Il y a un dicton bien connu que beaucoup attribuent à Mark Twain : « Tout le monde parle de la météo, mais personne ne fait rien à ce sujet. » Vous pourriez substituer « cybersécurité » à « la météo » et ce serait encore plus vrai au début du XXIe siècle.

Dans cet article, je résumerai brièvement un rapport Gartner de 2020, récemment mis à jour (« L’urgence de traiter la sécurité comme une décision commerciale ») et quelques observations dans un eBook de 2021 de la société de gestion des cyber-risques BitSight (« Ransomware : La tendance en évolution rapide « ). (Ce ne sont pas des stages rémunérés par l’une ou l’autre organisation et il n’y a pas de lien direct disponible vers l’une ou l’autre des publications.) Il y a un rôle à jouer dans le traitement de la cybersécurité pour l’apprentissage et le développement et les concepteurs pédagogiques sur la base de ces deux documents.

Le rapport Gartner : Considérez la sécurité comme une décision commerciale

Ce rapport est principalement destiné aux DSI, mais il revendique trois défis spécifiques en matière de cybersécurité, dont chacun est ou pourrait être lié à des objectifs d’apprentissage et de développement (citation du rapport) :

  • La croissance des dépenses en cybersécurité ralentit jusqu’en 2023, tandis que les conseils d’administration commencent à reculer et à se demander ce qu’ils ont réalisé après des années de dépenses lourdes en matière de cybersécurité.
  • Les conseils d’administration et les cadres supérieurs posent les mauvaises questions sur la cybersécurité, ce qui entraîne de mauvaises décisions d’investissement.
  • De nombreuses approches actuelles visant à améliorer la cybersécurité ne parviennent pas à fournir des niveaux de protection appropriés et défendables.

Chacun d’eux implique un écart du type de celui qui peut être comblé au moins en partie par l’apprentissage et le développement si les conseils d’administration et les cadres supérieurs décident d’en faire la base des objectifs stratégiques de l’entreprise. Le rapport propose de bonnes analyses et recherches, ainsi que de solides suggestions d’actions, ainsi que quelques tristes leçons tirées de l’expérience des organisations à ce jour. L’essentiel semble se résumer à ce constat : « Tout le monde cherche une réponse simple là où il n’y en a pas.

Ransomware : la tendance en évolution rapide

Bien que les ransomwares soient un sous-ensemble des problèmes de cybersécurité, il s’agit d’un problème important et croissant. L’eBook de BitSight cite des données collectées par l’Université de Cambridge montrant que la cyber-assurance contre les ransomwares est passée de 13% des réclamations de 2014 à 2019 à 54% en 2020. Le livre cite également des exemples démontrant que les tentatives d’extorsion sont passées d’une simple extorsion (recherche d’argent auprès d’un organisation unique) au triple extorsion (recherche d’argent auprès d’une chaîne de victimes, y compris des victimes individuelles). BitSight qualifie le modèle commercial des gangs qui adoptent ce comportement de « Ransomware-as-a-Service ».

Il existe de bonnes pratiques pour lutter contre les cybercriminels, principalement en réduisant la probabilité d’être une victime grâce à « une concentration implacable sur l’hygiène de sécurité de base ». Cela signifie des membres de l’équipe qui effectuent efficacement les contrôles et les pratiques de sécurité chaque jour.

Que pouvons-nous faire pour prévenir ou traiter une violation ?

L’eBook BitSight cite les solutions qu’ils proposent, mais ils indiquent également clairement qu’il y a une raison pour laquelle le nombre d’organisations qui fournissent des moyens efficaces de réduire les risques est peu nombreux. En utilisant les chiffres de BitSight, il devient évident qu’il ne faut pas beaucoup d’amélioration des repères d’hygiène de sécurité (quelle que soit la manière dont vous les mesurez) pour réduire considérablement la probabilité d’être victime d’un ransomware.

En préparant cet article, j’ai parlé à trois personnes expertes dans le traitement des questions dans ce domaine. Les entretiens ont été longs et les réponses ont été détaillées, donc dans cet article je vais seulement résumer les contributions clés de chacun des experts, en gardant le reste pour de futurs articles.

  • A qui la faute s’il y a une violation ?
  • Fondamentaux : lignes directrices, éducation et règles pour traiter une violation ; prévention des pertes de données ; ingénierie sociale.
  • Que se passe-t-il si une organisation a besoin d’aide pour faire face à une violation ?

Jerry Ray COO du fournisseur de solutions de sécurité des données d’entreprise, SecureAge

A qui la faute s’il y a une violation ? Est-ce l’employé? Est-ce IL ? Est-ce du L&D ? La réponse de Jerry m’a surpris et il a reconnu qu’il s’agissait d’un domaine très délicat car il a le sentiment que personne n’a toutes les réponses, y compris les experts en sécurité et le personnel informatique. Comme il l’a dit, « Tout le monde reçoit un mulligan. » Mais il existe un moyen de réduire le risque qui applique une mesure d’hygiène de sécurité efficace et répond à la troisième puce ci-dessus du rapport Gartner.

Il a déclaré : «                                                                                                                     . Je ne peux jamais expliquer tout cela. Et je ne peux jamais dire que quelqu’un manque de bon sens lorsque la situation qu’il vit est inhabituelle.

« Ce n’est tout simplement pas de leur faute. Et si quelqu’un reçoit un courrier indésirable très bizarre avec FedEx mal orthographié, de mauvais logos, une mauvaise iconographie, et qu’il clique toujours sur cette pièce jointe, ce n’est toujours pas de sa faute. Et je ne peux pas stresser Cela suffit. La complexité des systèmes et de l’IoT étant dans le mélange, et tout ce qui affecte tout le reste signifie qu’aucun de nous ne peut expliquer toutes les permutations de tous les protocoles matériels, logiciels et de connexion qui sont derrière ce que vous et moi faisons correctement maintenant.

« Donc, le dernier bastion de la sécurité sont les outils provenant des experts en sécurité qui les développent, ceux qui créent nos systèmes d’exploitation et devraient intégrer la sécurité dans ceux qui construisent les applications et devraient mettre la sécurité au premier plan lorsqu’ils définissent ce qu’ils Je veux construire et livrer, pas comme un complément après le fait. Ce sont beaucoup de « devraient » que je dis, et les « devraient » ne sont en quelque sorte rien sur quoi nous pouvons compter. Et en fin de compte, nous voulons compter sur nous-mêmes, mais je dois juste lever les mains en l’air. Je ne peux pas empêcher ou empêcher un pirate informatique motivé d’entrer dans mon système, d’obtenir tout ce qu’il veut. Ce que je peux faire, c’est m’assurer que ce qu’ils prennent n’a aucun sens pour eux , parce que tout ce que j’ai est crypté, pour toute autre paire d’yeux que le mien. J’ai des exécutables qui peuvent s’exécuter sur ma machine, si je les autorise, mais j’ai aussi des outils qui s’assurent que si je n’ai pas l’a permis, il ne peut jamais démarrer afin que le ransomware puisse m’affecter ou le virus ca n m’affecte. Aucune de ces choses ne peut m’affecter, même si un pirate informatique peut entrer. Et c’est le principe selon lequel je passe beaucoup de temps à discuter des mentalités de sécurité avec d’autres chercheurs. Une grande partie de mon temps avec la presse, à essayer de faire passer le mot que mettre ou pousser une partie du fardeau sur la responsabilité individuelle, est la mauvaise voie à suivre. Nous avons ces appareils développés par les entreprises les plus riches de l’histoire de l’humanité. Et ils n’ont jamais intégré la sécurité comme ils auraient dû le faire. Ils nous ont mis dans des avions sans roues, donc nous ne pouvons pas atterrir correctement. »

Une autre approche qui fournit également la sécurité en pensant aux systèmes plutôt qu’au comportement individuel des utilisateurs est le « modèle de sécurité zéro confiance. » Comprendre ce modèle et le point de Jerry fournissent un chemin pour rediriger les cadres vers les bonnes questions. Cela ne signifie pas qu’il n’y a plus rien à faire pour le L&D et les concepteurs pédagogiques. Si les questions ne peuvent pas être redirigées, ou si l’exécution des réponses est erronée, il y a encore des choses qui peuvent être faites.

Neil Lasher, expert en cybersécurité

La réponse de Neil à mes questions portait principalement sur la nécessité de fournir aux employés des lignes directrices, une formation et des règles pour faire face à la cybersécurité ou à une violation. Mais il a commencé par les fondamentaux : où se produisent réellement la plupart des failles de sécurité et les problèmes liés à l’ingénierie sociale.

« Nos systèmes de gestion de l’apprentissage et nos programmes de formation eux-mêmes ne sont en fait pas très sécurisés ou ne sont pas sécurisés là où ils sont stockés. Nous utilisons des systèmes tiers pour les systèmes de gestion de l’apprentissage sans vraiment savoir sur quels serveurs ils se trouvent, et ils ont tous il y a beaucoup de bonnes informations à voler. C’est le premier côté. Le deuxième côté est ce que l’apprentissage et le développement devraient faire du point de vue de l’éducation. Maintenant, vous avez un champ d’application très large.

« 96 % des vols dans les organisations se produisent de l’intérieur. Les personnes au sein de l’organisation retirent des choses qu’elles ne devraient pas retirer. informations exclusives de nombreuses manières différentes. L’entreprise devrait chercher à fermer ces portes et à empêcher que cela se produise. La prévention des pertes de données est la clé de la cybersécurité, où en utilisant des systèmes, vous pouvez réellement voir ce que font les gens et les empêcher de le faire comme ils le font. Si quelqu’un copie un paragraphe d’un document propriétaire et essaie de le mettre dans son blog, les systèmes DLP les empêcheront de copier et de coller, et ils recevront un avis pour le dire est une information exclusive, vous n’êtes pas autorisé à le faire.

« L’éducation du personnel est un aspect très différent. Il s’agit de la façon dont les gens cliqueront sur les liens sur Facebook. Walmart ne vous offrira pas de bon de réduction de 1 000 $ parce que vous mettez votre nom et vos coordonnées dans un formulaire. Si vous êtes au sein d’une organisation, vous devez commencer à former les gens qu’il y a des choses que vous devez regarder avant de cliquer. Il y a toute une gamme de ceux qui se passent en ce moment ici au Royaume-Uni. qui arrivent aux consommateurs, disons, de la Royal Mail, en disant: « Nous avons votre colis. Il y a une livre 15 pence à payer. Cliquez ici pour le payer. » Ils prendront les détails de votre carte de crédit ou votre nom et votre adresse et vous vous demanderez pourquoi votre carte de crédit est saturée dans les 24 heures. vous avez droit à une remise de 3 000 livres. Cliquez ici pour cliquer ici pour télécharger le formulaire. Vous le téléchargez, dès que vous le téléchargez, il contient autre chose. HRMC vous enverra une lettre. Et personne n’obtient jamais une remise de 3 000 livres sans sachant qu’ils comprennent. Mais il y a tout un tas de choses que nous pouvons apprendre aux gens à regarder. Nous examinons la façon dont les choses sont écrites. Il y a beaucoup d’e-mails falsifiés où la langue est incorrecte. Le ministère pas vous envoyer un e-mail qui contient un anglais mal écrit. Ils sont normalement vraiment très bons. Ce n’est pas comme ça qu’ils écrivent des lettres.

« Ma brève réponse est très simple : chaque entreprise devrait avoir un ensemble de règles sur ce que vous devez faire si vous pensez que des choses spécifiques se sont produites. Si vous avez reçu un e-mail que vous pensez être du phishing. Si vous pensez que quelqu’un a accès à l’un de vos systèmes, le premier port d’appel devrait être l’informatique. Absolument. Demandez à quelqu’un de l’informatique au téléphone et dites :  » Je pense que j’ai été victime d’une brèche, je viens de recevoir un e-mail, j’ai cliqué dessus. Je ne pense pas J’aurais dû cliquer là. Faites-leur savoir, car ils pourront le retirer du réseau d’un simple clic. Cela l’empêchera de se déplacer latéralement si vous avez ramassé quelque chose. Ce que vous ne voulez pas faire, c’est infecter tout le monde dans votre bureau. Et puis ils viendront physiquement et examineront votre machine et verront si vous avez réellement eu quelque chose. Si vous ne l’avez pas fait, ils vous remettront en ligne. C’est donc ce qui devrait toujours être votre première règle pour quiconque au sein d’une organisation , que ce soit en L&D ou autre. Il doit être apporté dans quelques micro-apprentissages courts, tout autour de ce qu’il ne faut pas faire. « 

Zarmeena Waseem, directrice de l’éducation à la cybersécurité, National Cyber ​​Security Alliance

Que se passe-t-il si une organisation a besoin d’aide pour faire face à une violation ? A qui vont-ils ? Surtout une petite organisation qui peut ne pas avoir d’équipe de défense, ni d’équipe de réponse aux incidents, ni d’équipe de renseignement. Si une violation se produit et que quelqu’un dans l’apprentissage et le développement en prend conscience ou est la cible, quelle est la bonne réponse ?

« Cela dépend de la structure de votre organisation. S’il y a une équipe de défense ou une équipe de réponse aux incidents, je pense que ce serait le premier point de contact. Intel est une sorte de sauvegarde pour la défense. Donc la défense et la réponse aux incidents correspondent souvent des noms dans différentes organisations, ce serait l’équipe à mobiliser dès qu’il y a une brèche.

« La plupart des organisations dans lesquelles j’ai eu l’occasion de travailler avaient soit une sécurité adjacente à l’informatique structurellement, soit une sécurité sous l’égide de l’informatique. Il serait également judicieux d’obtenir les bonnes informations et de les communiquer au réseau équipe, même si vous n’avez pas à les mobiliser tout de suite.

« Je pense que le rôle a toujours été là, il devient de plus en plus formalisé maintenant. C’est encore un domaine assez jeune. Il y a donc beaucoup de choses qui s’institutionnalisent en quelque sorte ces derniers temps, si vous voulez. Il y a toujours eu un leader de la sécurité dans chaque organisation, mais le titre a généralement changé. Et maintenant, je pense que le CIO ou le CSO devient assez populaire pour que les gens sachent qu’il y a une place pour la sécurité au sein de la C-suite ou au sein de la direction exécutive. Et c’est un rôle important.

« Pour les organisations qui sont, disons plus petites, et qui n’ont pas de rôle désigné pour la sécurité de l’information, qui contacteraient-elles ? Il existe des organisations que vous pouvez contacter en fonction du problème ou du type d’événement. Il y a des pages et Par exemple, Google dispose désormais d’une fonctionnalité Signaler un spam ou un hameçonnage dans Gmail. La FTC dispose d’une page pour signaler les fraudes. Et selon l’ampleur de l’événement, si les forces de l’ordre locales ou le FBI doivent être impliqués, c’est quelque chose aussi.

« C’est la partie la plus difficile. Je pense que, dans de nombreuses industries, et aussi dans le domaine de la sécurité, la réponse sera toujours: » Cela dépend.  » La chose la plus intelligente que nous puissions toujours faire est de prendre des mesures préventives, au lieu d’avoir à éteindre les incendies par la suite. La sécurité proactive, plutôt que la sécurité réactive, est toujours l’objectif de toute organisation soucieuse de la sécurité. Et cela signifie généralement qu’il devrait y avoir un énorme poussée pour la formation et l’éducation.

« La National Cyber ​​Security Alliance est là pour répondre à ces besoins, de toutes les manières possibles. Nous sommes là pour répondre aux questions ou guider les gens dans la bonne direction s’ils ont besoin d’autres ressources. Les lecteurs peuvent visiter staysafeonline.org. Nous partageons des tonnes et des tonnes de programmes et de ressources, également sur nos pages de médias sociaux, en particulier Twitter, LinkedIn et Facebook. Nous avons également une chaîne YouTube (StaySafeOnline1) où nous conservons tous nos webinaires et autres informations. Il existe donc une mine d’informations. Et notre e-mail général pour les questions est [email protected] »