ÉVEILLER LA VIGILANCE PAR LA SENSIBILISATION

Les derniers événements de cybersécurité, mais aussi ceux d'exfiltrations de données m’encouragent à résumer dans cet article mes réflexions et recommandations. Dire que l’humain est le maillon le plus faible ne suffit pas. On le sait, 99% des cyberattaques reposent sur des interactions humaines. Comme le mentionne le dernier rapport Ponemon Institute, l'une de ses recommandations consiste à atténuer les impacts des attaques en agissant sur le facteur humain à travers des campagnes régulières de formation et de sensibilisation à la sécurité, afin de favoriser l'adoption d'une culture de la sécurité à tous les niveaux de l’entreprise mais aussi avec l’écosystème des partenaires. Car les coûts annuels moyens d'une cyberattaque sont de 13M$ en 2018.

En septembre 2019, on nous annonçait une fuite de données par hameçonnage dans une compagnie d’assurance dont le siège social est à Québec. Après Marriott, Honda, CapitalOne/Costco, Desjardins, l'Agence du revenu voici le tour d'iA pour illustrer mes séances de sensibilisation à destination du maillon le plus faible qu'est l'humain.

Dans le cas d'iA c'est son réseau de représentants des ventes qui a été, cette fois-ci, la cible. IA c'est 187G$ d'actif, 4M de clients, 6800 employés et + de 25k représentants.

3 représentants sur 25k...

2 864 clients touchés sur 4M...

 

Éveillez la vigilance de vos employés en "vrai"

Car le E-Learning est reconnu comme inefficace. Oui inefficace, car les employés n'écoutent pas, ne lisent pas toute la capsule (le message trop souvent général, ne les accroche pas) et se dépêchent à répondre aux questions pour s'en débarrasser quand ils peuvent avancer en accéléré (car pris souvent sur leur temps de pause) ... Répondre par ce moyen à un besoin de conformité, biaise l'exercice! (les employés ont été sensibilisé, check! ✔). Et demander une adaptation personnalisée, cela nécessite de retourner en enregistrement de voix et révision complète des story-boards (=délais et $$$)!

Seulement 40% des employés suivent une capsule, si ce n’est pas obligatoire. Et sur les 40%, seulement 20 personnes réussissent à répondre correctement aux questions d’évaluation à la fin. Le seul moment ou le E-learning est TRÈS efficace c’est lorsqu’il y a une « nanane » (récompense en québécois) à la fin, par exemple pour obtenir son « permis bateau » en ligne (vécu personnellement😉

Alors, je vous recommande une séance en personne avec un conférencier, pour répondre aux questions et faire participer l’auditoire, ça ne coûte pas cher et ça rapporte gros!  Les participants adorent l'interaction. Et avec un peu d'humour, cela marque leur imaginaire pour trouver de bons et robustes mots de passe ou comprendre comment et surtout pourquoi activer la double authentification. Succès garanti!

 

Équilibrer les mesures technologiques ET organisationnelles

Pourquoi? Parce qu’il y a une multitude d’intervenants en Ti qui vous trouveront une panoplie de solutions technologiques (Gartner le 1er) pour résoudre vos problèmes. Ma réponse à cela est la suivante :

Quand on investit de façon corporative dans des solutions technologiques ($$$) telle que Proofpoint, mais qu’en parallèle les représentants utilisent encore du Hotmail/Yahoo (ou autre) dans leur pratique... qu’ils prêtent leurs ordi (encore sous Win XP, sorti en octobre 2001), cellulaires ou tablettes à leurs ados pour gamer le soir en ligne, sur le même réseau Wifi de la maison, sans aucune mise à jour depuis la nuit des temps... Cela fini par poser problème. Savez-vous que Google a corrigé 49 vulnérabilités dans Android rien qu'en septembre 2019?

Et je passe les assistants tels que Siri, OkGoogle, Cortana et autres objets connectés: qui sont le prochain fléau. Ou encore les attaques via Simswapping, Simjacker ou celles encore inconnues... et utilisées à des fins d'espionnage.

On aura beau parler d’une énième solution technologique : sandboxing ou autres, les utilisateurs te regarderont avec des yeux ronds d’incompréhension si ce n’est pas transparent pour eux, et tes décideurs (CA compris) seront agacés de devoir encore investir dans une nouvelle bébelle (jouet en québécois) qui ne rapporte rien (surtout si coté en bourse). Sans parler du manque de compétences internes pour installer, configurer et maintenir ladite bébelle.

Qui a déjà essayé (ou pris le risque) de mettre à jour son BIOS le comprendra, car les APT (advanced persistent threat) sont rendus à ce niveau de machine là, voir Simjacker plus haut. Le PDG d'une grande coopérative, compagnie d'assurance, ou autre pourrait-il en être victime? Ou encore espionné via la vulnérabilité de son microprocesseur Intel?

Même avec 100 experts (à 100k$/année)... les zero-day (dans des docx ou pdf) que corrige encore Microsoft dans Windows10 : 2 zero-day quand même en septembre 2019! A croire qu’ils ne suivent pas le S-SDLC, passent sous le radar.

D’autres investissent dans la construction de leur SOC (security operation center) fonctionnant de 8h30 à 17h et pas les FDS... En croisant les doigts de pouvoir embaucher les perles rares et surtout de les garder. En plus de dépenser des milliers de $ en équipements et logiciels spécialisés (cela fait le bonheur des fournisseurs) qui vont les inonder de faux positifs. Combien de temps cela va-t-il leur prendre avant d’arriver à un niveau de maturité réelle et une maîtrise de tout cela sans roulement de personnel? Quand on pense, par exemple à FireEye qui a été fondé en 2004, devenu depuis un des leaders du marché avec son acquisition de Mandiant. c'est 15 ans d’expériences à ne faire que ça!

Mais bon le cloud c’est l’avenir! L’IA (intelligence artificielle pas l’assureur), le deep learning, le machine learning pour profiler et vendre encore plus aussi. Nous devons faire attention car à jouer à l’apprenti sorcier, il ne faut pas s’étonner qu’après certaines expériences se retournent contre nous. Et l’erreur de configuration sera encore… humaine.

A quand le retour au GBS (gros bon sens)?

Sensibilisons, de façon régulière l’ensemble des employés et les nouveaux arrivants. Ces séances aborderont aussi bien la vie privée que professionnelle car les bons comportements acquis pour l’une serviront pour l’autre. Il y a une multitude de bons experts vulgarisateurs qui démystifient et aiment partager leurs connaissances en sachant s’adapter à leur auditoire et à votre domaine d'activité, faites-en l’expérience! Vous ne le regretterez pas.