Savez-vous que la plupart des violations de données et des cyberattaques réussissent en raison d’une erreur humaine ou d’un manque d’attention ?

Verizon et IBM rapportent tous deux qu'environ 30 % des destinataires d'e-mails ouvrent réellement des messages de phishing. Dans le même temps, le rapport Forrester sur la sécurité des données de 2016 révèle que 41 % des violations de données cette année-là étaient dues à des incidents internes, ce qui en fait la plus grande source d'attaques réussies.

La plupart des incidents internes ne sont pas intentionnels. Environ 65 % des attaques proviennent d’utilisateurs qui abandonnent leurs identifiants ou installent aveuglément des logiciels malveillants. En termes simples, ces utilisateurs finaux ne savent pas mieux. C'est parce qu'ils n'ont pas été instruits.

Ces approches néfastes fonctionnent. « Selon le Rapport d'enquête sur les violations de données 2017, et 1 utilisateur sur 14 a admis avoir été trompé en suivant un lien ou en ouvrant une pièce jointe qu'il n'aurait pas dû avoir', a écrit Michelle Drolet, fondatrice du fournisseur de services de données Towerwall dans un CSOonlineblog

En tant que MSP, il vous est demandé de protéger les ordinateurs et de nettoyer en cas de problème. Un RMM rend la remédiation possible et installe des correctifs et des mises à jour pour se protéger contre les attaques. Malgré ces efforts, les utilisateurs continuent d'ouvrir des messages malveillants, de cliquer sur des liens dangereux et d'être amenés à divulguer leurs identifiants et mots de passe.

La réponse? Formation de sensibilisation à la sécurité, que vous pouvez proposer en tant que service distinct ou intégrer un service de sécurité, le rendant infiniment plus robuste et demandant un supplément.

Il y a de fortes chances que les employés qui dirigent votre MSP connaissent bien la sécurité. Si vos clients acquièrent la même perspicacité, d’innombrables violations et attaques peuvent être déjouées.

Même si vous disposez d’un solide banc de sécurité, vos professionnels de la technologie ne sont pas des enseignants. Au lieu de créer votre propre service de formation à la sensibilisation à la sécurité, pensez à travailler avec un tiers, qu'il s'agisse d'un éditeur de logiciels ou d'un cabinet de conseil.

Webroot, par exemple, propose une formation de sensibilisation à la sécurité offre que les MSP peuvent mettre en œuvre. «Grâce à des formations continues, pertinentes et engageantes de sensibilisation à la cybersécurité, telles que des simulations de phishing, des cours sur les meilleures pratiques informatiques et de sécurité, ainsi que des formations sur la protection des données et la conformité, où les entreprises concernées peuvent réduire considérablement les risques auxquels elles sont confrontées en raison des erreurs des utilisateurs. La formation de sensibilisation à la sécurité de Webroot garantit que les personnes, les processus et la technologie sont tous exploités efficacement ensemble pour arrêter les cybercriminels. explique l'entreprise sur son site Web. « Pour maintenir leur succès et augmenter leurs bénéfices, les MSP d'aujourd'hui ont besoin d'automatisation et d'une gestion simple et nécessitant peu de maintenance. 'Que vous ayez besoin d'exécuter un programme de conformité, des simulations de phishing ou une formation continue des utilisateurs pour réduire les taux d'infection, notre formation intégrée rend simple et directe l'exécution de programmes de sensibilisation à la sécurité entièrement responsables et continus.'

La recherche montre la valeur

Forrester a analysé la valeur de la sensibilisation à la sécurité à travers un entretien approfondi avec un client KnowBe4. Le retour sur investissement a été impressionnant. « Le client interrogé a bénéficié de bénéfices sur trois ans, ajustés en fonction du risque, de 413 634 $, contre des coûts de 182 125 $, ce qui correspond à une valeur actuelle nette (VAN) de 231 509 $ », indique le rapport. « Réduction des coûts de remédiation des violations (102 778 $). Cet avantage se concentre sur la réduction des événements de violation résultant d’attaques de phishing contre les utilisateurs.

Cependant, les magasins ne financent pas la formation pour en tirer un bénéfice économique – ils le font pour mettre un terme aux violations. « La réduction des violations réduit proportionnellement le temps et les efforts liés aux tâches de remédiation telles que la réimagerie des postes de travail et la récupération des serveurs. Le client a souligné que ces événements étaient passés de deux chiffres chaque mois avant l'adoption de KnowBe4 à des chiffres faibles à deux chiffres, à un chiffre, et finalement à zéro dans l'année suivant le déploiement de KnowBe4 », ont conclu les chercheurs.

Un MSP, AGJ Systems & Networks, fait des progrès en matière de formation, selon une entretien avec TechTarget. 'La formation de vos collaborateurs est l'une des toutes premières lignes de défense', a déclaré Ryan Giles, PDG d'AGJ.

AGJ a intégré la formation à son service de sécurité MSP , et se rend sur place pour s'entraîner. Il envoie également un e-mail contenant des conseils de formation toutes les deux semaines.

Un autre tiers, Security Mentor, propose une formation de sensibilisation à la sécurité qu'il cherche à vendre par l'intermédiaire de MSP, a déclaré Marie White, PDG et présidente. 'Nous explorons des relations avec plusieurs MSP qui envisagent d'inclure notre formation dans le cadre de leur offre de base', a déclaré White à TechTarget.

Conseils de formation

Les experts suggèrent d’utiliser plusieurs approches pour dispenser une formation. Le site est idéal, mais le mode en ligne fonctionne également, tout comme les lists de diffusion et l'orientation des clients vers des sites Web contenant des ressources cruciales.

Suivez et testez votre formation. Ici, vous voulez vous assurer que les clients ont effectivement terminé le travail, puis tester l'efficacité en suivant les violations, les attaques, les incursions et les incidents. Vous pouvez également envoyer des quiz aux étudiants pour mesurer ce qu’ils ont appris et ce qu’il vous reste à enseigner.

Voici quelques sujets à aborder:

• Hameçonnage
• ingénierie sociale
• résister aux logiciels malveillants
• pratiques de mot de passe
• utilisation d'appareils portables
• problèmes d'accès physique tels que l'entretien des cartes-clés
• l'utilisation du cryptage
• comment éviter et récupérer d'une violation de données