Dire à vos employés qu’ils doivent faire quelque chose ne suffit pas pour inspirer un changement significatif. Il suffit de demander à n’importe quel employé qui a déjà regardé une vidéo de sensibilisation à la cybersécurité. Bien que les vidéos demandent aux employés d’être attentifs à la sécurité des données, elles conduisent rarement à une amélioration globale des comportements de sécurité d’une entreprise. Pour améliorer votre culture de cybersécurité et, en fin de compte, la résistance de votre entreprise aux attaques, vous devez mesurer ce que font les gens quand personne ne regarde.
À la fin de l’année dernière, le groupe de recherche Cybersecurity at MIT Sloan (CAMS) a commencé à collaborer avec l’organisation de sécurité de Yahoo, surnommée les Paranoids, pour comprendre comment ils ont appliqué des mécanismes de gestion pour influencer la culture de cybersécurité de l’entreprise. L’équipe d’engagement proactif de Paranoids a utilisé avec succès plusieurs mécanismes intéressants et innovants qui ont conduit à de meilleurs comportements en matière de cybersécurité.
Un modèle d’engagement proactif
À l’été 2018, au milieu d’une réorganisation de la plus grande organisation de sécurité, les Paranoïdes ont réuni deux groupes disparates : l’équipe rouge (un groupe habile de pirates informatiques qui teste de manière offensive les systèmes internes, les services, les processus et les personnes pour découvrir les faiblesses systémiques) et l’équipe de sensibilisation à la sécurité de l’entreprise. Plus tard, les Paranoids ont ajouté l’équipe d’ingénierie comportementale, qui s’est concentrée sur la mesure des activités qu’ils considéraient comme de bons comportements de sécurité sur la base d’un mélange de données RH et de journaux technologiques d’entreprise.
Pour mieux comprendre comment les employés ont réagi aux menaces de cybersécurité, l’équipe d’ingénierie comportementale a d’abord fait la distinction entre les actions, les habitudes et les comportements des employés. Une action, ont-ils conclu, était quelque chose qu’une personne accomplit jusqu’à son terme. Par exemple, les employés de Yahoo devaient suivre une formation annuelle en sécurité. Le résultat souhaité, en prenant la classe, est une action. Une habitude était un raccourci fait pour des actions répétables. Former les employés, par exemple, à s’appuyer sur un gestionnaire de mots de passe plutôt que sur des changements de mot de passe manuels peut conduire à une habitude.
Enfin, ils ont défini les comportements comme la combinaison d’actions et d’habitudes dans le contexte d’une situation, d’un environnement ou d’un stimulus. Dans l’exemple précédent, le comportement de sécurité souhaité n’est pas simplement d’amener les employés à utiliser un gestionnaire de mots de passe. Au lieu de cela, l’objectif était d’amener les employés à générer et à stocker des informations d’identification à l’aide d’un gestionnaire de mots de passe chaque fois qu’ils créaient ou mettaient à jour des comptes.
Le processus de changement de comportement
Tenter de changer un comportement signifiait d’abord identifier le contexte spécifique d’une action souhaitée. Les Paranoïaques appelaient cela la création d’un objectif comportemental. Lors de la création d’un objectif comportemental, l’équipe d’ingénierie comportementale a cherché à répondre à la question : « Dans quel contexte spécifique voulons-nous qu’une cohorte (ou une personne) spécifique fasse quelle action spécifique ? »
Par exemple : « Lors de la génération d’un nouveau mot de passe d’authentification unique, nous souhaitons que tous les employés génèrent et stockent le mot de passe dans notre gestionnaire de mots de passe approuvé par l’entreprise. » La capacité de l’équipe à définir ces objectifs était essentielle pour mesurer efficacement l’orientation de la culture de cybersécurité au sein de l’organisation.
Au fur et à mesure que l’équipe d’ingénierie comportementale étudiait et développait des objectifs comportementaux, une formule a pris forme.
En savoir plus sur
Étape 1: Identifiez l’objectif comportemental souhaité. Un objectif clair pour un résultat comportemental spécifique est une condition préalable à tout changement mesurable. L’objectif évite ce que l’équipe a appelé des « conseils impossibles », qui sont des conseils de sécurité qui obligent l’utilisateur final à porter un jugement qualitatif sur la sécurité.
Étape 2 : Trouvez une mesure appropriée et créez une base de référence. Pour améliorer la culture de cybersécurité d’une entreprise et enrichir la résistance d’une entreprise aux attaques, il faut mesurer ce que les gens font quand personne ne regarde.
Étape 3: Prenez des mesures pour affecter le comportement mesuré, ajustez ces actions au fil du temps et répétez le processus. Les activités ont ensuite été conçues pour avoir un impact sur les lignes de base. Mais tout aussi important pour le succès de la conduite de comportements appropriés était d’apprendre des résultats de ces activités, puis d’ajuster et de créer de nouvelles activités pour une amélioration continue.
Le processus est devenu le fondement des expériences de changement de comportement menées par l’équipe d’engagement proactif. Plutôt que de demander aux employés de déterminer si un lien était suspect, ce qui est une approche subjective et erronée de la cybersécurité, le groupe Engagement proactif a défini un nouvel objectif comportemental pour les employés : lorsque votre compte d’entreprise reçoit un e-mail vous envoyant vers un site Web vous demandant d’entrer informations d’identification, signalez l’e-mail à notre équipe de défense.
Mesurer les comportements des employés
Encore et encore, dans les opérations de l’équipe rouge, les employés tomberaient dans le piège des e-mails de phishing qui leur présentaient de fausses pages de connexion, tout comme celui qui a dupé l’assistant du président de la DNC, John Podesta, en tapant son mot de passe dans une fausse page de connexion masquée par un lien raccourci dans un e-mail malveillant.
L’équipe a étudié le problème et a mis en évidence trois mesures clés :
Taux de sensibilité: nombre d’employés qui ont saisi leurs identifiants et n’ont pas signalé d’e-mails de phishing divisé par le nombre total d’e-mails de simulation de phishing envoyés.
Taux de capture des informations d’identification: le nombre d’employés qui ont saisi leurs identifiants (et n’ont pas signalé le lien à notre équipe de défense) divisé par le nombre d’employés qui ont ouvert la simulation de phishing et atterri sur la fausse page de connexion.
Taux de rapport: nombre d’employés ayant signalé la simulation de phishing divisé par le nombre total d’e-mails de simulation envoyés.
Avec un objectif comportemental et des mesures clés définis, l’équipe a entrepris de mettre en œuvre de nouveaux mécanismes de gestion pour diminuer le taux auquel les employés ont abandonné leurs informations d’identification. À l’époque, les simulations de phishing capturaient près d’un employé sur sept à chaque test. Un employé sur 10 signalait avec précision l’e-mail de simulation d’origine comme un hameçonnage potentiel. Après avoir examiné les données, l’équipe d’engagement proactif a décidé de se concentrer sur l’empêchement des employés d’entrer leurs informations d’identification sur une page de phishing.
La solution était déjà en place. Ils voulaient que les employés utilisent le gestionnaire de mots de passe qui avait déjà été payé et fourni par Verizon. Étant donné que le gestionnaire de mots de passe ne remplira automatiquement les mots de passe que sur les sites qu’il reconnaît, et non les faux destinés à voler les informations d’identification, il a éliminé la conjecture des mains des employés.
Architecture de choix, incitations, communication et gamification
À la mi-2019, l’équipe a installé le gestionnaire de mots de passe d’entreprise en tant qu’outil de détection de domaine dans ses navigateurs gérés par l’entreprise et a fait de l’utilisation de l’outil l’option par défaut pour tous les employés. L’équipe a également offert des incitations pour l’utilisation active du gestionnaire de mots de passe d’entreprise. Les employés qui utilisaient activement le gestionnaire de mots de passe ont reçu des marchandises telles que des t-shirts, des sweats à capuche et des chapeaux de marque Paranoid. Ils ont également créé des vidéos et du contenu pratiques pour informer les utilisateurs sur ce qu’il faut rechercher, comment identifier les e-mails suspects et quoi faire s’ils voyaient quelque chose de suspect. Ces communications étaient associées à des e-mails qui incitaient ceux qui étaient dupés par des simulations de phishing à lire des supports de formation supplémentaires et les dirigeaient vers le gestionnaire de mots de passe de l’entreprise.
L’équipe d’engagement proactif a mesuré les progrès en créant des tableaux de bord où les gestionnaires pouvaient comparer les performances de leur pilier d’entreprise à celles de leurs pairs. Les tableaux de bord étaient un outil important pour les managers car ils créaient un environnement de concurrence active et passive. Le concours a incité les employés à faire mieux, et le tableau de bord a permis aux gestionnaires de voir comment leurs rapports fonctionnaient. Ils ont également servi de pont entre l’équipe d’engagement proactif et la haute direction de Yahoo.
Recommandations exploitables pour les gestionnaires
Pour apporter un changement significatif, les gestionnaires doivent suivre trois étapes clés. Premièrement, ils doivent identifier les comportements critiques des employés. La plus grande transformation entreprise par les Paranoïaques était organisationnelle et non technologique. Ils ont testé les employés pour mieux éclairer leur stratégie de changement de culture de cybersécurité. Ce n’est qu’alors qu’ils ont élaboré et mis en œuvre un plan.
Deuxièmement, les gestionnaires doivent mesurer les comportements de manière transparente. Alors que l’équipe de sécurité ne pouvait pas prendre de décisions commerciales, les chefs d’entreprise le pouvaient. Pour les amener à le faire, l’équipe d’engagement proactif a créé des tableaux de bord qui ont permis aux gestionnaires de comparer les comportements de leurs subordonnés directs à ceux des piliers de l’entreprise de leurs pairs.
Enfin, les gestionnaires doivent utiliser la sensibilisation pour expliquer pourquoi quelque chose est important. À aucun moment, l’équipe d’Engagement Proactif n’a puni les employés ou mandaté l’adoption d’outils spécifiques. Au lieu de cela, ils ont utilisé leurs capacités de test offensives pour fonder leurs conseils sur des attaques du monde réel, puis ont expliqué pourquoi ces comportements avaient du sens pour l’entreprise.
Au second semestre 2020, le taux de capture des informations d’identification des employés de Yahoo dans les simulations de phishing avait été réduit de moitié. Le nombre de tentatives d’hameçonnage signalées avec précision a doublé. Et surtout, l’utilisation du gestionnaire de mots de passe d’entreprise de l’entreprise, la pièce maîtresse de la culture de cybersécurité de l’entreprise, avait triplé.
