Comme tous les ans, le mois d’octobre est consacré à des activités de sensibilisation à la cybersécurité. A cette occasion, Opeyemi Ore, notre Responsable de la cybersécurité, revient sur les mesures que nous mettons en place pour protéger nos systèmes et nos données. Il explique aussi comment nous sensibilisons nos employés aux risques, pour renforcer notre « pare-feu humain » contre les cybercriminels.
Octobre est un mois important pour les professionnels de la cybersécurité et le moment de rappeler à tous la nécessité de bien connaître les risques, tant au bureau que dans notre vie personnelle. Cependant, comme je l’ai rappelé à nos collègues dans les séances d’information que nous avons organisées ces dernières semaines, il ne suffit pas de penser à la cybersécurité pendant un seul mois de l’année : c’est un effort de tous les jours. La digitalisation a certes apporté de nombreux bénéfices, mais cela a aussi augmenté les risques. Aujourd’hui, de nombreux acteurs malveillants rivalisent de créativité pour essayer de compromettre les systèmes d’information des entreprises et accéder à des données sensibles.
Un programme de cybersécurité à l’échelle du groupe
Chez TLScontact, nous traitons de grandes quantités de données personnelles dans le cadre de nos activités de collecte des demandes de visas pour nos clients gouvernementaux. La cybersécurité est donc au cœur de nos préoccupations. Au cours des dernières années, nous avons réalisé des investissements significatifs pour renforcer nos systèmes de défense. Avec notre maison mère Teleperformance, nous avons déployé un programme de cybersécurité mondial pour :
- Mieux sécuriser notre répertoire d’utilisateurs ;
- Améliorer nos capacités en matière de développement de logiciels, pour pouvoir mieux détecter d’éventuelles faiblesses dans nos applications ;
- Mieux filtrer et bloquer l’activité de bots qui pourraient chercher à perturber nos services web ;
- Améliorer nos outils d’analyse de journaux ; et
- Renforcer la sécurité de notre plateforme cloud.
Lire notre article Cybersécurité : se protéger des nouvelles menaces dans un contexte incertain
La sensibilisation des employés : élément clé de tout dispositif de cyberdéfense
Nos employés restent une ligne de défense essentielle dans nos efforts pour contrer les cybercriminels. C’est pour cette raison que nous organisons des formations et des séances d’information pendant tout le mois d’octobre, avec comme objectif d’alerter nos employés sur les risques et de leur expliquer comment y répondre.
Cette année, nous avons choisi comme thème principal l’hameçonnage, également sélectionné pour le Mois européen de la cybersécurité. Selon KnowBe4, une société spécialisée dans les formations sur la cybersécurité, les attaques d’hameçonnage sont à l’origine de plus de 90% des piratages informatiques et violations de données personnelles. Un employé peut recevoir une fausse facture ou un faux bon de commande, une demande d’informations ou un message sur un sujet de ressources humaines. Ces emails peuvent être très réalistes, mais pourraient permettre à un cybercriminel d’accéder aux systèmes d’information de la société en question.
Travaillant en partenariat avec KnowBe4, nous avons mis en place de nombreuses formations pour nos équipes, comprenant des séances avec nos experts internes et des modules d’e-learning. L’objectif est de rappeler comment identifier un email d’hameçonnage et comment réagir si l’on reçoit ce type de message. Régulièrement, nous simulons aussi des attaques d’hameçonnage pour tester la réaction de nos employés.
Comment repérer les attaques d’hameçonnage
Nous rappelons à nos collègues qu’un email d’hameçonnage peut avoir l’air très officiel. Il y a quand même des signes qui permettent d’identifier ce type de message :
- Un email d’hameçonnage contient souvent des fautes d’orthographe
- Il peut être envoyé depuis une adresse mail ou un domaine que l’utilisateur ne connaît pas
- Le message contiendra toujours un appel à l’action, généralement un lien sur lequel il faut cliquer, un fichier à télécharger, ou un formulaire à remplir avec ses données personnelles, comme un mot de passe ou un code PIN
- Il est toujours urgent, demandant à l’utilisateur de réagir dans l’heure ou dans les 24 heures.
Les attaques d’hameçonnage deviennent de plus en plus sophistiquées et les emails d’hameçonnage ciblé, ou « spear phishing », contiennent même des contenus personnalisés, le fruit de recherches menées en amont sur la cible, afin de rendre le message plus authentique. Il ne faut donc jamais baisser la garde et se tenir toujours au courant des dernières méthodes employées par les cybercriminels.
Pour faciliter nos efforts, notre nouveau bouton d’alerte hameçonnage, ou « Phish Alert Button », permet à nos employés de tenir notre équipe de cybersécurité informée de tout email suspect, en un clic depuis leur boîte mail. Le message ainsi identifié est supprimé directement et envoyé à nos experts pour analyse.
Chez TLScontact, nous rappelons que la cybersécurité est la responsabilité de tous. Même avec les systèmes de cyberdéfense les plus sophistiqués, les utilisateurs restent une partie essentielle du dispositif. Grâce à la formation et à la sensibilisation de nos employés, nous cherchons à consolider ce « pare-feu humain » et à assurer ainsi la meilleure protection possible de nos systèmes et des données qui nous sont confiées par les demandeurs de visas.
Article écrit par
Opeyemi Ore, Responsable de la cybersécurité