Les cyber-attaques contre les entreprises n’ont pas arrêté de faire la une des journaux ces derniers temps. Nous nous sommes demandé si l’APB était bien sécurisé et nous avons donné la parole à Erwin Vanderhaeghen, directeur ICT à l’APB. Sa devise est de continuer à attirer l’attention des utilisateurs et à les responsabiliser.
L’homme est le maillon faible
Erwin Vanderhaeghen : « Ces dernières années, nous avons beaucoup investi dans la sécurité d’un point de vue technique. Nous avons fait des investissements dans des firewalls, des antivirus, des anti-ransomware et nous avons aussi fait des audits de sécurité. Beaucoup de choses ont été mises en place, mais on a beau sécuriser le plus possible, le maillon faible reste l’utilisateur… et les hackers le savent aussi. On doit donc absolument sécuriser au maximum pour limiter fortement le risque, mais il est tout aussi fondamental de travailler sur l’élément humain. Par exemple, si un(e) employé(e) donne son login et son mot de passe, de manière volontaire ou pas, on peut prendre toutes les mesures de sécurité qu’on veut, en un rien de temps on a un gros problème. Pour contrer ce problème spécifique, on utilise là où c’est possible l’authentification multi facteurs, c’est-dire la nécessite de fournir un code supplémentaire à côté du login et du mot de passe. »
Différentes étapes
« Au sein de l’APB, on a mis sur pied des campagnes de sensibilisation depuis 2015. Des posters créés par notre propre département de communication (voir images dans ce blog) ont été affichés partout dans le bâtiment de l’APB.
En 2016-2017, nous avons invité nos collaborateurs et collaboratrices à participer à des sessions de sensibilisation données par un spécialiste de la sécurité. Un ancien membre de la police fédérale, spécialisé en criminalité informatique, a partagé son expérience avec des cas vécus. Cela a donné lieu à des discussions sur le comportement à avoir et beaucoup de conseils.
Depuis 2017, nous avons aussi voulu tester la réaction des employés de l’APB face à des mails de type phishing. Nous procédons de la manière suivante : on envoie un faux mail de phishing vers tous nos utilisateurs afin d’examiner leur comportement. Ont-ils appelé le helpdesk, ont-ils cliqué sur le lien ou ont-ils même donné leur mot de passe ? Après l’analyse des résultats, nous faisons le suivi de ceux qui ont échoué au test en leur donnant des explications ou en leur faisant suivre une formation par exemple. Jusqu’à présent, 15 tests de ce type ont été réalisés.
En 2018, une formation en ligne de sensibilisation sous forme de jeu a été organisée. Les utilisateurs devaient choisir le meilleur comportement à adopter en fonction du risque de sécurité auquel ils étaient confrontés.
Cette année une nouvelle campagne débute, avec notamment des vidéos relatives à la sécurité à disposition de tous les utilisateurs.
Taper sur le clou
Une leçon à retenir pour Erwin Vanderhaeghen est qu’il faut constamment taper sur le clou car l’attention diminue avec le temps. « Comme les employé(e)s ont bien d’autres choses à faire, ils (elles) vont baisser la garde et leur vigilance. En plus, les malfaiteurs deviennent de plus en plus crédibles, leurs mails sont plus réalistes comparé à avant où il était facile de voir directement qu’il s’agissait d’une tentative de phishing. Un problème supplémentaire est qu’avec les applis mobiles, le contenu du mail est moins visible et il s’avère être d’autant plus facile de cliquer sur un lien. »
Conseils
Sur les affiches de l’APB ci-dessus se trouvent déjà quelques conseils. Plus de conseils figurent sur le site officiel safeonweb. Vous pouvez y tester aussi votre vigilance en remplissant un test du phishing.
Pour conclure, deux liens intéressants vers des articles sur la cybersécurité des entreprises: cliquez ici et ici.
Suivez-nous sur...
nos canaux de médias sociaux. Restez au courant des dernières innovations dans le secteur de la santé, des gadgets technologiques, etc.