Le courrier électronique, qui constitue l'un des points d'entrée les plus fréquemment exploités au sein d'une entreprise, représente une menace majeure pour la sécurité des données. Qu'il s'agisse des données présentes dans la boîte de réception de l'utilisateur, des boîtes aux lettres partagées, de l'accès à des disques durs ou à des systèmes tiers tels que les plateformes CRM, la boîte de réception peut servir de point de départ à de nombreuses violations de sécurité.
Une violation de la sécurité des e-mails ouvre la voie aux données de votre entreprise
L'un de ces cas concernait uncabinet d'avocats dont le compte de messagerie Outlook avait été piraté.L'attaquant a alors pu détourner des paiements destinés à des bénéficiaires dans le cadre d'une succession.
C'est pourquoi une stratégie de sécurité solide, qui commence dès la boîte de réception, est non seulement essentielle pour la sécurité globale, mais aide aussi directement votre entreprise à respecter sesobligations au titre du RGPD.
Cependant, ce n'est pas un défi que la technologie peut résoudre à elle seule. Il faut disposer des outils adéquats et d'utilisateurs bien formés, travaillant ensemble dans le cadre d'une approche coordonnée de la sécurité des e-mails.
Les humains sont la principale source de failles de sécurité : c'est par là qu'il faut commencer
On estime que 90 % des failles de sécurité sont dues à une erreur humaine ; c'est donc là qu'il faut avant tout agir.Les menaces par e-mail devenant de plus en plus sophistiquées et ciblées, il est plus important que jamais que les utilisateurs sachent à quoi s'attendre face aux attaques de phishing.
Le Datatilsynet, l'autorité danoise chargée de la protection des données, fait état de conclusions similaires, attribuant plus de 80 % des incidents récents à des erreurs humaines. Parmi ceux-ci, le phishing était la principale cause des violations de données.
Cela montre clairement qu'une bonne défense commence par vos utilisateurs :
- Formez-les efficacement. Se contenter d'une simple formalité administrative une fois par an ne suffit pas. La formation doit être à jour, captivante et dispensée régulièrement. Des outils capables d'automatiser la formation et de proposer des contenus qui marquent les esprits permettront aux utilisateurs de mieux faire face aux menaces qui pèsent sur leur boîte de réception. Accompagnez-la de quiz pour évaluer leur assimilation et identifier leurs points faibles.
- Mettez la formation en pratique. Créez des simulations de hameçonnage qui vont au-delà de la théorie et observez comment les utilisateurs réagissent aux tentatives d'hameçonnage dans leur boîte de réception. Identifiez les tentatives qui auraient pu tromper les utilisateurs et repérez les lacunes de la formation afin de renforcer votre dispositif de réponse.
- Analysez et adaptez-vous. Plus l'organisation est grande, plus vous disposez de données exploitables. Identifiez les tendances, suivez les résultats des tests et identifiez les difficultés rencontrées par les utilisateurs dans la pratique. Il ne s'agit pas seulement d'une source utile d'informations exploitables : cela témoigne également d'une culture de la formation et de processus clairs, deux éléments indispensables pour se conformer àdes directives telles que la NIS2.
De bonnes pratiques en matière de données sont essentielles pour se conformer au RGPD
Outre la formation des utilisateurs à la détection des menaces, il est essentiel d'intégrer les principes du RGPD dans les pratiques quotidiennes. Cela permet d'éviter les problèmes avant qu'une tentative d'hameçonnage ne débouche sur un incident.
Dans le cadre du RGPD, il convient de mettre l'accent sur certains comportements en matière de données. Celles-ci constituent un actif de l'entreprise et doivent être traitées comme tel.
Chaque seconde compte en cas de violation de sécurité. De bonnes pratiques en matière de gestion des données peuvent atténuer certains des effets d'une attaque et, à tout le moins, ralentir la propagation des données compromises lors d'un incident.
- Encouragez l'utilisation des systèmes de l'entreprise. Les donnéesse retrouvent souvent dispersées entre des feuilles de calcul, des documents papier et des espaces de stockage personnels. Cela complique leur sécurisation et leur gestion. Veillez à ce que les utilisateurs recourent aux outils approuvés par l'entreprise, tels que les CRM, les systèmes marketing et les outils de gestion des tickets, pour stocker leurs données.
- N'envoyez jamais de données sensibles par e-mail, même en interne.Même en interne, les e-mails génèrent des copies persistantes difficiles à contrôler. Stockez les données dans des systèmes centralisés tels que les plateformes CRM ou SharePoint. Pour les partages externes, utilisez des mécanismes de partage contrôlés permettant de surveiller et de révoquer les accès. En interne, encouragez le partage via SharePoint ou OneDrive. Toute donnée stockée temporairement à des fins spécifiques doit être supprimée une fois son objectif atteint.
- Appliquez des règles de conservation lorsque cela s'avère nécessaire.Au niveau de l'entreprise, vous pouvez définir des règles de conservation des données tout en permettant aux utilisateurs de limiter manuellement la durée de vie des e-mails. Si un e-mail contient des informations sensibles destinées à un usage à court terme, encouragez les utilisateurs à définir eux-mêmes une règle de conservation plus stricte pour cet e-mail envoyé.
La meilleure tentative de piratage est celle qui n'atteint jamais la boîte de réception
Vous avez formé vos équipes, dispensé des formations et établi vos rapports. Cependant, empêcher les tentatives d'hameçonnage d'atteindre la boîte de réception des utilisateurs doit rester votre première ligne de défense.
Lors de l'événement Kaseya Local Connect organisé à Londres, des prestataires de services gérés (MSP) sont montés sur scène pourexpliquer que l'évolution des menaces liées aux e-mailsétait due, en grande partie, à l'intelligence artificielle. Ils ont toutefois également souligné que l'intelligence artificielle jouait un rôle tout aussi important dans la lutte contre ces menaces.
L'IA permet d'analyser les conversations afin de comprendre l'intention d'un e-mail, de scanner les codes QR pour détecter les URL cachées et les analyser, ainsi que d'utiliser l'apprentissage automatique pour identifier les anciens spams et e-mails de hameçonnage et s'adapter en temps réel aux futurs e-mails entrants.
Vous pouvez également aider régulièrement les utilisateurs enclassant les e-mails par catégorie et en indiquant leur niveau de risque, ce qui leur permet de garder la sécurité à l'esprit à chaque fois qu'ils consultent un message.
Les défaillances peuvent coûter cher
Les entreprises s'exposent à des amendes pouvant atteindre 4 % de leur chiffre d'affaires mondial annuel ou 20 millions d'euros (soit 17,5 millions de livres sterling) en cas de violation du RGPD. Les répercussions sur leur réputation peuvent également être désastreuses.
La sécurité des e-mails n'est qu'un aspect parmi d'autres de la conformité au RGPD, mais c'est un aspect essentiel. Selon une étude de Kaseya, 56 % des PME ont déclaré avoir été victimes de messages de phishing, et 40 % ont fait état d'incidents antérieurs liés à la compromission des e-mails professionnels (BEC). Dans ce contexte, le risque de violation du RGPD ne cesse de croître.
Que vous soyez une entreprise cherchant à améliorer sa conformité au RGPD et à la directive NIS 2, ou un fournisseur de services gérés (MSP) proposant des services à vos clients, vos priorités sont assez similaires. Les processus manuels ne suffisent pas, et vous ne pouvez pas vous fier uniquement au comportement humain ou aux technologies.
Une approche combinée est indispensable. À chaque étape, vous devez chercher à automatiser vos processus de formation, de reporting et de détection des menaces afin de vous assurer que le volet technologique de votre approche fonctionne correctement dans le cadre de la mise en conformité avec le RGPD.
