Pourquoi a-t-il besoin d'une formation en sécurité basée sur les rôles?
Selon un rapport de 2024 Proofpoint, 71% des travailleurs ont admis avoir agi d'une manière qui met en danger la sécurité, comme cliquer sur des liens chez des expéditeurs inconnus ou partager des informations d'identification avec une source non confirmée.
Alors, pourquoi ne pas simplement dire aux employés de réduire les actions risquées? Il est probable qu'ils doivent prendre de tels risques dans le cadre de leur travail, comme le téléchargement de curriculum vitae pour les RH, confirmant les informations d'identification au service des assistants informatiques ou accédant aux données médicales en tant que chercheur.
«Ils ne font rien de mal», explique Witt. « Mais ces formations doivent les soutenir afin qu'ils puissent remplir leurs rôles et avoir encore des garanties en place. Après tout, ce sont eux qui obtiennent la part du lion des attaques. »
Leurs rôles peuvent ne pas être bien connus en dehors de l'organisation, mais ils peuvent travailler de manière vulnérable ou avoir accès à des données vendables qui les rendent souhaitables comme marques.
«Si vous êtes une institution de soins de santé et que vous avez une sorte de composante de recherche dans le cadre de votre organisation, vous êtes exponentiellement plus attaqué», explique Witt. «Nous avons connu de forts exemples où les acteurs en particulier de l'État-nation tentent d'accéder à des données précieuses pour qu'ils puissent monétiser.»
Les organisations devraient surtout avoir une formation personnalisée pour le service d'assistance, que les acteurs malveillants sont plus susceptibles de cibler, ajoute Witt. Il est courant que le service d'assistance reçoive des demandes de réinitialisation des méthodes d'authentification car quelqu'un achète un nouveau téléphone, par exemple. Comment cet employé de Help Desk peut-il vérifier qu'il s'agit d'une demande légitime provenant de l'organisation?
«Ils sont poussés à vouloir aider, et c'est un attribut que vous voulez vraiment voir dans le cadre de votre équipe, mais un acteur de menace peut s'attaquer à cela», explique Witt.
Par exemple, envisagez un employé d'assistance qui reçoit une demande de modification d'un mot de passe pour quelqu'un qui prétend être un oncologue sur place dans le service d'urgence d'un hôpital. Cet employé de Help Desk devrait se méfier car les oncologues ne sont généralement pas à l'urgence.
«C'est le niveau d'éducation, au niveau de l'industrie, au niveau des rôles, que nous essayons maintenant de construire dans notre propre programme», explique Witt. «Une personne qui travaille dans une organisation de soins de santé depuis longtemps peut être en mesure de faire cette connexion, mais qu'en est-il de quelqu'un plus récent au service d'assistance et à l'hôpital? Donc, cela doit faire partie de la formation.»
La formation en matière de sécurité basée sur les rôles devrait également inclure ceux qui ont des personnages publics ou des profils visibles, tels qu'un chirurgien orthopédiste notable ou un médecin qui fait fréquemment les médias.
«Les mauvais acteurs ont compris que toutes les adresses e-mail ou toutes les personnes au sein d'une organisation sont traitées de manière égale ou n'ont pas le même niveau de vulnérabilité», ajoute Witt. «Il y a certaines personnes au sein de ces organisations et de certains départements qui ont une vulnérabilité exponentiellement plus élevée.»