[1] La National Cyber Security Alliance (NCSA), le U.S. Department of Homeland Security (DHS) et des partenaires de l'industrie, ainsi que le secteur associatif et le gouvernement, tirent parti de la deuxième semaine du Mois national de sensibilisation à la cybersécurité (NCSAM) pour souligner l'importance de créer une culture de cybersécurité dans chaque entreprise, de la salle de pause à la salle du conseil.

« Les organisations de toute taille – y compris les prestataires de soins de santé, les collèges et universités, les agences gouvernementales et les organismes à but non lucratif – peuvent être victimes de cybercriminalité, ce qui peut entraîner le vol de renseignements personnels ou de propriété intellectuelle, ou de graves perturbations de notre quotidien », a déclaré Michael Kaiser, directeur exécutif du NCSA. « Il est important que les employés à tous les niveaux soient pleinement conscients du rôle qu'ils jouent pour rendre leur propre lieu de travail – et le grand public – plus sûr et plus sécurisé en ligne. »

Le NCSA recommande une approche descendante pour instaurer une culture de cybersécurité sur le lieu de travail. La direction doit commencer par le sommet et d'abord identifier les informations critiques à protéger – ou les « joyaux de la couronne » – telles que les données des consommateurs, les données des employés, les droits d'auteur et la propriété intellectuelle, puis sécuriser ces informations. « Les groupes qui travaillent à renforcer leur résistance et leur résilience sont les mieux préparés pour lutter contre les cybermenaces », a déclaré Kaiser.

Le NCSA recommande de suivre les étapes suivantes élaborées par le National Institute of Standards (NIST) et d'établir un plan pour garder votre entreprise cybersécurisée :

• Identifiez vos « joyaux de la couronne » numériques

• Protégez vos actifs

• Soyez en mesure de détecter les incidents

• Ayez un plan de réponse

• Restaurez rapidement les opérations normales

Apprenez-en davantage sur la création d'une culture de cybersécurité sur votre lieu de travail grâce à la nouvelle infographie du NCSA infographie. Téléchargez-la et partagez-la sur les réseaux sociaux en utilisant le hashtag #CyberAware.

La sensibilisation et la formation des employés sont également des éléments clés pour favoriser la cybersécurité sur le lieu de travail ; le nombre de campagnes de spear phishing ciblant les employés a augmenté de 55 % entre 2014 et 2015. « Chacun au travail joue un rôle essentiel dans la protection de l'entreprise et de ses données sensibles », a déclaré Kaiser. « Il est crucial de former votre personnel à l'utilisation sûre d'Internet au travail et à la maison, et de lui rappeler en permanence l'importance de protéger les informations organisationnelles et personnelles. »

Pour répondre aux besoins des petites et moyennes entreprises, le NCSA a récemment créé un atelier pour aider ces entreprises à apprendre à être plus sûres et plus sécurisées en ligne dans un langage facile à comprendre. Dans cet atelier, en utilisant une version simplifiée du NIST Cybersecurity Framework, du contenu provenant de partenaires fédéraux et les données de menace les plus récentes, le NCSA enseigne aux petites structures comment envisager la cybersécurité et propose des scénarios concrets ainsi que des étapes à suivre pour mieux sécuriser leurs données. Le NCSA a conçu cet atelier pour qu'il soit très interactif et fondé sur les principes de l'apprentissage des adultes, permettant aux propriétaires et aux exploitants d'appliquer les leçons à leur propre situation et de partager les conclusions avec leurs pairs. Les participants apprennent comment 1) comprendre les actifs qu'ils possèdent et que d'autres pourraient vouloir voler, 2) protéger ces actifs sans devoir dépenser beaucoup d'argent ni de temps, 3) détecter quand quelque chose a mal tourné et savoir comment réagir rapidement et de manière appropriée afin de réduire l'impact au maximum, 4) comprendre la nécessité de créer un plan d'action pouvant être mis en œuvre lorsqu'une faille ou un piratage se produit et 5) déterminer quelles ressources sont nécessaires pour se rétablir rapidement.

Le plus grand réseau social du monde intègre le jeu dans l'éducation à la sécurité

Facebook adopte une approche proactive en matière de sécurité, notamment dans la manière dont il crée et entretient une culture axée sur la sécurité. Lors de son initiative annuelle d'un mois, Hacktober, l'entreprise encourage ses employés à démontrer leur maîtrise de la sécurité et à acquérir de nouvelles compétences grâce à une compétition Capture the Flag (CTF) à l'échelle de l'entreprise. Les CTF associent les défis traditionnels de type « king of the hill » à des questions de style Jeopardy!, et constituent un outil d'enseignement très apprécié au sein de la communauté de la sécurité. Plus tôt cette année, l'entreprise a lancé une version gratuite de la plateforme afin que d'autres organisations puissent l'utiliser pour enseigner les compétences en sécurité aux employés, aux étudiants et aux autres parties prenantes.

Les activités de formation et de sensibilisation des employés peuvent aider à promouvoir une culture de cybersécurité, mais un autre facteur clé à traiter est la pénurie de professionnels hautement qualifiés en cybersécurité actuellement dans la main-d'œuvre. Malgré la demande croissante de talents en cybersécurité dans un monde de plus en plus connecté, plus de 209 000 offres d'emploi en cybersécurité restaient non pourvues aux États-Unis en 2015 – soit 74 % de postes vacants de plus qu'il y a cinq ans.[2]

Une enquête Raytheon-NCSA publiée aujourd'hui, « Sécuriser notre avenir : combler le déficit de talents en cybersécurité », explore les attitudes des millennials à l'échelle internationale ainsi que leur niveau de sensibilisation et leur intérêt pour le domaine de la cybersécurité. C'est la quatrième année que le NCSA et Raytheon s'associent pour cette enquête, et le soutien de Raytheon a été extrêmement précieux pour développer chaque année le succès du NCSAM. Bien que l'enquête de 2016 ait révélé certaines améliorations par rapport à l'année dernière en matière d'éducation et de sensibilisation à la cybersécurité en tant que profession, seuls 54 % des hommes et 36 % des femmes ont déclaré savoir en quoi consiste le métier d'un professionnel de la cybersécurité. En outre, seuls 27 % des hommes et 19 % des femmes ont déclaré que leur lycée les avait préparés à utiliser la technologie de manière sûre et éthique sur le lieu de travail, et seulement 40 % des hommes et 28 % des femmes ont déclaré avoir reçu des informations sur les carrières dans la cybersécurité de la part de leurs professeurs ou conseillers d'orientation du lycée.

« Même si nous étions reconnaissants de constater une progression de la sensibilisation à la cybersécurité en tant que profession viable pour les jeunes, il est essentiel que les principaux influenceurs – comme les parents, les enseignants et les conseillers d'orientation – en apprennent davantage sur cette option de carrière croissante et importante », a déclaré Kaiser. « Il est indispensable que les étudiants obtiennent leur diplôme avec les compétences dont ils ont besoin non seulement pour utiliser Internet de la manière la plus sûre et la plus sécurisée possible, mais aussi pour s'engager dans les nombreuses carrières diverses qui le protègent. »

Les parents peuvent jouer un rôle important pour aider à combler le déficit de talents en cybersécurité – et promouvoir un Internet plus sûr pour l'avenir – en sensibilisant leurs enfants aux carrières en cybersécurité. Quarante pour cent des personnes interrogées ont déclaré que leurs parents étaient les personnes les plus influentes de leur vie lorsqu'il s'agissait de choisir une carrière, mais seuls 26 % des hommes et 18 % des femmes ont déclaré avoir confiance dans les connaissances de leurs parents en matière de carrières dans la cybersécurité. Ces résultats suggèrent qu'il faut fournir davantage de ressources et d'informations aux parents sur les carrières en cybersécurité afin de mieux guider leurs enfants dans leurs choix professionnels. Pour obtenir des conseils sur la manière dont vous pouvez aider à enseigner à vos enfants et aux jeunes de la communauté les carrières en cybersécurité, consultez les conseils du NCSA.

En savoir plus sur l'enquête et ses conclusions ici.

Ressources de la semaine 2 du NCSAM

• Ressources du DHS:

  • C³ Voluntary Program SMB Toolkit:Cette boîte à outils comprend des ressources spécialement conçues pour aider les petites et moyennes entreprises (PME) à reconnaître et à traiter leurs risques en matière de cybersécurité. Les ressources comprennent des points de discussion pour les PDG, des étapes pour commencer à évaluer votre programme de cybersécurité et une liste de ressources pratiques à la disposition des PME.

  • U.S. Computer Emergency Readiness Team (US-CERT):US-CERT fournit les dernières informations sur la sécurisation des réseaux de votre entreprise.

  • Portail National Initiative for Cybersecurity Careers and Studies (NICCS): Créer une culture de cybersécurité sur le lieu de travail signifie doter les employés d'une formation en cybersécurité. Le portail NICCS propose une liste complète de formations en cybersécurité et dans des domaines connexes offertes aux États-Unis. Le catalogue de formations contient plus de 2 000 cours, et d'autres sont ajoutés chaque jour.

• Liste de vérification technologique du NCSA pour les entreprises: Cette liste de vérification vous aidera à identifier la technologie que votre entreprise doit protéger, et présente des conseils de sécurité de base, des considérations et des ressources pouvant aider à détecter, répondre à et se remettre d'incidents cybernétiques.

• Ressources de Logical Operations:

  • CyberSAFE Readiness Test: Les utilisateurs finaux jouent un rôle essentiel dans la protection des données de leur organisation, mais ils constituent souvent le maillon le plus faible de la chaîne de sécurité en raison d'un manque de sensibilisation aux menaces potentielles. Le test de préparation CyberSAFE est un outil gratuit qui peut être utilisé pour mesurer dans quelle mesure les employés peuvent reconnaître et éviter les cybermenaces courantes comme l'hameçonnage, les logiciels malveillants et les sites Web non sécurisés.

  • Kits NCSAM gratuits: Aidez à maintenir la sensibilisation à la cybersécurité au premier plan dans votre organisation grâce à un kit NCSAM gratuit. Les kits, créés par Logical Operations, comprennent des PSA sur la cybersécurité à afficher dans votre bureau, des chevalets à placer dans les salles de pause, des caches de confidentialité pour webcam et des e-mails que vous pouvez envoyer à vos employés.

• SANS Securing the Human Resources:

  • OUCH Security Awareness Newsletter: Cette newsletter – publiée chaque mois et en plusieurs langues – explique en termes simples comment vous pouvez vous protéger, ainsi que votre entreprise, votre famille et votre communauté, dans le monde numérique d'aujourd'hui.

  • Vidéos de sensibilisation à la sécurité: Chaque mois, Securing the Human partage une nouvelle vidéo de sensibilisation à la sécurité sur la façon dont vous pouvez tirer le meilleur parti de la technologie d'aujourd'hui en toute sécurité.

• CompTIA CyberSecure: CompTIA Cybersecure est un cours en ligne à suivre à son rythme conçu pour former toutes les personnes sur le lieu de travail – de l'agent d'accueil au directeur général – aux bonnes pratiques de cybersécurité essentielles à la protection de toute organisation. Pour bénéficier d'une licence gratuite, envoyez un e-mail à cybersecure-ops@comptia.org avant le 31 octobre.

• Council of Better Business Bureaus (BBB) Cybersecurity: Le BBB, en partenariat avec le NCSA, a créé des ressources fournissant aux petites et moyennes entreprises les outils, conseils et contenus dont elles ont besoin pour aider à gérer les risques cyber et à découvrir les meilleures pratiques de cybersécurité dans le monde numérique de l'entreprise.

• EDUCAUSE Review –Que savons-nous sur l'hygiène de sécurité des étudiants ?: Même les utilisateurs finaux les plus avertis créent des vulnérabilités de sécurité. Avec des millions d'étudiants travaillant chaque jour sur les réseaux des collèges et universités, comprendre les pratiques d'hygiène de sécurité de l'information des étudiants est essentiel pour évaluer le risque de sécurité dans l'enseignement supérieur. Découvrez le blog EDUCAUSE Review ici.

• Ressources de la Federal Trade Commission (FTC) :

  • Start With Security: A Guide for Business: L'initiative Start with Security de la FTC comprend de nouvelles recommandations – dont dix étapes clés – destinées aux entreprises, qui s'appuient sur les enseignements tirés de plus de 50 affaires de sécurité des données portées par la FTC au fil des années.

  • Data Breach Response – A Guide for Business: Vous venez d'apprendre que votre entreprise a subi une violation de données. Que des pirates aient pris des informations personnelles depuis votre serveur d'entreprise, qu'un initié ait volé des informations clients, ou que des informations aient été exposées par inadvertance sur le site Web de votre entreprise, vous vous demandez probablement quoi faire ensuite. Consultez cette ressource pour savoir quelles mesures prendre et qui contacter si des informations personnelles ont pu être exposées.

• HIMSS 2016 Healthcare Organization’s Guide to Keeping Information Safe and Secure: En entamant sa troisième année de partenariat avec le NCSA, HIMSS est fier de publier son infographie NCSAM, The 2016 Healthcare Organization’s Guide to Keeping Information Safe and Secure, ainsi que sa fiche de conseils l'accompagnant, Practical Tips on Safeguarding Information for Healthcare Organizations.

• Ressources de la National Initiative for Cybersecurity Education (NICE): Les professionnels actuels peuvent acquérir des compétences pratiques en cybersécurité en participant à des compétitions de cybersécurité et en utilisant des cyber ranges. Les ressources de NICE sur les cyber ranges et les compétitions de cybersécurité peuvent être utilisées individuellement et en équipe au travail pour renforcer votre posture de cybersécurité.

• NSA Day of Cyber: Le NSA Day of Cyber est une plateforme Web gratuite et interactive qui permet aux étudiants d'essayer et de vivre une journée dans la vie de six professionnels cyber de la NSA. Le programme présente aux étudiants des scénarios cyber réels et stimulants tout en les incitant à explorer le nombre croissant de carrières dans l'informatique et la cybersécurité. Vous pouvez vous inscrire ici.

• U.S. Small Business Administration (SBA) Managing a Business – Cybersecurity: Les petites entreprises possèdent des informations précieuses que recherchent les cybercriminels, notamment les données des employés et des clients, les informations de compte bancaire et l'accès aux finances et à la propriété intellectuelle de l'entreprise. La SBA fournit des conseils pour les petites entreprises et des liens vers d'autres ressources utiles.

Événements NCSAM à venir

• Sommet Mid-South sur la cybersécurité, vendredi 14 octobre, FedEx Institute of Technology, University of Memphis, Memphis, TN: Le Cyber Security Summit est un événement annuel qui réunit des leaders de la cybersécurité du gouvernement, des entreprises et de la recherche pour traiter les préoccupations les plus pressantes et les tendances émergentes auxquelles notre société est confrontée aujourd'hui. L'événement 2016, organisé par le NCSA, le FedEx Institute of Technology Cluster for the Advancement of Cybersecurity and Testing et le Center for Information Assurance, se concentrera sur les nouvelles cybermenaces et le contre-espionnage. L'événement sera diffusé en direct ici.En savoir plus et s'inscrire au Sommet ici.

• Événement phare de la semaine 3 du NCSAM, mercredi 19 octobre, 9 h – 13 h (PDT), Kenneth Hahn Hall of Administration, Los Angeles, CA: La ville et le comté de Los Angeles organisent un événement phare dans le cadre de la semaine 3 du NCSAM ; des tables rondes aborderont la reconnaissance et la lutte contre la cybercriminalité au sein de la communauté, ainsi que la cybersécurité pour les petites entreprises. En savoir plus et s'inscrire à l'événement ici.

• CyberFest2016 – The Future Is Now, jeudi 27 octobre, 8 h – 17 h (PDT), Hilton La Jolla Torrey Pines, 10950 North Torrey Pines Road, La Jolla, CA: CyberFest2016 est un rassemblement de professionnels du cyberespace, des infrastructures, des forces de l'ordre, d'InfraGard, de l'armée et des entreprises, qui exploreront comment le cyber est désormais si étroitement imbriqué dans le tissu des affaires que s'il venait à « se briser », les entreprises telles que nous les connaissons aujourd'hui n'existeraient plus. En savoir plus et s'inscrire ici.

• Future of Authentication Policy Day, jeudi 27 octobre, 13 h – 16 h (EDT), bureaux Google DC, Washington, D.C.: La FIDO Alliance, l'Electronic Transactions Association et le NCSA organiseront conjointement un événement en soutien au NCSAM afin de mettre en avant l'importance d'une authentification forte, d'explorer l'évolution du marché de l'authentification et d'en discuter l'impact sur le paysage politique et réglementaire. En savoir plus et s'inscrire ici.

Tout au long du mois, vous pouvez suivre la conversation NCSAM sur les réseaux sociaux en utilisant le hashtag #CyberAware (et en ajoutant également #CyberAware à vos propres publications !). De plus, @STOPTHNKCONNECT organise chaque semaine, tout au long du mois d'octobre, des chats Twitter pour discuter de différents sujets et tendances en cybersécurité. Connectez-vous chaque jeudi jusqu'au 3 novembre à 15 h EDT pour rejoindre la conversation, et visitez le site STOP. THINK. CONNECT.™ pour consulter le calendrier complet des discussions. Le NCSA a créé des exemples de publications sur les réseaux sociaux, des infographies, des affiches, des mèmes et bien plus encore qui encouragent les organisations et les particuliers à montrer leur soutien au NCSAM et qui peuvent être téléchargés et partagés. Vous pouvez également obtenir les dernières ressources dès qu'elles sont disponibles en vous inscrivant comme NCSAM Champion. Enfin, consultez le blog Stay Safe Online pour les publications NCSAM du NCSA et de ses partenaires pendant le mois d'octobre.

À propos du Mois national de sensibilisation à la cybersécurité

Le Mois national de sensibilisation à la cybersécurité (NCSAM) a été créé grâce à un effort de collaboration entre le gouvernement et l'industrie afin de garantir que chaque Américain dispose des ressources dont il a besoin pour rester plus sûr et plus sécurisé en ligne. Maintenant dans sa 13e année, le NCSAM est cofondé et codirigé par le U. S. Department of Homeland Security et la National Cyber Security Alliance, le principal partenariat public-privé à but non lucratif du pays qui promeut l'utilisation sûre et sécurisée d'Internet et la confidentialité numérique. Reconnu chaque année en octobre, le NCSAM implique la participation d'une multitude de leaders de l'industrie ‒ mobilisant des individus, des petites et moyennes entreprises, des organismes à but non lucratif, des établissements d'enseignement, des multinationales et des gouvernements. En encourageant les citoyens numériques du monde entier à STOP.THINK. CONNECT.™, le NCSAM s'appuie sur l'impact collectif de ses programmes et de ses ressources pour accroître la sensibilisation au paysage de cybersécurité en constante évolution d'aujourd'hui. Visitez la salle de presse du NCSA pour en savoir plus.

À propos de la National Cyber Security Alliance

La National Cyber Security Alliance (NCSA) est le principal partenariat public-privé à but non lucratif du pays, qui promeut l'éducation et la sensibilisation à la cybersécurité et à la vie privée. Le NCSA travaille avec le U.S. Department of Homeland Security (DHS) et le conseil d'administration du NCSA, qui comprend des représentants d'ADP; AT&T Services, Inc.; Bank of America; Barclays; BlackBerry Corporation; Cisco; Comcast Corporation; ESET North America; Facebook; Google; Intel Corporation; Logical Operations; Microsoft Corp.; NXP Semiconductors; PayPal; PKWARE; Raytheon; RSA, la division sécurité d'EMC; Salesforce; SANS Institute; Symantec et Visa Inc. Les principaux efforts du NCSA comprennent le Mois national de sensibilisation à la cybersécurité (octobre), la Journée de la confidentialité des données (28 janvier) et STOP. THINK. CONNECT.™, la campagne mondiale de sensibilisation et d'éducation à la sécurité en ligne cofondée par le NCSA et l'Anti Phishing Working Group, avec l'appui du gouvernement fédéral par le DHS. Pour plus d'informations sur le NCSA, veuillez visiter stagestaysafe.wpengine.com/about-us/overview/.

À propos de STOP. THINK. CONNECT.™

STOP. THINK. CONNECT.™ est la campagne mondiale d'éducation et de sensibilisation à la cybersécurité. La campagne a été créée par une coalition sans précédent d'entreprises privées, d'organismes à but non lucratif et d'organisations gouvernementales, sous la direction de la National Cyber Security Alliance (NCSA) et de l'Anti-Phishing Working Group (APWG). Le U.S. Department of Homeland Security dirige l'engagement fédéral dans la campagne. Découvrez comment vous impliquer sur stopthinkconnect.org.

[1] Symantec Internet Security Threat Report 2016

[2] Peninsula Press (2015). La demande pour pourvoir des emplois en cybersécurité est en plein essor.

Contact médias :

Jessica Beffa
Thatcher+Co.
720-413-4938
ncsa@thatcherandco.com