser pour cela est irréalisable. Y a-t-il des limites au niveau des scénarios/thèmes dans l’utilisation des simulations d’attaques par votre entreprise?
  • Effectuez la campagne de formation initiale pour assurer une formation de base. Avant de lancer le programme de sensibilisation et sa première campagne de simulation d’hameçonnage dans votre entreprise, vos employés actuels doivent suivre un programme de formation préliminaire.
  • Mettez en place la chaîne de reporting et de communication dans l’entreprise. Lors de l’organisation de campagnes, qui doit être informé? Qui est destinataire des résultats de la campagne? Quelles sont les informations diffusées?

And: Don’t die in beauty!

Exécuter des campagnes

Niveau:Opérationnel, principalement une seule campagne
Objectif:Accroître la sensibilisation, les connaissances et la qualité des infrastructures
Résultat:Des employés plus avisés et de meilleurs systèmes
  • Domaine de l’expéditeur: une partie importante de votre tentative d’hameçonnage est de choisir le bon domaine expéditeur à partir duquel les e-mails de simulation d’hameçonnage seront envoyés. Choisissez des noms de domaine qui passeront normalement à travers les filtres anti-spam. Sinon, vous devez utiliser le mécanisme de «marque blanche». Sachez qu’il est inutile d’utiliser des domaines qui seraient normalement filtrés par un filtre anti-spam, car ils n’arriveront jamais dans la boîte de réception de vos employés. Les invitations aux formations de sensibilisation peuvent facilement être envoyées à partir du propre domaine de l’entreprise.
  • Exécutez un test: faites des essais avant de lancer les campagnes.
  • Annoncez la campagne: devez-vous avertir les instances (officielles) de vos campagnes d’hameçonnage?
  • Planifiez-la: combien d’e-mails doivent être envoyés et durant quelle durée? Quand la formation doit-elle être envoyée? Immédiatement ou après un intervalle de temps? L’hameçonnage doit-il être envoyé de manière aléatoire?
  • Exécutez-la: assurez-vous que vous pouvez la surveiller en temps réel, et faites-le, au cas où quelque chose tournerait mal. Ne vous contentez pas de faire de la sensibilisation et des simulations d’hameçonnage. Faites également des campagnes de type «USB malveillant» ou SMiShing.
  • Activez l’alarme: les employés doivent utiliser le bouton d’incident d’hameçonnage!
  • Faites un compte rendu: après la campagne, rédigez un rapport.
  • Communiquez: publiez les résultats de la campagne. Les gens sont curieux.
  • Faites une évaluation: ne vous contentez pas de tester et de former les personnes. Organisez des campagnes d’évaluation en utilisant la boîte à outils de simulation de logiciels malveillants de Lucy. Effectuez des tests approfondis sur le filtrage de la messagerie et du web. Analysez le réseau à l’aide du simulateur de logiciels de rançon. Vous pourrez ainsi savoir jusqu’à quel point un logiciel malveillant serait efficace dans votre réseau.
  • Planification et exécution des itérations de campagnes: souvent, les résultats de la campagne indiquent la nécessité d’une formation ou d’une campagne complémentaire.
  • Campagnes OOO / non distribué: créez des campagnes plus sophistiquées en activant la fonction de détection de réponse dans LUCY. Créez des campagnes qui répondent automatiquement aux messages de réponse automatique et d’absence du bureau (ooo – out of office).
  • Soutien aux plus faibles: créez une formation spéciale pour les employés les plus faibles. Prenez en compte les modules de formation courts et succincts. Respectez tous les employés.
  • Formation spéciale pour les plus avancés: ne laissez pas vos employés les plus compétents et les plus attentifs vous échapper; ils sont votre atout le plus important et votre défense la plus solide.
  • Prévoyez des récompenses! Encouragez les participants au moyen de récompenses, de prix et de concours aux niveaux individuel et collectif!
  • Faites une analyse! Comparez les résultats des campagnes, identifiez les tendances et effectuez des benchmarks. Votre entreprise est unique; les comparaisons avec d’autres entreprises n’ont généralement pas beaucoup de sens.

Faites évoluer le programme de sensibilisation à la sécurité informatique

Niveau:Opérationnel, tactique, stratégique et normatif
Objectif:Améliorations au niveau du personnel, de l’organisation, des partenaires et de l’infrastructure
Résultat:Programme de sensibilisation plus efficace
  • Fournir un contenu saisonnier/actualisé: Y a-t-il une nouvelle menace qui circule actuellement ou est-ce qu’une nouvelle politique de sécurité a été publiée qui nécessite une formation?
  • Réajustement de la cible: Les objectifs sont-ils toujours appropriés?
  • Amélioration des processus. Après un certain temps, vous pouvez certainement améliorer les processus de préparation de la campagne, de présentation des résultats ou de déclenchement des alertes.
  • Benchmarking (analyse comparative). Une fois que vous disposez d’un ensemble de données et de résultats de base pour votre entreprise et ses différents services, mettez en place un programme d’analyse comparative et utilisez la puissance de la comparaison et de la ludification.
  • Collaboration interentreprises. Commencez à partager les formations et les modèles avec d’autres entreprises. Organiser des «concours» interentreprises. C’est dans ce cadre que vous pouvez commencer à faire du benchmarking (analyse comparative)! Aussi, vous pouvez rejoindre le groupe mondial d’utilisateurs de LUCY si vous le souhaitez.

Aller plus loin - Cadres pour le contenu des tests et des formations

Le plan détaillé des tests et celui des formations montrent ce que vous voulez tester, enseigner et mettre en pratique. Ils servent de base au plan de campagne, dans lequel sont planifiés les campagnes de sensibilisation concrètes, les objectifs et les groupes cibles. Les documents du plan détaillé présentent à la direction et aux autres groupes cibles concernés le contenu de l’apprentissage qui doit être transmis, en principe, sans référence temporelle ni affectation détaillée aux risques et aux groupes cibles.

Plan détaillé du contenu des tests

Effectuer une simulation d’hameçonnage dans votre propre entreprise n’est rien de plus qu’un exercice réaliste pour se préparer à une situation d’urgence. De nombreuses entreprises procèdent régulièrement à des exercices d’évacuation de leurs locaux. Les actions pédagogiques d’ingénierie sociale telles que les faux e-mails d’hameçonnage sont pratiquement les mêmes.

Mögliche Phishing und Testing Roadmap oder Vorgehensplan für edukative Social Engineering Massnahmen der Versicherungsbranche

Le plan détaillé des tests aide à planifier ces «exercices d’alerte incendie» dans le domaine de la sécurité informatique. De nombreux produits de sensibilisation et de lutte contre l’hameçonnage disponibles sur le marché proposent non seulement de faux messages d’hameçonnage, mais aussi des actions didactiques de SMiShing, d’hameçonnage par téléphone, d’USB piratés et autres. Souvent, une sélection peut être faite parmi des centaines de modèles différents. Des produits de pointe permettent également la création rapide d’attaques personnalisées ou l’adaptation des modèles, de sorte que des e-mails d’hameçonnage et des pages d’accueil individualisés peuvent être créés.

Plan détaillé du contenu de la formation

Ce plan détaillé vous aide à planifier le contenu de sécurité informatique, et quand, comment et pour quels groupes cibles il sera mis à disposition. Lors de l’enseignement des cours de formation à la sécurité informatique, une distinction doit être faite entre le contenu qui doit être enseigné et celui qui devrait être pratiqué. Veuillez noter qu’il y a toujours des classes de niveau différent dans votre entreprise qui doivent être formées pour atteindre votre degré de connaissance. Intégrez la formation dans le travail quotidien de vos employés, décernez des diplômes/certificats et faites en sorte que les leçons soient de courte durée.

Traning Roadmap für Schulungen zum Cyber-Schutz von Versicherungskunden

Formation obligatoire à la sécurité

On parle souvent de formation obligatoire ou de formation basée sur les politiques en vigueur. L’entreprise est tenue de faire respecter les directives et les instructions de sécurité existantes par ses employés. Cette catégorie comprend notamment les formations RGPD, PCI-DSS, ISO27001, HIPAA, etc.

Formations génériques sur la sécurité

Les contenus de formation spécifiques à l’industrie sur la sécurité informatique et la sécurité en général entrent dans cette catégorie. Cela comprend tous les sujets dans le domaine de l’ingénierie sociale auxquels l’employé pourrait être confronté:

  • Attaques d’hameçonnage et de logiciels malveillants
  • Sécurité du mot de passe
  • Regarder par-dessus l’épaule
  • Attaques avec des supports de données
  • Hameçonnage par téléphone
  • Politique du bureau propre
  • Sécurité physique
  • Visites et interaction personnelle (Visiteurs)
  • Ingénierie sociale en général
  • Utilisation des réseaux WiFi publics
  • Appareils mobiles
  • Voyager en toute sécurité
  • Incidents de sécurité
  • Sécurité sur Internet et dans le nuage
  • Logiciels malveillants
  • AVEC (BYOD)
  • Sécurité de la messagerie électronique

Selon le secteur d’activité, il existe des modules spéciaux supplémentaires tels que

  • Classification des informations
  • Sécurité industrielle
  • Traitement des données des cartes de crédit
  • Traitement des données à caractère personnel
  • Traitement des données relatives aux patients et à la santé
  • Entreprises d’élimination des supports de données physiques

Petit ou grand Projet?

La réponse à cette question dépend principalement de la taille de l’entreprise. Bien entendu, le niveau de sensibilisation à la sécurité informatique d’une entreprise joue également un rôle, tout comme le nombre d’unités organisationnelles, de groupes à risque, de parties prenantes, etc., concernés.

Les petites entreprises ayant une culture décisionnelle proactive peuvent mettre en œuvre les éléments de base d’un programme de sensibilisation, notamment la première campagne de base d’hameçonnage et de formation, en deux ou trois jours. Les grandes organisations, en revanche, peuvent prendre des semaines ou des mois pour mettre en œuvre un tel projet. Ce n’est pas tant la charge de travail qui compte que le délai de mise en œuvre. Recevoir tous les acteurs concernés ou impliqués, ainsi que la prise de décision dans un environnement hétérogène, exigent tout simplement du temps.

Vous n'avez besoin que d'une simulation d'hameçonnage?

Si vous souhaitez simplement configurer et exécuter une campagne d’hameçonnage et/ou de formation, l’article «Planifier votre campagne de simulation d’hameçonnage – Mise en œuvre réussie d’une simulation d’attaque: conseils et astuces» vous aidera à mener à bien votre campagne spécifique.

Le Wiki de sensibilisation à la sécurité de LUCY est également utile dans ce cas. La Check-list d’intégration  est le guide technique le plus complet pour les programmes de sensibilisation à la cybersécurité disponibles sur le web.

Besoin d’un conseil?

Nous avons des centaines de clients dans plus de 40 pays. Nous serons heureux de vous aider. Veuillez nous contacter à l’aide de ce formulaire.

Veuillez me rappeler

Les données transmises ne seront utilisées que pour le traitement de votre demande. Vous trouverez de plus amples informations dans notre Politique de Confidentialité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Publier des commentaires