Cybersécurité : recruter des profils techniques pour sensibiliser les employés est une erreur

Étiquettes

attitude, audit interne, évaluation, cas pratique, connaissance, conscientiser, cours, cybersécurité, domaine, employés, formateur, formation, frein au changement, homogène, management, méthodologie, participant, Public, questionnaire, ressources humaines, RH, salariés, sécurité, sécurité informatique, sensibilisation, session

Ce n’est pas une généralité, mais souvent un bon technicien , ou un spécialiste dans sa discipline ou dans son domaine, ne sont pas forcément de bons formateurs, en particulier en termes de sensibilisation.

Le public à sensibiliser (ou à conscientiser) n’est pas constitué de collaborateurs homogènes et ils ne disposent pas d’un même niveau de compétences ou de connaissances en système d’information. D’autant plus, que certains employés (au sens large du terme) le vivront comme une contrainte ou un supplément « d’activité » non prévue initialement dans la composante de leur poste et présenteront un « frein au changement » d’attitudes en estimant qu’il existe des spécialistes dont c’est leur rôle.

Enfin, il ne faut pas négliger les faits suivants que ce soit en termes de sensibilisation ou de formation :

1.  L’intervenant, outre le fait de posséder un certain charisme, doit proposer une présentation attrayante (l’utilisation de Powerpoint n’est pas nécessairement la meilleure solution).
2. La présentation ne doit pas être trop courte, ni trop longue, mais adaptée à l’ensemble des participants à la session.
3. La pratique de mini-cours théoriques, en alternance de cas pratiques exécutés par les participants, sont nécessaires dans certains contextes et types d’intervention.
4. La nécessité d’un retour vis-à-vis du management de proximité et des ressources humaines, à l’aide d’un questionnaire synthétique, permet d’obtenir une évaluation par les participants de la formation ou de la sensibilisation réalisée.
5. La vérification par le management de proximité, mais également par l’audit interne, de la bonne compréhension et de la réelle mise en pratique de l’acquis dans le travail opérationnel des collaborateurs sensibilisés ou formés.
6. L’utilité, en fonction des besoins, d’effectuer des piqûres de rappel, mais aussi  des sensibilisations et des formations progressives en raison des nouveaux risques encourus et d’incidents survenus (exemples basés sur des cas concrets) au sein ou en relation avec des parties prenantes de l’entreprise.

Les professionnels des Ressources Humaines s’appuient couramment sur des spécialistes de la sécurité pour sensibiliser les employés à la sécurité. Trop techniques et peu adaptés à cette fonction, ceux-ci rencontrent souvent des difficultés pour fédérer les employés et assurer pleinement leur rôle.
Souvent, les employés ne sont toujours pas conscients de l’impact que leurs actions peuvent avoir sur la sécurité de l’information au sein de leur organisation. Le récent rapport Threat Landscape 2017 de SANS montre que les menaces les plus importantes ciblent généralement des individus précis, mais souligne également que les employés jouent un rôle clé dans la détection et la prévention des menaces. Il est d’ailleurs encourageant de constater que de plus en plus d’organisations reconnaissent que la sensibilisation à la sécurité contribue à mettre en place un « pare-feu humain » solide et investissent dans une stratégie de sensibilisation à la sécurité.
Ainsi, de plus en plus d’organisations investissent désormais dans la gestion du risque humain, notamment en recrutant ce que beaucoup appellent un Security Awareness Officer, un Security Communications Officer ou un poste lié à la formation ou à la culture en matière de sécurité. http://www.economiematin.fr/news-rh-entreprises-cybersecurite-sensibilisation-salaries

 

A consulter également :

Les superviseurs bancaires commencent à s’intéresser au cyberrisque

Comment fédérer les énergies des fonctions de contrôle en entreprise dans une approche à forte valeur ajoutée?

Positioning risk management to succeed — Norman Marks on Governance, Risk Management, and Audit

L’humain, le maillon faible de la sécurité des entreprises

Les arnaques au président en augmentation dans les PME

Étiquettes

arnaque, assistant comptable, attaque, banque, cible, circuit, connaissance, corruption, détournement, détournement de fonds, dirigeant, escroc, euros, faux, faux ordre de virement, faux virement, FOVI, fraude, fraude au Président, fraudeur, investigation, mail, messagerie, ordre, personnel, PME, responsabilité, technique, tromperie, victime, virement

Les grandes entreprises redoublent de vigilance, puisqu’elles ont été les premières victimes des faux ordres de virement. Désormais, les escrocs s’attaquent aux PME.

Le faux ordre de virement (FOVI) est devenu, depuis peu, l’arnaque la plus redoutable en France pour les entreprises. Cette escroquerie en plein essor aurait permis de détourner quelques 250 millions d’euros depuis 2010. L’art du FOVI consiste à abuser d’un employé ou d’un assistant comptable afin d’exiger un virement bancaire. Elle nécessite une phase préalable de connaissance de l’entreprise ciblée, de son personnel, et de ses dirigeants.

Source : Journal du Net http://www.journaldunet.com/management/expert/68222/les-arnaques-au-president-en-augmentation-dans-les-pme.shtml

 

A consulter également :

Comment j’ai déjoué deux tentatives de fraude

Fraude au Président ?

Je compte sur vous, la « fraude au président » portée sur grand écran

 

 

Le monde selon les algorithmes | Revue Gestion HEC Montréal

Étiquettes

algorithme, analyse, audit, audit interne, connaissance, contrôle, contrôle interne, données, entretien, environnement, environnement numérique, fraude, gestion, HEC, informatique, mathématique, mission, Montréal, numérique, opération élémentaire, opérations, PCA, prévention, programmation, règles, risque opérationnel, Risques, tests

En mathématiques et en informatique, il s’agit d’une suite finie de règles et d’opérations élémentaires sur un nombre fini de données qui permet de résoudre une classe de problèmes. Les algorithmes sont utilisés en programmation.

L’intérêt de ce billet n’est pas directement lié au sujet principal de mon blog, mais j’ai jugé qu’il serait intéressant, sur un plan formatif, de vous faire découvrir un texte démontrant clairement le fonctionnement, les usages courants et les possibilités à venir des algorithmes. En particulier, à propos de l’information.

Lisez le texte cité et, dans votre esprit, faite des extrapolations au monde de l’entreprise qu’elle soit publique ou privée.

Pour pouvoir assurer une bonne gestion des risques opérationnels (les algorithmes sont des « créations » humaines) et d’autres catégories de risque (protection des données, cyber-risques, fraude …), tout comme leur diminution (réduction) grâce au contrôle interne, il convient d’en connaître la raison, l’utilité et le fonctionnement.

Enfin, citons une particularité : l’audit interne doit en connaître les rudiments et approfondir ses connaissances en la matière, car il y a un double intérêt :

1. Réaliser au mieux ses missions d’audit (Big Data, réseaux informatiques, audit qualité vis-à-vis de l’information, audit de sécurité…).
2. Savoir utiliser le plus précisément possible les algorithmes : plans de prévention (fraude, PCA, conception de tests préparatoires aux missions, analyse de données…).

 

L’environnement numérique définit aujourd’hui nos mœurs et nos normes de communication. Au cœur de cette (r)évolution, l’algorithme. Quels en sont les effets sur la circulation des idées et des contenus culturels? Faut-il en avoir peur? À l’occasion des Entretiens Jacques-Cartier, qui se sont tenus à Lyon du 21 au 23 novembre, des universitaires, des chercheurs et des professionnels des médias et de la culture s’interrogent sur ces effets de « la rencontre entre le code et l’esprit ».

Lire la suite →

Voici les tendances de la cybersécurité que les PDG devraient connaître en 2017

Étiquettes

accès, analyse, attaque, barrière, coûts, connaissance, crise, cyber-attaque, cybermenaces, cybersécurité, Data, DDoS, données, données mobiles, données sensibles, e-mailling, entreprise, fuite, gestion, gestion de crise, gouvernance, informatique, logiciels, malveillance, malware, mobilité, mot de passe, PDG, pishing, porte d'entrée, précaution, prévention, ransomware, réseaux, Risques, sandboxing, sécurité, sécurité informatique, sensibilisation, site, smartphone, spam, téléchargement, tendance, violation, web

Même si vous pensez disposer de toutes les connaissances et compétences en matière de cyber-sécurité, je vous recommande de consacrer quelques minutes de votre temps précieux à la lecture de l’article cité à la fin de ce post.

J’attire également votre attention sur trois points précis qui me semblent devoir constituer toute base de processus de prévention :

1. Le problème est souvent le manque de connaissance ouverte et de sensibilisation des utilisateurs, indispensable pour éviter que les cybercriminels entre de cette façon (réseaux).

2. Il n’est pas dans la pratique française, en général, d’exercer un débriefing détaillé des attaques subies et, de ce fait, de s’assurer de la prise en compte de la moindre petite faille.
3.   Par mesure de sécurité, mais aussi par crainte d’une utilisation frauduleuse par les employés, il est rare que les managers et les formateurs internes puissent utiliser les  résultats de débriefing comme cas pratiques lors des sessions internes de sensibilisation ou de formation.

Chaque violation de la sécurité peut coûter une entreprise d’environ quatre millions de dollars, et dans 26% des cas, une fuite peut éliminer plus de 10.000 dossiers. Voici quelques-uns des coûts de données d’une violation de données, selon une enquête Cost of a Breach Data qui a analysé les pratiques de sécurité de 383 entreprises […]

via Voici les tendances de la cybersécurité que les PDG devraient connaître en 2017 — La cybercriminalité

2017 : Disruption – Stratégie de disruption et innovation par la maîtrise des risques

Étiquettes

activité, aide, alertes, anticipation, appétence, audit interne, évolution, chaos, communication, connaissance, conseil, continuité, contrôle interne, culture, décision, dispositif, disruption, efficacité, efficience, Entreprise Wide Risk Management, entreprises, environnement, Ethique, EWRM, fintech, fonctionnement, gestion, holistique, identification, IE, influence, information, initiative, innovation, intelligence économique, maîtrise, maîtrise des risques, management, management des risques, menace, multinationale, nouvelles technologies, opportunités, organisation, pérennité, percevoir, performance, petite entreprise, pilotage, PME, portée, processus, protection, réputation, Risques, sécurité, startup, stratégie, système, technologie, turbulence, veille

Au départ, l’initiative apparaît comme une innovation presque fortuite, dont la portée, en tout cas, n’a pas été perçue immédiatement.

Nous vivons à une époque de turbulences majeures, de disruption, pour ne pas dire de “chaos” plus ou moins permanent.

Le professeur de Harvard Clayton Christensen a imposé mondialement, via son best-seller « Innovator’s Dilemma » (1997), une définition plus restrictive de « l’innovation disruptive ».

Pour Christensen, ne sont disruptifs que les nouveaux entrants qui abordent le marché par le bas, et se servent des nouvelles technologies pour proposer des produits ou services moins chers.

http://tempsreel.nouvelobs.com/economie/20160122.OBS3214/le-concept-de-disruption-explique-par-son-createur.html

https://hbr.org/2015/12/what-is-disruptive-innovation

http://nexize.com/fr/disruption-et-conformisme/

https://wecompanysocial.wordpress.com/2016/08/06/disruption-et-processus-dinnovation/

http://www.12manage.com/methods_christensen_disruptive_innovation_fr.html

http://www.nicolasbordas.fr/archives_posts/et-si-on-remettait-un-peu-dordre-dans-la-disruption

http://www.diplomatie-digitale.com/featured/strategie/entreprises-dilemme-innovation-1040

Quoi qu’il en soit, que vous soyez une start-up, une fintech, une petite ou moyenne entreprise ou une multinationale, il convient d’identifier les menaces et les opportunités. De même, il est nécessaire de connaître et d’anticiper les évolutions du milieu.

Ceci passe par une culture d’entreprise et un mode de gestion holistique des risques ou selon la méthode Entreprise Wide Risk Management (EWRM). Ce qui implique la promotion d’une culture du risque incluant l’éthique, la réputation et la sécurité.

La gestion des risques est une des composantes de la gestion stratégique. Au travers du management des risques, nous mettons en place les processus suivants :

1. Une veille.
2. Une protection de l’information.
3. Une aide à la décision.
4. Une dimension d’influence.

Même s’il ne s’agit pas d’actions directes, le pilotage par les risques, mené conjointement avec un management du contrôle interne efficace et efficient, fournit à toute entreprise un système d’intelligence économique. D’où la fin de la boucle permettant une gestion stratégique plus agile et plus conforme aux objectifs et à la réalité environnante.

Audit et contrôle internes sont au cœur de la performance durable des organisations.

Le contrôle et l’audit internes contribuent à sécuriser et améliorer l’activité afin d’assurer la pérennité du fonctionnement des sociétés.

En 2017, le contrôle interne doit évoluer vers un rôle de conseil et d’alerte en continu.

C’est le sens de mes vœux professionnels pour cette nouvelle année et celles à venir (afin qu’il ne s’agisse pas d’une simple résolution que nous oublions au fil du temps, mais une action dans la continuité du long terme).