Conquérir l’erreur humaine avec KnowBe4 – Comment la plateforme de formation sur la sensibilisation à la sécurité protège les entreprises contre les vulnérabilités

TL; DR: Au lieu d’encourager les entreprises à dépenser des milliers de dollars en solutions de sécurité matérielle et logicielle, KnowBe4 se concentre sur la vulnérabilité la plus courante – le comportement humain. La plate-forme primée de sensibilisation à la sécurité combat les menaces de phishing par e-mail et de rançongiciel par des sessions de formation engageantes et une variété de tests et de simulateurs gratuits. Erich Kron, un défenseur de la sensibilisation à la sécurité, nous a expliqué comment KnowBe4 aide les entreprises et leurs employés à devancer les faiblesses de sécurité auto-infligées.


Même le département américain de la Défense ne suit pas toujours les protocoles de formation à la sécurité les plus rigoureux. Erich Kron, un employé de longue date, se souvient d’avoir regardé les mêmes programmes plusieurs années de suite.

“Vous arrivez au point où vous vérifiez parce que c’est du vieux contenu, et vous l’avez déjà vu”, a-t-il déclaré. “C’est un sujet sec, et il ne redevient pas simplement intéressant.”

Désormais un défenseur de la sensibilisation à la sécurité avec KnowBe4, Erich et environ 450 collègues aident les grandes et petites entreprises à fournir des expériences de formation dynamiques sur les menaces persistantes dans leurs boîtes de réception de messagerie et leurs mots de passe simples. Créé par un développeur antivirus et un hacker devenu expert en sécurité de renommée mondiale, KnowBe4 propose une formation approfondie aux côtés de simulations d’ingénierie sociale.

“Les gens ne veulent pas voir la même chose encore et encore”, a déclaré Erich. «Il est très important d’avoir constamment du contenu frais et nouveau, surtout compte tenu de la rapidité avec laquelle les menaces changent.»

Aborder l’élément humain de la sécurité

Basé à Tampa Bay, en Floride, KnowBe4 améliore les pratiques de sécurité de la vieille école en se concentrant sur le facteur de risque le plus sous-estimé – l’erreur humaine.

Malgré des investissements considérables dans les logiciels et services de sécurité, de nombreuses entreprises sont toujours victimes d’attaques qui interrompent les opérations commerciales et les sites Web. Dans certains cas, ce qui semble être une attaque – et entraîne les mêmes temps d’arrêt et pertes de revenus – est en fait le résultat d’un employé qui clique sur un lien dans un e-mail malveillant ou expose autrement l’infrastructure de l’entreprise à un danger.

Par exemple, l’exécution d’un code erroné par un employé a provoqué la panne d’Amazon Web Services en 2017. Causant des perturbations massives à travers le monde, l’événement montre comment une simple erreur peut entraîner des maux de tête et des pertes majeures – même en l’absence d’intention malveillante.

Image d'Erich Kron et du logo KnowBe4

Le défenseur de la sensibilisation à la sécurité Erich Kron et KnowBe4 aident à protéger les entreprises contre les faiblesses internes.

“L’une des idées fausses les plus courantes est que vous pouvez repérer un e-mail de phishing simplement par la mauvaise grammaire et l’orthographe”, a déclaré Erich. «Les gens ne réalisent pas le montant d’argent impliqué dans ces attaques. Ce ne sont plus des enfants dans leur sous-sol qui font ça en buvant Mountain Dew et en mangeant de la pizza. “

Stu Sjouwerman, qui avait précédemment lancé Sunbelt Software et développé Vipre Antivirus, a lancé KnowBe4 en 2010.

«Avant, ils faisaient de la protection des terminaux mais constataient toujours que les gens étaient constamment frappés par des logiciels malveillants», a expliqué Erich. “En y réfléchissant, Stu a réalisé que ce sont les gens qui étaient toujours le problème.”

Une éducation qui évolue parallèlement à des menaces en évolution rapide

Au début des escroqueries par phishing, la majorité des utilisateurs pouvaient facilement identifier les menaces en vérifiant l’adresse de l’expéditeur ou en repérant de nombreuses fautes d’orthographe et de grammaire. Cependant, selon Erich, les cybercriminels sont depuis devenus plus intelligents et plus secrets.

“Un couple d’émotions humaines qui motivent vraiment l’action sont l’indignation et la colère”, a déclaré Erich. «Ils enverront des courriels politiques ou traitant de l’actualité qui font vraiment bouillir le sang des gens. Si les gens se scandalisent, ils ont tendance à agir en ouvrant le document ou en cliquant sur un lien dans l’e-mail. »

Comme le phishing par e-mail a évolué en de nombreuses attaques de ransomwares de haut niveau, le piratage est devenu une industrie bien financée – avec sa propre économie souterraine et ses échanges de crypto-monnaie.

La sécurité va désormais au-delà de l’analyse de fichiers ou de la mise en œuvre de nouvelles règles de pare-feu, a expliqué Erich. En tant que tel, KnowBe4 met régulièrement à jour son programme pour fournir un contenu non seulement attrayant mais à jour avec les dernières menaces.

“Nous ajoutons continuellement plus de contenu à notre bibliothèque”, a déclaré Erich. «Nous avons la plus grande bibliothèque de sensibilisation à la sécurité au monde, de loin. Cela fait une grande différence en ayant cela à la disposition des clients. »

Outils et ressources qui facilitent les pratiques technologiques plus sûres

Parce que les pirates s’attaquent aux personnes mal informées, une formation précoce et un renforcement constant sont d’une importance primordiale, nous a expliqué Erich..

«Nous essayons d’amener les entreprises à former la personne immédiatement», a-t-il déclaré. “Dès qu’ils ont accès à la messagerie, ils sont vulnérables.”

Les premières étapes de la formation à la sensibilisation concernent des sujets tels que les meilleures pratiques en matière de mots de passe et l’établissement de connexions réseau sécurisées, ainsi que l’identification et le signalement des tentatives de phishing..

Images des tableaux de bord KnowBe4

KnowBe4 fournit des mesures à l’échelle de l’organisation et spécifiques à l’utilisateur pour aider les organisations à évaluer leur sécurité.

Avec un fort accent sur le phishing, la fraude et d’autres attaques d’ingénierie sociale, KnowBe4 a identifié 22 drapeaux rouges qui indiquent une attaque possible. Pour les e-mails, il s’agit notamment des expéditeurs non reconnus, des groupes de destinataires apparemment indépendants, et des hyperliens et textes d’ancrage incompatibles, entre autres signaux. Par exemple, le message peut être envoyé à des personnes au sein d’une organisation qui travaillent dans des services indépendants mais partagent des noms similaires. D’autres menaces courantes incluent des heures d’envoi inhabituelles et des appels à l’action, comme exhorter le lecteur à cliquer sur un lien ou à télécharger une pièce jointe.

En plus de la vaste bibliothèque de contenus de formation de KnowBe4, les entreprises peuvent accéder à une variété d’outils gratuits pour évaluer les comportements de sécurité de leurs employés. Grâce aux tests de sécurité du phishing, les employeurs peuvent envoyer des attaques de phishing basées sur des modèles et obtenir des informations sur le comportement des employés. D’autres ressources gratuites incluent des tests pour la sécurité des mots de passe, l’usurpation de domaine et un simulateur de ransomware.

Un réseau de sécurité alimenté par la rétroaction et la sensibilisation de la communauté

Même si KnowBe4 est composé d’experts en sécurité passionnés et bien connectés, Erich a déclaré que les clients de l’entreprise prenaient parfois conscience de nouvelles attaques avant eux. Lorsque les cibles potentielles sont mieux informées et conscientes des menaces de sécurité, elles peuvent identifier les attaques émergentes et informer les autres.

Les clients peuvent envoyer des commentaires sur les fonctionnalités, les tendances de sécurité et de vulnérabilité, et même des exemples concrets de tentatives d’ingénierie sociale.

En tant que dernière ligne de défense contre les attaques dévastatrices, des employés bien informés sont l’un des atouts les plus précieux d’une organisation, a déclaré Erich..

“Au sein de notre plate-forme elle-même, nous avons une section où les clients peuvent soumettre des modèles d’e-mail pour le simulateur de phishing”, a déclaré Erich. “Quand ils voient des choses du monde réel, ils peuvent les modifier, supprimer les mauvais liens, puis les publier pour que la communauté plus large les utilise et en prenne conscience.”

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me