Par Vasu Jakkal, CVP Microsoft Security, Compliance, Identity & Privacy

Octobre est le Mois de Sensibilisation à la Cybersécurité, et je suis ravie de ce que Microsoft et nos partenaires du secteur ont prévu pour aider tout le monde à rester #CyberSmart. 2022 a peut-être offert un certain répit face à l’empressement de l’année précédente à mettre en place une main-d’œuvre à distance/hybride, mais l’utilisation accrue des appareils personnels a aussi laissé aux professionnels de la sécurité encore plus de terminaux à gérer et à sécuriser. Comme le montrent des violations telles que l’attaque de mars 2022 contre Shields Health Care Group (1) (deux millions de personnes touchées), suivie de l’attaque par rançongiciel d’avril qui a mis à terre le gouvernement costaricien (2), nous devons tous être des défenseurs du cyberespace pour protéger ce qui compte.  

La technologie ne peut pas tout faire ; ce sont les personnes qui restent notre plus grande force. C’est pourquoi Microsoft saisit cette occasion, pendant le Mois de Sensibilisation à la Cybersécurité, pour aider les professionnels de la sécurité à sensibiliser leurs employés aux fondamentaux mis en avant par National Cybersecurity Alliance, comme la protection de leur identité, la mise à jour de leurs logiciels et appareils, et le fait de ne pas tomber dans les pièges de l’hameçonnage. N’hésitez pas à explorer les ressources et les possibilités de formation de notre site web du Mois de Sensibilisation à la Cybersécurité, comme le kit pédagogique #BeCyberSmart avec des supports pour aider les gens à protéger leurs données, au travail comme à la maison. 

Les personnes sont devenues le principal vecteur d’attaque des cyberattaquants dans le monde entier, de sorte que les humains, plutôt que la technologie, représentent désormais le plus grand risque pour les organisations. —SANS 2022 Security Awareness Report 

La sécurité commence par la sensibilisation 

Dans le lieu de travail sans frontières d’aujourd’hui, une sécurité complète est essentielle. Ce type de protection à 360 degrés nécessite de la formation et de la sensibilisation pour protéger les identités, les données et les appareils. Les programmes de sensibilisation permettent aux équipes de sécurité de gérer efficacement leur risque humain en changeant la façon dont les gens pensent à la cybersécurité et en les aidant à adopter des comportements sécurisés. Le SANS 2022 Security Awareness Report a analysé les données de plus d’un millier de professionnels de la sécurité dans le monde entier afin d’identifier comment les organisations gèrent leur risque humain. Le rapport a révélé que plus de 69 % des professionnels de la sensibilisation à la sécurité travaillent à temps partiel et consacrent moins de la moitié de leur temps à la sensibilisation à la sécurité.  

Selon le SANS 2022 Security Awareness Report, les professionnels de la sensibilisation à la cybersécurité devraient s’efforcer de :

• Impliquer la direction en mettant l’accent sur des termes qui lui parlent et qui démontrent un soutien à ses priorités stratégiques. « Ne parlez pas de ce que vous faites, parlez de pourquoi vous le faites. » 

• Envisager un ratio de 10 pour 1 entre les professionnels de la sécurité technique et les professionnels de la sécurité axés sur l’humain. 

• Collaborer avec les autres services de l’organisation—communications, RH, opérations commerciales—pour aider à mobiliser et à communiquer avec votre personnel. 

• Rendre la formation simple à comprendre et à suivre. « Comme pour l’entraînement, c’est la fréquence qui compte » et consacrer du temps à la collecte d’informations sur l’impact de leurs programmes de sensibilisation. 

À chacun de nous de #BeCyberSmart 

En 2022, les causes les plus courantes des cyberattaques restent les logiciels malveillants (22 %) et l’hameçonnage (20 %) (3). Même avec l’essor du Ransomware as a Service (RaaS) et d’autres outils sophistiqués, les êtres humains restent, pour les cybercriminels du monde entier, le vecteur d’attaque le plus fiable et le moins coûteux. C’est pourquoi il est essentiel que nous restions tous informés sur la manière de prévenir les violations et de nous défendre, au travail comme à la maison.  

Voici quelques mesures de base que nous pouvons tous prendre pour #BeCyberSmart :

Hameçonnage : Des e-mails trompeurs, de faux sites web, de faux messages texte… Ce type d’arnaques par hameçonnage représentait 30 % (4) des attaques en 2021. Lors du tournoi annuel Gone Phishing de Terranova l’an dernier, 19,8 % des participants ont cliqué sur le lien de l’e-mail d’hameçonnage tandis que 14,4 % ont téléchargé le faux document. Alors, comment éviter de mordre à l’hameçon ? 

• Vérifiez l’adresse e-mail de l’expéditeur pour y trouver des coordonnées vérifiables. Les signes courants d’hameçonnage incluent une adresse d’expéditeur mal orthographiée ou sans rapport. En cas de doute, ne répondez pas. Créez plutôt un nouveau courriel pour répondre. 

• Ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes tant que vous n’avez pas vérifié l’expéditeur. 

• Pour plus de conseils, visitez le site d’hameçonnage de la Federal Trade Commission.  

Appareils et logiciels : Les appareils et logiciels non corrigés et obsolètes constituent un point d’accès majeur pour les cybercriminels. C’est pourquoi adopter une bonne cyberhygiène est si important pour éviter les logiciels malveillants destructeurs capables de voler les informations personnelles des utilisateurs. Pour garder vos appareils en sécurité :

• Activez la fonction de verrouillage sur tous vos appareils mobiles.  

• Activez l’authentification multifacteur (MFA) sur vos applications et comptes sensibles.

• Exécutez un antivirus et installez immédiatement les mises à jour système. 

Escroqueries : Les criminels vous contacteront souvent pour tenter de « corriger » un problème inexistant. L’e-mail ou le message texte contiendra un sentiment d’urgence, par exemple : « Agissez maintenant pour éviter le blocage de votre compte ! » Si vous voyez ce type de message, ne cliquez pas sur le lien. Et n’oubliez pas de toujours signaler toute escroquerie suspectée, afin que l’organisation puisse agir. Quelques conseils à retenir : 

• Méfiez-vous des appels d’assistance technique non sollicités ou des messages d’erreur demandant une action urgente. 

• Ne suivez aucune instruction vous invitant à télécharger un logiciel depuis un site tiers. 

• En cas de doute, ouvrez une autre page du navigateur et rendez-vous directement sur le site web de l’entreprise.  

Mots de passe : Les mots de passe sont notre première ligne de défense contre l’accès non autorisé aux comptes, appareils et fichiers. Cependant, la personne moyenne possède désormais plus de 150 comptes en ligne ; la lassitude liée aux mots de passe est donc toujours un danger. Voici quelques conseils pour protéger vos mots de passe : 

• Utilisez le générateur de mots de passe de votre navigateur pour créer des mots de passe plus robustes.  

• Évitez d’accéder à des données personnelles et financières en utilisant le Wi‑Fi public. 

• Utilisez un gestionnaire de mots de passe, ou envisagez de vous passer de mot de passe. 

Favoriser une main-d’œuvre de la cybersécurité plus diversifiée 

En avril 2022, il y avait plus de 700 000 postes vacants dans la cybersécurité aux États-Unis, avec une prévision de 3,5 millions de postes en cybersécurité non pourvus dans le monde d’ici 2025 (5). C’est pourquoi Microsoft continue à s’adresser aux étudiants, aux anciens combattants, aux personnes réintégrant le marché du travail—à toute personne intéressée par le fait de devenir un défenseur de la cybersécurité. Cette année, à l’occasion du Mois de Sensibilisation à la Cybersécurité, nous mettons également en avant les initiatives de Microsoft visant à accroître l’accès à l’éducation en cybersécurité et à contribuer à combler l’écart en matière de main-d’œuvre. En partenariat avec le Last Mile Education Fund, Microsoft vise à atteindre au moins 25 000 étudiants d’ici 2025 grâce à des bourses et à des ressources supplémentaires liées aux parcours en cybersécurité.   

Le 7 octobre, nous accueillerons à nouveau le Microsoft Student Summit, un événement virtuel consacré aux compétences, conçu pour inspirer les étudiants de l’enseignement supérieur à faire carrière dans la technologie. Cet événement d’une journée offre aux étudiants l’occasion d’échanger avec la communauté des développeurs étudiants de Microsoft, en espérant susciter l’inspiration et nourrir une passion pour l’innovation. Nous continuons également à aider les étudiants à accéder à un emploi dans le monde réel en proposant des sessions d’apprentissage alignées sur les certifications Microsoft pour Security, Compliance et Identity. Les étudiants éligibles peuvent passer jusqu’à huit examens de certification fondamentaux gratuitement cette année universitaire. 

De plus, notre partenaire, la National Security Alliance, propose un programme de mentorat en ligne gratuit en collaboration avec plusieurs HBCU auquel vous pouvez participer dès maintenant. 

Aider à créer la prochaine génération de défenseurs de la cybersécurité est important, et nous voulons nous assurer que les portes soient ouvertes à tout le monde. C’est pourquoi nous poursuivons également notre partenariat avec Girl Security, en contribuant à donner davantage de moyens aux adolescentes et aux adultes, aux femmes et aux minorités de genre, en démystifiant la cybersécurité et en développant les compétences recherchées nécessaires à l’emploi. En contribuant à donner davantage de moyens aux adolescentes, aux femmes et aux minorités de genre, en démystifiant la cybersécurité et en développant les compétences recherchées nécessaires à l’emploi. Microsoft s’associe également à d’autres organisations pour tirer parti du message porté par ce moment d’octobre 2022 afin d’amener davantage de femmes dans le secteur, avec un webinaire Community College Pathways to Cybersecurity Success avec Women in Cybersecurity (WiCys) et un événement virtuel avec le Executive Women’s Forum axé sur les carrières en cybersécurité chez Microsoft. 

 Nous travaillons toujours sur de nouvelles initiatives éducatives ; restez donc à l’écoute de notre blog de sécurité et consultez les mises à jour ici. 

Restez cybermalins toute l’année 

Le mois de sensibilisation à la cybersécurité est une période spéciale pour nous, car nous nous réunissons collectivement—industrie, universités et gouvernement—pour promouvoir l’importance d’un environnement en ligne sécurisé. Nous savons que les cybercriminels sont persistants et déterminés, et qu’ils travaillent 24 h/24, 7 j/7, sans aucun jour de repos. C’est pourquoi nous devons travailler ensemble à la sensibilisation et à l’éducation tout au long de l’année et bâtir une culture de défenseurs du cyberespace. Continuez à visiter notre site web de sensibilisation et d’éducation à la cybersécurité pour en savoir plus sur les programmes d’éducation à la cybersécurité de Microsoft, télécharger le Microsoft Digital Defense Report 2022 et obtenir notre nouveau kit pédagogique sur la cybersécurité à utiliser dans votre organisation. Chacun a un rôle à jouer en cybersécurité, et lorsque nous apprenons ensemble, nous sommes ensemble plus en sécurité. 

En savoir plus 

Découvrez nos meilleures pratiques et ressources pédagogiques sur notre site web Cybersecurity Awareness. Pour en savoir plus sur les solutions Microsoft Security, visitez notre site web. Ajoutez aux favoris le blog de sécurité pour suivre nos analyses d’experts sur les questions de sécurité. Suivez-nous aussi sur @MSFTSecurity pour les dernières actualités et mises à jour sur la cybersécurité. 

1 La violation de données de Shields Health Care Group touche 2 millions de patients 

2 Une cyberattaque massive au Costa Rica fait souffrir les citoyens 

3 Statistiques alarmantes sur la cybersécurité pour le milieu de l’année 2022 à connaître 

4 Rapport d’enquête 2021 sur les violations de données de Verizon 

5 Dix statistiques percutantes sur la cybersécurité pour 2022