Formation Akamai de sensibilisation à la sécurité

Chez Akamai, la sensibilisation et la formation à la sécurité représentent un processus continu qui commence dès le premier jour pour la plupart des employés. Voici un résumé du programme, suivi de l'expérience de formation personnelle d'un employé.

Formation Akamai de sensibilisation à la sécurité

Objectif :

Outre les actions de formation traditionnelles, Akamai estime que les informations de sécurité doivent faire l'objet de discussions et de priorités en vue d'améliorer la sensibilisation à la sécurité.

Public :

Cette politique s'applique à l'ensemble du personnel d'Akamai. 

Politique :

Les employés reçoivent une formation générale en sécurité au cours de leur premier mois, et chaque année par la suite. Au cours de la séance d'orientation du premier jour, un membre du programme de sécurité de l'information InfoSec présente aux nouveaux employés les procédures de sécurité d'Akamai, au cours d'un exposé de 40 minutes.

Rôles et responsabilités :

Tous les employés doivent attester chaque année avoir pris connaissance du Programme de sécurité de l'information d'Akamai et indiquer leurs disponibilités pour assister aux sessions de recyclage. Les sessions de recyclage sont principalement disponibles sous forme de vidéos de présentation et de documentation. Le groupe Information Security contrôle les accusés de réception et est chargé de garantir que le taux des employés d'Akamai en ordre de formations dépasse continuellement les 96 %. 

Le service de gestion des produits place les exigences de sécurité au premier plan de chaque version majeure du produit. Il garantit la confidentialité du nom du titulaire principal, ainsi que la sécurisation des autres données sensibles dans toutes les solutions, conformément aux normes de sécurité applicables.

L'équipe dirigeante examine régulièrement les multiples aspects du système de sécurité d'Akamai, y compris :

  • les progrès réalisés en matière d'identification et d'élimination des risques et failles de sécurité ; 
  • les opportunités de communiquer et de renforcer les pratiques et la sensibilisation en matière de sécurité, à l'échelle de l'entreprise et 
  • d'autres aspects des mesures permanentes prises par Akamai en matière de sécurité d'entreprise et manifestant leur présence dans le secteur de la sécurité réseau. 

Étude de cas :

C'est à la première personne que Bill Brenner, employé d'Akamai, présente le compte rendu détaillé de sa participation à la formation en sécurité d'Akamai. En qualité de Senior Program Manager, Brenner est chargé d'exposer l'historique de la sécurité d'Akamai à travers des articles, des podcasts, des vidéos, des blogs et d'autres supports multimédias.

Tout ce que j'ai pu écrire à propos de la sécurité de l'information depuis 10 ans n'a pas empêché certains moments de honte. L'an dernier, je suis tombé dans le panneau d'un des plus anciens tours d'ingénierie sociale, en cliquant sur le lien d'un message direct de Twitter dans lequel quelqu'un avec qui je travaillais me demandait si j'avais pris connaissance du méchant post dont j'avais fait l'objet. Le compte Twitter de mon collègue avait été piraté, et des messages similaires envoyés à ses contacts. À la seconde où j'ai cliqué sur le lien, je me suis rendu compte que je venais de faire quelque chose susceptible de compromettre mon compte et mes machines.

Il s'agissait d'un contexte rappelant une situation que j'avais vécue quelques années auparavant, en cliquant sur le lien d'un site de science-fiction que j'avais reçu de quelqu'un se faisant passer pour un vieil ami. Quelque cinq cents logiciels malveillants avaient été téléchargés sur mon ordinateur portable ce jour-là, principalement des annonces publicitaires pornographiques, avec des escroqueries boursières spéculatives envahissant mon écran. J'ai passé plusieurs heures à nettoyer et réparer les dégâts, mes collègues de bureau riant de bon cœur à mes dépens. 

Dans les deux cas, je n'avais pas reçu de formation en matière de sécurité dans les entreprises où je travaillais, mais en tant que rédacteur de situations liées à la sécurité, j'aurais dû réagir autrement. En ce qui concerne la sensibilisation aux questions de sécurité de l'entreprise, nous recevions des alertes de sécurité en cas d'attaque, mais nous n'avions jamais reçu de formation sur les best practices élémentaires.

Lors de mon premier jour chez Akamai, une séance d'orientation de près d'une heure a été consacrée à ce sujet. Depuis des années, j'avais maintes fois souligné l'importance de dispenser une formation en sécurité aux employés, mais c'était la première fois que j'en recevais une.

Dans le secteur des entreprises, les formations en sécurité ne peuvent en aucun cas être perçues comme des solutions universelles. Les entreprises ont toutes des besoins différents, et Akamai ne constitue pas une exception. Nous avons traité en détail des points spécifiques, qu'il est inutile d'exposer ici. Toutefois, la plupart des directives étaient tout à fait essentielles, s'appliquant à toute l'entreprise et à l'ensemble de l'industrie. 

Par exemple : 

Il a été souligné que nous pouvions utiliser l'application de messagerie instantanée de notre choix pour communiquer avec nos amis et notre famille. En revanche, pour toutes les communications internes et professionnelles, nous devons utiliser un outil de messagerie instantanée spécifique et distinct particulièrement sécurisé, doté de protections supplémentaires. 

Un ordre du jour quotidien nous donne l'instruction de vérifier les correctifs de sécurité de divers programmes, et une boîte de dialogue s'affiche de temps à autre, dans laquelle nous devons appuyer sur un bouton pour installer de nouvelles mises à jour. Au cours de la session de formation, il est indiqué clairement que nous devons prêter une attention toute particulière à ces demandes et procéder aux mises à jour demandées. Il est également recommandé de vérifier que les mises à jour proviennent effectivement d'une source autorisée. L'affichage de fenêtres contextuelles sur un écran peut se révéler dangereux.

Si nous laissons notre ordinateur sans surveillance, il est recommandé de verrouiller l'écran afin d'interdire l'accès aux données ou aux applications qu'il contient. Le deuxième jour, j'ai quitté le bureau en laissant plusieurs applications en cours d'exécution sur mon ordinateur. J'ai trouvé une note autocollante sur le moniteur me demandant d'utiliser un écran de veille.

À propos de notes autocollantes, une autre directive intéressante est de ne jamais laisser traîner de notes mentionnant des mots de passe ou d'autres données d'identification ou d'autorisation.

Si nous voyons quelqu'un qui tente d'entrer dans le bâtiment ou dans une zone sécurisée de l'entreprise alors que cette personne n'est pas munie d'un badge d'identification, nous sommes tenus de veiller à ce qu'elle soit correctement identifiée, par nous-mêmes, par le groupe de sécurité de l'entreprise ou via l'un de nos outils d'authentification (collègues, répertoires des employés, etc.). 

Notre programme est doté d'un grand nombre d'autres détails, mais il s'agit là de quelques exemples représentatifs, également profitables à d'autres entreprises.