Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
CIS Control 14 : Sensibilisation à la sécurité et formation des compétences

CIS Control 14 : Sensibilisation à la sécurité et formation des compétences

Mar 25, 2022

Le Contrôle CIS 14 concerne la mise en œuvre et l'exploitation d'un programme qui améliore la sensibilisation et les compétences en cybersécurité des employés. (Avant la version 8 des Critical Security Controls, cette zone était couverte par le Contrôle CIS 17.)
Ce contrôle est important car un manque de sensibilisation à la sécurité parmi les personnes à l'intérieur de votre réseau peut rapidement conduire à des data breaches dévastatrices, des temps d'arrêt, des vols d'identité et d'autres problèmes de sécurité. Par exemple, les pirates informatiques manipulent souvent ou trompent les employés pour qu'ils ouvrent du contenu malveillant et divulguent des informations protégées, puis profitent de mauvaises pratiques d'entreprise, comme le partage de mots de passe, pour causer davantage de dommages.

Contenu connexe sélectionné :

Pourquoi la formation en cybersécurité est essentielle

Les recherches révèlent ce qui suit concernant les causes des violations de données:

  • Environ 30 % des incidents sont dus à des erreurs humaines, telles que l'envoi d'informations sensibles à la mauvaise personne ou le fait de laisser un ordinateur déverrouillé dans un lieu permettant un accès non autorisé aux systèmes et aux données.
  • Encore 28 % des violations de données sont dues à des attaques de phishing, où les employés ouvrent des e-mails contenant des virus ou des enregistreurs de frappe.
  • Les mauvaises politiques de mot de passe sont responsables d’environ 26 % de toutes les violations de données. Par exemple, l’utilisation de mots de passe partagés et de mots de passe simples augmente considérablement le risque de fuite de données.

Contenu connexe sélectionné :

Malheureusement, moins de 25 % des organisations réalisent des vulnerability assessments régulièrement, 43 % admettent qu'ils ne sont pas sûrs de ce que leurs employés font avec les données sensibles et autres ressources, et seulement 17 % disposent d'un plan de réponse aux incidents. Pour se protéger, votre organisation doit être capable de :

  • Effectuez régulièrement des tests de sécurité informatique
  • Détectez les violations de données à leurs premiers stades
  • Répondez rapidement aux incidents de sécurité
  • Déterminez la portée et l'impact d'une violation
  • Ayez un plan pour récupérer les données, services et systèmes affectés

Comment le CIS Control 14 peut aider

Le contrôle CIS 14 peut vous aider à renforcer la cybersécurité et la protection des données dans votre organisation, ainsi qu'à réussir les audits de conformité. Il est basé sur les étapes suivantes :

14.1 Établir et maintenir un programme de sensibilisation à la sécurité

Votre programme de sensibilisation à la sécurité doit garantir que tous les membres de votre personnel comprennent et adoptent les comportements appropriés qui aideront à maintenir la sécurité de l'organisation. Le programme de sensibilisation à la sécurité doit être captivant, et il doit être répété régulièrement afin qu'il reste constamment présent dans l'esprit des travailleurs. Dans certains cas, une formation annuelle est suffisante, mais lorsque les travailleurs sont nouveaux aux protocoles de sécurité, des rappels plus fréquents peuvent être nécessaires.

14.2 Former les membres du personnel à reconnaître les attaques d'ingénierie sociale

La meilleure pratique suivante consiste à former l'ensemble de votre personnel à reconnaître et identifier les attaques d'ingénierie sociale. Assurez-vous de couvrir les différents types d'attaques, y compris les arnaques téléphoniques, les appels d'usurpation et les escroqueries de hameçonnage.

Contenu connexe sélectionné :

14.3 Former les membres de l'équipe sur les meilleures pratiques d'authentification

L'authentification sécurisée bloque les attaques sur vos systèmes et données. Les membres du personnel doivent comprendre la raison pour laquelle l'authentification sécurisée est importante et les risques associés à la tentative de contournement des processus d'entreprise. Les types courants d'authentification comprennent :

  • Authentification basée sur les mots de passe
  • Authentification multifacteur
  • Authentification basée sur des certificats

14.4 Former le personnel aux meilleures pratiques pour la manipulation des données

Les travailleurs ont également besoin de formation sur la gestion appropriée des données sensibles, y compris comment identifier, stocker, archiver, transférer et détruire les informations sensibles. Par exemple, une formation de base peut inclure comment verrouiller leurs écrans lorsqu'ils s'éloignent d'un ordinateur et effacer les données sensibles d'un tableau blanc virtuel entre les réunions.

14.5 Former les membres de l'équipe sur les causes de l'exposition involontaire des données

Les causes d'exposition accidentelle des données incluent la perte d'appareils mobiles, l'envoi d'e-mails à la mauvaise personne et le stockage de données dans des endroits où les utilisateurs autorisés peuvent les consulter. Assurez-vous que vos employés comprennent leurs options de publication et l'importance de faire preuve de prudence lors de l'utilisation des e-mails et des appareils mobiles.

14.6 Former les membres du personnel à reconnaître et à signaler les incidents de sécurité

Votre personnel doit être capable d'identifier les indicateurs communs d'incidents et savoir comment les signaler. À qui doivent-ils téléphoner s'ils soupçonnent avoir reçu un e-mail d'hameçonnage ou s'ils ont perdu leur téléphone portable professionnel ? Pour simplifier le processus, envisagez de désigner une personne comme premier point de contact pour tous les incidents.

14.7 Formez les utilisateurs à identifier et signaler si leurs actifs d'entreprise manquent de mises à jour de sécurité

Votre personnel doit être capable de tester leurs systèmes et de signaler les correctifs logiciels qui sont obsolètes ainsi que les problèmes avec les outils et processus automatisés. Ils doivent également savoir quand contacter le personnel informatique avant d'accepter ou de refuser une mise à jour pour être sûrs qu'une mise à jour est nécessaire et qu'elle fonctionnera avec les logiciels actuels sur le système.

14.8 Former les employés sur les dangers de la connexion et de la transmission de données d'entreprise sur des réseaux non sécurisés

Tout le monde devrait être conscient des dangers liés à la connexion à des réseaux non sécurisés. Les travailleurs à distance devraient bénéficier d'une formation supplémentaire pour garantir que leurs réseaux domestiques sont configurés de manière sécurisée.

14.9 Réaliser une formation spécifique au rôle sur la sensibilisation à la sécurité et les compétences

Adapter votre sensibilisation à la sécurité et la formation des compétences en fonction des rôles des utilisateurs peut la rendre plus efficace et plus captivante. Par exemple, envisagez de mettre en place une formation avancée à la sensibilisation à l'ingénierie sociale pour les rôles à haut profil susceptibles d'être ciblés par des attaques de hameçonnage ciblé ou de baleinage.

Résumé

Mettre en place une sensibilisation à la sécurité et une formation aux compétences telles que détaillées dans le CIS Control 14 peut aider votre organisation à renforcer la cybersécurité. En effet, fournir une formation efficace et régulière peut vous aider à prévenir les violations de données dévastatrices, le vol de propriété intellectuelle, la perte de données, les dommages physiques, les interruptions de système et les pénalités de conformité.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité