La sensibilisation à la sécurité est d’abord une question humaine. Découvrez comment un leader dans le « Magic Quadrant for Security Awareness CBT » jette les bases d’une formation de sensibilisation à la sécurité centrée sur les personnes.
Les employés, ou l’actif humain de votre organisation, posent un risque de sécurité pour cette dernière. Les entreprises peuvent faire face au risque humain à l’aide d’une solution humaine : un programme de sensibilisation à la sécurité centré sur les personnes, qui mise sur le changement des comportements des employés afin de créer une culture de cybersécurité dans toute l’organisation.
« Ce sont les gens, plus que la technologie ou les politiques et processus, qui influencent la sécurité. Le marché de la
formation assistée par ordinateur (FAO) sur la sensibilisation à la sécurité repose sur l’idée qu’à défaut d’un système de cybersécurité parfait, les gens jouent un rôle essentiel sur le plan de la sécurité et de la tolérance au risque globales d’une organisation. Ce rôle est défini par des forces et faiblesses inhérentes chez l’être humain : d’une part, la capacité à apprendre et d’autre part, la vulnérabilité à l’erreur, à l’exploitation et à la manipulation. Le marché de la formation sur la sécurité axée sur l’utilisateur est en pleine croissance. La demande provient des besoins des responsables de la sécurité et de la gestion du risque, qui cherchent à améliorer les comportements touchant la sécurité des employés, des citoyens et des consommateurs. »(Gartner Magic Quadrant for Security Awareness Computer-Based Training, Joanna Huisman, 18 juillet 2019)
Gartner reconnaît Terranova Security comme un leader dans le « Magic Quadrant for Security Awareness computer-based training 2019 ». Selon nous, cette reconnaissance vient confirmer le progrès considérable que nous avons fait pour concrétiser notre vision et démontrer notre leadership par l’entremise des cinq éléments de la sensibilisation à la sécurité centrée sur les personnes.
Les cinq éléments de la sensibilisation à la sécurité centrée sur les personnes
Pour changer les comportements des employés afin qu’ils accomplissent toutes leurs tâches avec la sécurité en tête, il faut d’abord comprendre ce qui motive les gens et adopter une approche humaine de la sécurité, puis mettre en place un programme de sensibilisation à la sécurité centré sur les personnes. Les responsables de la sécurité des systèmes d’information (RSSI) et les responsables de la sensibilisation à la sécurité sont conscients de ce besoin, mais ne savent pas toujours comment incorporer, à leur programme de sensibilisation, tous les éléments qui inspireront des changements de comportement à long terme chez les employés.
1. Un contenu de haute qualité
Tout programme de sensibilisation à la sécurité doit offrir du contenu pertinent de qualité, ce qui motive les utilisateurs et rend le programme de formation amusant, significatif et favorable aux changements de comportement. Lorsque le contenu est élaboré par une équipe d’experts en la matière et inspiré d’une approche pédagogique éprouvée chez les adultes, la formation a de fortes chances d’entraîner un taux de réussite optimal. Un autre élément vital du contenu de haute qualité consiste en des modules de microlearning portant sur des risques particuliers, ce qui renforce les comportements axés sur la sécurité. De récentes observations rappellent la nécessité d’adopter des méthodes d’enseignement modernes, comme la ludification (gamification), pour transmettre de nouvelles connaissances. Les formations ludiques peuvent aider à motiver les utilisateurs. Enfin, les activités d’apprentissage conçues selon les rôles et responsabilités des employés offrent une touche personnelle et une efficacité accrue.
2. Des campagnes personnalisées
Plus une formation évoque d’éléments connus, plus celle-ci plaira aux employés. Si un programme de sensibilisation à la sécurité comporte de nombreux points personnalisés, autant sur le plan de la marque que du contenu, les employés auront nettement plus tendance à participer pleinement, à retenir l’information et à modifier leurs comportements. Divers aspects d’un programme de sensibilisation à la sécurité centré sur les personnes se prêtent bien à la personnalisation : adaptation à la marque, outils de communication, contenu, langue et plus encore.
3. Un partenaire par excellence
Dans le cadre de notre approche consultative, nous agissons à titre de partenaire expert en la matière pour aider les responsables de la sensibilisation à la sécurité à planifier, puis à mettre en place un programme de sensibilisation conçu sur mesure pour leur organisation. Après tout, un programme standard de sensibilisation à la sécurité ne peut pas convenir à tous. Un partenaire-conseil en sensibilisation à la sécurité vous sera d’une aide précieuse. Grâce à ses conseils d’expert et à ses aptitudes de mentor, le partenaire aide à planifier et à mettre en œuvre un programme de sensibilisation à la sécurité centré sur les personnes, qui motive les utilisateurs et entraîne des changements de comportement.
4. Une démarche de sensibilisation à la sécurité en cinq étapes
Il est bien plus facile d’atteindre un objectif en suivant une démarche ou un plan éprouvé. Par exemple, si votre objectif est de courir un marathon, impossible de réussir en commençant l’entraînement une semaine avant la course. Vous aurez plutôt intérêt à choisir un plan d’entraînement éprouvé et adapté à votre mode de vie, qui vous guidera dans vos préparatifs pour le marathon. Il en va de même pour la sensibilisation à la sécurité. Un excellent moyen de changer le comportement des employés et de bâtir une culture de sécurité est d’adopter un programme global, qui permettra d’analyser en détail les besoins et objectifs de l’organisation, puis de définir les prochaines étapes. Pour y arriver, l’idéal est de suivre une démarche éprouvée, en continue, composée des cinq étapes suivantes : analyser, planifier, déployer, mesurer et optimiser. Sans une démarche de sensibilisation à la sécurité, changer les comportements risqués des employés s’avérera bien difficile. Une telle démarche prend tous les facteurs en compte, notamment la manière dont les gens acquièrent et entretiennent de nouvelles habitudes. Le résultat? Une culture de sensibilisation à la sécurité, ainsi qu’une réduction considérable des brèches de sécurité attribuables aux employés.
5. Une sensibilisation à la sécurité à la demande
Avant de choisir un modèle pour gérer son programme de sensibilisation à la sécurité, une entreprise doit d’abord déterminer ses ressources et son expertise. Prenez comme exemple une organisation disposant d’une grande équipe mobilisée pour veiller à ce que les employés aient la sécurité comme mot d’ordre dans toutes leurs tâches et soient bien informés à ce sujet : cette entreprise n’aura pas tant besoin d’aide d’un partenaire externe. Cependant, si une organisation confie à son équipe de sensibilisation à la sécurité plusieurs autres mandats, comme c’est le cas dans la majorité des organisations, cette équipe interne ne suffira pas pour soutenir le programme. Heureusement, les responsables de la sensibilisation à la sécurité disposent d’autres options. En fonction de leurs besoins, ils peuvent collaborer avec un partenaire externe pour mettre en œuvre le programme de sensibilisation, tout en choisissant le degré d’aide requis : une aide occasionelle, ou un accompagnement constant du début à la fin du programme.
Terranova Security a adopté une approche humaine concernant la sensibilisation à la sécurité et a défini cette approche dans son Guide de la sensibilisation à la sécurité centrée sur les personnes. La formation en cybersécurité est votre priorité cette année? Téléchargez le guide et découvrez les éléments clés pour assurer le succès de votre programme de sensibilisation à la sécurité centré sur les personnes, lequel peut changer le comportement des employés et protéger votre organisation comme jamais auparavant.
Procurez-vous gratuitement le rapport Magic Quadrant de Gartner
Gartner Magic Quadrant for Security Awareness Computer-Based Training, Joanna Huisman, 18 juillet 2019.
Gartner ne cautionne aucun fournisseur, produit ou service décrit dans ses publications de recherche, et ne conseille pas aux utilisateurs de technologie de sélectionner uniquement les fournisseurs ayant les meilleures notes ou une autre désignation. Les publications de recherche de Gartner offrent les opinions de l’organisation de recherche de Gartner; elles ne doivent pas être interprétées comme des déclarations de faits. Gartner exclut toute garantie, explicite ou implicite, associée à cette recherche, y compris toute garantie de valeur marchande ou d’adaptation à un usage particulier.
Ce graphique a été publié par Gartner, Inc. dans le cadre d’une publication de recherche de plus grande envergure, donc doit être interprété dans le contexte de cette publication. Vous pouvez obtenir le document Gartner à la demande auprès de Terranova Security.