La formation en cybersécurité d’OutThink utilise la PNL et les données pour atténuer les risques liés aux employés

Traditionnellement, la cybersécurité était une issue de technologie – mais en réalité, c’est un problème de personnes.

Les recherches indiquent que le comportement humain est à l’origine de la majorité des problèmes de cybersécurité : 95 % selon la Forum économique mondial 82% par Verizon 2022 Rapport d’enquête sur les violations de données près de 91% selon le Royaume-Uni Bureau du commissaire à l’information.

Ce n’est pas faute de development, a déclaré Flavius ​​Plesu, PDG de la nouvelle plateforme de logiciel en tant que service (SaaS). OutThink.

« Les travailleurs n’ont pas été ignorés la development a toujours été un élément clé du paysage de la sécurité », a-t-il déclaré.

Cependant, a-t-il souligné, ceux-ci ont été principalement dispensés par le biais d’une development de sensibilisation à la sécurité (SAT) informatisée.

“Jusqu’à présent, l’objectif de SAT était d’instruire plutôt que de comprendre les utilisateurs”, a-t-il déclaré.

Pour y remédier, OutThink affirme avoir inventé une nouvelle catégorie de logiciels : la plateforme de gestion des risques humains en cybersécurité. Pour aider à son développement, la société a annoncé aujourd’hui qu’elle avait levé 10 thousands and thousands de dollars lors d’un cycle de financement en period d’amorçage.

“L’ensemble de la plate-forme vise à rendre pratique le côté humain de la sécurité”, a déclaré Plesu.

Un risque toujours croissant

Les cyberattaques continuent d’augmenter en complexité, en portée et en coût. La moyenne coût d’une violation de données est globalement de 4,35 hundreds of thousands de dollars  aux États-Unis, c’est as well as du double, à 9,44 millions de dollars.

En fait, l’édition 2021 du Forum économique mondial Rapport sur les risques mondiaux classe les cyberattaques parmi les trois plus grandes menaces de la décennie, aux côtés des armes de destruction huge et du changement climatique.

En ce qui concerne le comportement humain, l’accent de cette année Mois de la sensibilisation à la cybersécurité (Octobre) est « Voyez-vous dans le cyber ». Gartner identifie les programmes « au-delà de la sensibilisation » comme l’un des grandes tendances dans la cybersécurité en 2022.

“Les organisations progressistes vont au-delà des campagnes de sensibilisation obsolètes basées sur la conformité et investissent dans des programmes holistiques de changement de comportement et de lifestyle conçus pour provoquer des méthodes de travail in addition sûres”, écrit Peter Firstbrook, analyste chez Gartner.

Faire passer la formation au niveau supérieur

Les entreprises offrant des plates-formes à cette fin comprennent KnowBe4, SoSafe, CybSafe, Conscient des cyber-risques et CyberReadyentre autres.

L’outil d’OutThink utilise l’apprentissage automatique (ML) surveillé, le traitement du langage naturel (NLP) et la psychologie appliquée pour révéler ce que les utilisateurs croient vraiment et évaluer leur risque, a expliqué Plesu.

L’intelligence est combinée avec des données provenant de systèmes de sécurité intégrés – comme Microsoft Defender ou Microsoft Sentinel – pour présenter des tableaux de bord en direct montrant l’image globale du risque humain au niveau d’un département, d’un groupe ou d’une organisation, ainsi que les triggers profondes de ce risque, a-t-il déclaré.

Sur la foundation de ces informations, la plateforme recommande ou automatise ensuite la livraison d’actions d’amélioration sur mesure.

Les trois details du triangle personnes-processus-technologie sont « mieux alignés et reliés », a déclaré Plesu, et « les personnes ne sont furthermore le problème : elles deviennent la solution ».

La plate-forme est déjà utilisée par un certain nombre de grandes organisations mondiales, notamment Whirlpool, Danske Bank, Rothschild et les marques FTSE 100, a-t-il déclaré.

Relever le “défi humain”

OutThink est né de l’expérience personnelle de Plesu en tant que CISO. Au début de sa carrière, a-t-il expliqué, il a dirigé des programmes complexes de transformation de la cybersécurité au sein de grandes organisations mondiales.

“Il m’est apparu clairement que, malgré des investissements considérables dans les mesures procedures de sécurité et la development de sensibilisation, nous étions toujours exposés”, a-t-il déclaré.

Il a commencé à repenser la cybersécurité et à relever le « défi du risque humain » avec des pairs RSSI et des membres de la communauté universitaire.

Plesu a noté que, chaque fois que des personnes utilisent des systèmes informatiques pour traiter ou gérer des informations, il existe un risque inhérent que quelqu’un commette une erreur ou se retourne contre l’entreprise et trigger des dommages délibérés. La gestion des risques humains en cybersécurité vise à répondre à trois thoughts clés pour les RSSI :

• Identifier le risque humain: Qui au sein de mon organisation est le plus susceptible de provoquer une violation de données ?
• Comprendre le risque humain: Pourquoi ces personnes sont-elles à risque ?
• Gérer le risque humain: Comment mieux accompagner ces collègues ?

“L’idée d’OutThink est née de la aggravation suscitée par les alternatives de première génération sur le marché, mais elle est également née d’une conviction passionnée : si nous engageons les gens au-delà de la development à la sensibilisation à la sécurité, nous pouvons en faire le mécanisme de défense le moreover puissant d’une organisation”, a déclaré Plesu.

Une organisation du FTSE 100 a évalué OutThink à l’aide de plateformes de simulation de phishing indépendantes (Proofpoint et Cyber ​​Risk Mindful). Après une seule session OutThink individualisée de sensibilisation à la sécurité, ses employés étaient 47,74 % moins susceptibles de cliquer sur un lien de phishing et 46 % furthermore susceptibles d’identifier et de signaler correctement un e-mail de phishing, a déclaré Plesu.

Une nouvelle approche

En revanche, a-t-il déclaré, les outils de première génération sur le marché proposent des modules d’apprentissage en ligne ou des vidéos et des simulations de phishing qui sont généralement identiques pour tous les utilisateurs.

Bien qu’ils aient des niveaux d’efficacité modérés, ils souffrent du même problème que n’importe quelle resolution de formation : la grande majorité des informations (75 %) est oubliée en une semaine, a-t-il souligné.

Les nouvelles plates-formes utilisent le ML pour comprendre les comportements et cibler la formation, notamment par le biais d’enquêtes. Mais la PNL et la science des données ne sont généralement pas appliquées pour comprendre ce que les gens ressentent et pensent de la sécurité  ils dépendent de réponses honnêtes.

“Un grand nombre de biais cognitifs signifient qu’il s’agit d’une approche risquée”, a déclaré Plesu. “Les gens ont tendance à surestimer leurs propres capacités et connaissances, en particulier pour ceux qui ont les compétences les plus faibles.”

De as well as, les gens ont tendance à se considérer comme des exceptions et ils fourniront les réponses nécessitant le moins d’efforts.

Il existe également des ressources d’apprentissage en ligne conçues sur mesure pour les organisations ou des départements spécifiques en leur sein, a-t-il déclaré.

«Nous ne considérons pas cela comme une alternate practical car or truck il existe des différences majeures dans les attitudes de sécurité – y compris la personnalité, la notion des risques et les intentions – et les comportements de chaque employé au sein d’une organisation même au sein du même département », a déclaré Plesu.

En fin de compte, “la croissance go on de la cybercriminalité montre que les approches conventionnelles ne fonctionnent pas”, a-t-il déclaré. “Il y a un besoin urgent de nouvelles approches efficaces pour la gestion des risques humains en matière de cybersécurité.”