Le 9 mars dernier se tenait le Sommet virtuel de la sensibilisation à la cybersécurité, édition France. Un événement riche en échanges et en enseignements qui a réuni des experts reconnus du milieu de la sensibilisation en cybersécurité tel que l’Agence de l’Union européenne pour la cybersécurité (ENISA), Microsoft, Capgemini, PROCSIMA-GROUP, Sanofi et VINCI.
Du panorama des cybermenaces de 2021, aux meilleures approches de défense pour réduire l’efficacité des attaques de phishing, en passant par l’atout des exercices de simulation, les intervenants étaient unanimes sur un point : la formation en sensibilisation à la cybersécurité doit devenir une priorité pour les entreprises.
Dans ce billet, découvrez pourquoi la formation en sensibilisation ne peut plus être une option pour protéger les données des organisations contre les cyberattaques et quelle approche doivent adopter les entreprises pour mettre en place des campagnes de sensibilisation qui changent les comportements des utilisateurs.
Cliquez sur le bouton ci-dessous pour visionner l’intégralité de l’événement en replay!
Des cybermenaces en constante évolution
Le phishing, le smishing, ou encore le vishing, sont toutes des cyberattaques dont la sophistication s’est considérablement accrue au cours des dernières années entraînant par le fait même la multiplication des rançons versées aux cybercriminels. C’est ce qu’a révélé le panorama des cybermenaces 2021, présenté par Chloé Blondeau, experte nationale détachée, Équipe Sensibilisation et Éducation de l’European Union Agency For Cybersecurity (ENISA) ou l’Agence de l’Union européenne pour la cybersécurité.
Un constat qui a abouti à la redéfinition du mandat de l’organisation et à la création d’une équipe transverse et pluridisciplinaire au sein de l’agence européenne pour supporter les nouvelles missions de sensibilisation, d’éducation, de dissémination et de promotion de la cybersécurité auprès des États membres, des écosystèmes institutionnels et des acteurs privés. Car si les solutions technologiques permettant la sauvegarde, la séparation et la limitation des accès se multiplient (MFA, antispams), elles ne peuvent à elles seules assurer la protection des données des entreprises.
Une place plus importante doit être donnée à la sensibilisation, la formation et la mesure du changement des comportements des utilisateurs. Comme le mentionnait Mme Blondeau, bien que des initiatives comme le Mois européen de la Cybersécurité de l’ENISA permettent aux participants d’améliorer leurs connaissances en cybersécurité, seulement 46 % d’entre eux sont véritablement capables de mesurer avec précision l’impact de ces apprentissages sur le changement de comportement et l’adoption de bonnes pratiques en cybersécurité.
Combiner solutions technologiques et formation en sensibilisation
C’est pourquoi l’ENISA recommande de porter une attention particulière aux méthodologies à implémenter pour être capable de mieux suivre l’évolution des connaissances des utilisateurs en matière de cybersécurité pour mesurer correctement les changements de comportements. La fréquence des cours et des campagnes de formation est aussi un élément à prendre en compte. Un sondage en temps réel réalisé durant le Sommet auprès des 140 participants a permis de mettre en lumière que 62 % d’entre eux consacrent entre 1 et 3 activités d’apprentissage par an et par employé. Trop peu selon les experts de Terranova Security qui préconisent l’organisation de 4 sessions de 20 à 30 minutes pour permettre aux salariés de retenir plus durablement les enseignements.
L’approche de lier solutions technologiques et sensibilisation est aussi mise de l’avant par Microsoft. Selon Samba Koita, Cybersecurity Presales Engineer chez Microsoft, le développement des technologies de protection s’est fait aux dépens de la partie sensibilisation, c’est-à-dire d’une approche humaine. Il précise pourtant que si aucune technologie ne permet de bloquer 100 % des menaces et intrusions, à l’inverse, la sensibilisation permet de réduire de 50 % les dépenses liées au phishing. Dans ce contexte et pour augmenter la détection des attaques par les salariés, les simulations de phishing sont un véritable atout pour les entreprises.
Théo Zafirakos, RSSI de Terranova Security est revenu sur l’édition 2021 du Gone Phishing Tournament, la simulation d’attaque de phishing la plus étendue au monde, réalisée en collaboration avec Microsoft. Alors que la simulation a conduit à l’envoi de plus d’un million d’e-mails émis aux salariés des entreprises participantes, les résultats se sont montrés surprenants : 1 employé sur 5 a cliqué sur le lien de phishing inclus dans le faux e-mail. L’Europe a en plus affiché le taux de clics spontanés le plus élevé tout emplacement géographique confondu.
Adopter une approche proactive selon ses besoins
Une approche proactive de la sensibilisation au phishing est donc nécessaire pour les entreprises. 70 % des participants soulignaient d’ailleurs que les cybermenaces constituent la première préoccupation de leur organisation pour la prochaine année. Miser sur la sensibilisation permet de faire le point sur les pratiques habituelles des salariés, reconnaitre les tentatives de phishing et les types de malwares et de mettre immédiatement en pratique les enseignements d’une session.
Mais comment mettre en place une approche de sensibilisation à la cybersécurité ? La réponse dépend de l’entreprise, de son secteur d’activité, de sa culture, et de ses contraintes. C’est la conclusion que l’on peut tirer de la discussion ouverte entre les représentants de Capgemini, Procsima-Group, Sanofi et Vinci. Pour Édouard Zazempa, Head of Cyber Protection and Compliance chez Capgemini, « La cybersécurité, c’est comme le permis de conduire, cela passe par un cursus d’apprentissage obligé. Avec le déploiement de modules en mode Serious Game au besoin. ». L’organisation s’appuie sur un parcours d’apprentissage incluant 5 à 6 formations obligatoires avec un suivi rapproché assorti de rappels personnalisés.
Chez Procsima-Group, la gamification est aussi intégrée au cursus d’apprentissage et une attention particulière est apportée à la personnalisation des scénarios de cybermenace. Christophe Celio, Cybersecurity Leader, indique que le plus important en sensibilisation est de « mettre les personnes en situation réelle et réaliste. Comme par exemple, proposer à une infirmière un scénario crédible rencontré au quotidien. Cela permet d’alerter concrètement des impacts négatifs du facteur de risque humain. »
Finalement pour Aurore Perrin, Head of Cyber Awareness and Security by Design, chez Vinci et Vincent Detourbe, Information and Protection Expert chez Sanofi, œuvrant tous deux au sein de grands groupes implantés dans plusieurs pays et comprenant de nombreux salariés digitalisés, le défi consiste à l’atteinte d’un niveau homogène de sensibilisation. Cela passe notamment par la disponibilité d’un contenu de formation multilingue, l’adaptation du contenu à chaque culture ainsi comme le mentionne Mr Detourbe l’appui « d’un réseau d’ambassadeurs locaux dédiés à la fonction sûreté soit au HSE & qualité ». L’approche par mentorat permettant de « segmenter la formation par populations métiers, incluant une transmission orale, car les emails ne sont pas toujours lus. », selon Mme Perrin.
Un apprentissage personnalisé pour une formation en sensibilisation réussie
Un contenu diversifié, de qualité, ludique, interactif et disponible dans la langue de l’utilisateur, des simulations de phishing et la personnalisation des modules d’apprentissage sont les clés d’une formation en sensibilisation à la cybersécurité réussie. Sur le long terme, un autre élément doit être pris en compte pour confirmer la réussite d’une formation : la mesure de l’évolution des connaissances et des compétences des salariés et donc de leur changement de comportement. Et c’est pour y répondre que Terranova Security proposera le Cyber Hero Score, un outil de support indispensable à la création d’un parcours d’apprentissage personnalisé selon le rôle, le niveau de connaissance et de risque de chaque utilisateur.
Si une évaluation des connaissances des utilisateurs est déjà disponible de manière automatisée, le Cyber Hero Score va plus loin dans l’évaluation des groupes les plus à risques, l’analyse des valeurs, des historiques, etc. Cet outil permettra de développer des quizz adaptés et de multiplier les volets personnalisés, et ce en vue d’augmenter l’intensité de bénéfices de la formation pour un public précis. L’intégration par des APIs à des plateformes externes de calcul de risques (SIEM/LMS) permettra de suivre et gérer l’évolution du score de l’utilisateur et de réaliser des rapports détaillés des résultats tout en offrant des fonctions d’anonymisation.
C’est en acceptant de miser sur une approche autant humaine que technologique, que les entreprises pourront maximiser leur retour sur investissement et minimiser le facteur de risque humain. Qu’attendez-vous pour commencer ?
Voyez ou revoyez le Sommet sur la sensibilisation à la cybersécurité en entier
L’innovation en sensibilisation à la cybersécurité.