Blogs & actualité

Entretien avec Trend Micro sur les évolutions en matière de sensibilisation à la sécurité.

Nous avons récemment discuté avec John Ross Hunt de Trend Micro des évolutions et des tendances en matière de sensibilisation à la sécurité, ainsi que de la manière dont Trend Micro y répond.

John Ross Hunt est responsable produit de Phish Insight. Phish Insight est la plateforme de simulation et de formation aux attaques de phishing de Trend Micro, qui aide les employés à reconnaître et à contrer les attaques de phishing. De plus, John Ross possède des années d'expérience dans l'industrie, ce qui le rend extrêmement conscient de l'importance de l'aspect humain de la cybersécurité.

Trend Micro et Awaretrain collaborent depuis 2019, la formation de sensibilisation à la sécurité d'Awaretrain étant intégrée à Phish Insight.

22 aoû John Ross Hunt ( responsable du produit Phish Insight) de Trend Micro

Où réside la menace dans les années à venir, en ce qui concerne l'aspect humain de la cybersécurité ?

Avec de plus en plus d'entreprises opérant dans le cloud, les criminels ont de plus en plus d'opportunités de profiter de nouvelles techniques de phishing développées pour exploiter l'utilisation des nouvelles applications cloud.

Les chaînes d'approvisionnement sont également dans le viseur des cybercriminels. Les chercheurs de Trend Micro prévoient une forte augmentation des "techniques de quadruple chantage". Cela implique que les organisations sont 1) contraintes de payer une rançon pour récupérer des données prises en otage, 2) menacées de voir la fuite de données divulguée, 3) obligées de faire face à des menaces ciblant leurs clients et 4) de faire face à des attaques contre leurs fournisseurs.

Nous pouvons également nous attendre à une augmentation du nombre d'outils de phishing et de rançongiciels sophistiqués déployés par les cybercriminels via un modèle d'attaque en tant que service.

Comment les entreprises peuvent-elles faire face à ces menaces ?

Les organisations adoptent un modèle de "confiance zéro" en ce qui concerne leurs employés et leurs appareils. Un contrôle et une visibilité strict de l'accès aux réseaux et aux applications cloud peuvent contribuer à atténuer les risques de compromission. Investir dans les bonnes solutions pour renforcer la sécurité et protéger l'empreinte numérique croissante de l'organisation doit être une priorité.

Bien sûr, il n'existe pas de solution garantissant une sécurité à 100 %, c'est pourquoi il est tout aussi important pour les entreprises d'investir en permanence dans la sensibilisation à la sécurité. Malheureusement, nous constatons encore de nombreuses organisations qui considèrent la sensibilisation à la sécurité comme une activité ponctuelle, plutôt que quelques chose qui est ancré dans la culture de l'organisation et reçoit une attention continue.

Remarquez-vous des changements dans les exigences en matière de formation à la sensibilisation à la sécurité ?

La façon dont nous consommons du contenu aujourd'hui, par exemple sur les réseaux sociaux, a considérablement réduit notre capacité d'attention. De nombreux contenus (vidéos) que nous consommons dans notre vie personnelle deviennent de plus en plus courts, tout comme les articles que nous lisons. Cette tendance se reflète également dans les besoins en matière de formation à la sensibilisation à la sécurité. Les employés s'attendent également à ce que les formations soient faciles à suivre. Il existe donc une demande croissante de contenus de sensibilisation à la sécurité qui s'intègrent facilement dans le calendrier de travail des employés et qui ont un impact significatif.

Selon vous, quelle est la principale évolution en matière de formation à la sensibilisation à la sécurité ?

Nous constatons un changement clair dans la manière dont la sensibilisation à la sécurité est abordée. Auparavant, un programme avait un aspect assez standard : tester les employés avec une simulation de phishing, les former, retester, répéter. Aujourd'hui, les programmes sont bien plus innovants. Le comportement des employés est testé de diverses manières. On ne se contente plus seulement d'examiner les résultats des simulations ou des tests de connaissances, on observe également leur comportement réel, par exemple en comptabilisant le nombre de signalements reçus. En combinant toutes ces données, on obtient une meilleure vision du niveau de risque.

Des techniques de formation basées sur des cadres psychologiques, comme les incitations douces (« nudgin »), la preuve sociale (phénomène par lequel les personnes imitent les actions des autres pour adopter un comportement spécifique dans une situation donnée) et le coaching pour provoquer des changements de comportement, sont également en plein essor.

Comment Trend Micro répond-il à ces évolutions et comment Awaretrain y contribue-t-il ?

Avec Phish Insight, la plateforme de simulation et de formation aux attaques de phishing de Trend Micro, vous pouvez facilement déployer des formations et des exercices périodiques de sensibilisation à la sécurité. Les contenus de formation interactifs et instructifs d'Awaretrain est une partie très importante de notre bibliothèque de contenu, et nos clients apprécient grandement le fait que des sujets importants de cybersécurité soient traités de manière ludique et accessible.

À quels problèmes les organisations sont-elles confrontées pour accroître la sensibilisation de leurs employés à la sécurité ?

Avec tous les différents rôles, départements et niveaux au sein d'une organisation, un programme standard "taille unique" n'est souvent pas la méthode la plus efficace pour provoquer un changement de comportement. Cependant, mettre en place plusieurs programmes personnalisés pour différents publics peut également être très difficile en termes de temps, de suivi et de rapports.

Il est donc essentiel que les organisations optent pour une plateforme de formation de sensibilisation à la sécurité où il est facile de mettre en place plusieurs programmes pour les différents besoins des employés et où le déploiement des programmes peut être automatisé.

Constatez-vous une évolution du comportement des employés en matière de cybersécurité ?

Nous avons tous constaté l’énorme augmentation du phishing par SMS, téléphone et e-mail ces dernières années. De plus, nous sommes généralement plus conscients des dangers et de l'idée que n’importe qui peut être une cible. Cependant, nous constatons également que les techniques d'attaque deviennent de plus en plus sophistiquées, ce qui fait que ces méthodes traditionnelles sont toujours très efficaces lorsqu'elles sont utilisées par des cybercriminels.

Dans le même temps, les gens travaillent de plus en plus à domicile, ce qui offre à son tour de nouvelles opportunités aux criminels pour attaquer les organisations. Jamais auparavant la demande n'a été aussi forte pour éduquer et former les gens à se protéger en ligne. Trouver les bons outils et les bons contenus est donc essentiel pour provoquer un changement de comportement efficace.

À propos de Trend Micro

Trend Micro, un leader mondial dans la cybersécurité, participe à rendre notre monde plus sûr pour l'échange d'informations numériques. Alimenté par des décennies de savoir-faire dans la sécurité, la recherche mondiale sur les menaces et l’innovation continue, sa plateforme de cybersécurité protège plus de 500 000 organisations et plus de 250 millions de personnes dans les clouds, réseaux, appareils et endpoints.

+33 (0)1 44 04 01 73 info@awaretrain.fr

Découvrez notre plateforme de sensibilisation à la cybersécurité

Plus d'infos

Lire la suite

Découvrez nos autres blogs et articles d'actualité.

09 jan
Hameçonnage : Le fossé entre les connaissances et le comportement Plus d'infos
5 étapes vers une culture de reporting sécurisée 14 nov
5 étapes vers une culture de reporting sécurisée pour une meilleure sécurité des données Plus d'infos
De la sensibilisation à la culture de la sécurité. 10 oct
De la sensibilisation à un environnement de travail cyber sécurisé et à une culture de la sécurité. Plus d'infos
Voir tous les blogs