(9 min. de lecture)
Des incontournables pour une formation en sensibilisation à la sécurité réussie aux stratégies de déploiement, voici les éléments clés à retenir.
Le 5 mai, Terranova Security était l’hôte de l’édition 2020 du Sommet virtuel en sensibilisation à la sécurité. Commandité par Microsoft, il présentait des conférences sur une variété de sujets, une table ronde rassemblant des experts de l’industrie ainsi qu’une démonstration exhaustive sur la formation en sensibilisation à la sécurité.
La tenue de cet événement était fort à propos dans un contexte où les connaissances en cybersécurité sont devenues une priorité majeure pour bon nombre d’entrepreneurs et de professionnels du milieu des affaires. Les mesures de distanciation sociale mises en place dans la foulée de la pandémie de COVID-19 ont placé les compétences en sensibilisation à la sécurité des employés sous les projecteurs, en particulier pour les dirigeants qui considéraient auparavant ce genre de formation comme un bonus plutôt que comme un incontournable.
Des incontournables de la sensibilisation en entreprise aux méthodes de déploiement des formations, la brochette d’experts en cybersécurité invitée à l’événement en avait beaucoup à partager avec les participants.
Voici certains des éléments les plus importants à retenir :
1. La COVID-19 est une révélation pour la sensibilisation à la sécurité
Avant la pandémie de COVID-19, le télétravail était un luxe dont seule une fraction de la main d’œuvre nord-américaine profitait. Aujourd’hui, les choses ont bien changé.
Une nouvelle étude réalisée par Global Workplace Analytics estime qu’au moins 25 % des professionnels américains pourraient travailler à distance plusieurs jours par semaine d’ici 2021. Cela signifie que les niveaux de sensibilisation à la cybersécurité des individus seront plus que jamais scrutés à la loupe.
Brian Reed, directeur principal et analyste chez Gartner, a exhorté les participants au Sommet virtuel de ne pas « gaspiller cette crise » et d’adopter des mesures de formation en cybersécurité. « Nous avons été contraints à former des gens qui n’étaient pas familiers avec le télétravail », a-t-il ajouté.
La COVID-19 a pris plusieurs organisations par surprise et a créé différents niveaux de chaos tandis qu’elles tentaient d’adapter leurs normes de cybersécurité au télétravail. Reed a dit espérer que les entreprises de toutes tailles apprennent de leurs expériences et qu’elles consacrent plus d’effort à la construction d’un climat de responsabilité partagée en termes de sensibilisation à la sécurité.
Pour plus de trucs et conseils pour les télétravailleurs, consulter l’article de blogue : Trucs et conseils de cybersécurité pour le télétravail!
2. La clé pour convaincre les dirigeants de la pertinence d’une formation en sensibilisation à la sécurité
Pour atteindre ce sentiment de culpabilité partagée, l’importance de la cybersécurité doit être comprise par plus d’une personne ou d’un groupe. Les dirigeants doivent également être convaincus du concept.
Toutefois, cela est plus facile à dire qu’à faire. Cette tâche nécessite des bonnes compétences en vulgarisation et en négociation afin de démontrer aux dirigeant comment une formation détaillée en sensibilisation à la sécurité pour l’ensemble des employés peut avoir un impact positif sur leur bénéfice net, plutôt que de simplement ronger des ressources potentiellement limitées.
Reed a recommandé les étapes suivantes pour obtenir des appuis pour la mise en place d’un programme de formation en cybersécurité :
- Établir des liens clairs entre les exigences en sécurité et les objectifs corporatifs. Utiliser un message clair et concis pour souligner la valeur intrinsèque de la sensibilisation à la sécurité tout en tenant activement compte des préoccupations de chacun.
- Fournir des exemples spécifiques où la sensibilisation à la sécurité a entraîné de meilleurs résultats pour les entreprises. Il peut s’agir d’informations glanées dans des rapports internes ou tirées de publications officielles portant sur les conclusions de l’industrie et des événements d’actualité.
- Utiliser des données pour présenter la sécurité dans une optique de gestion des risques, plutôt qu’axée sur la menace. Les chiffres liés directement aux employés et/ou à l’importance financière permettront de mettre votre argumentaire en contexte et d’aider à renforcer votre soutien à l’interne.
Reed a également expliqué qu’il est important de « parler le langage des affaires » lorsqu’on communique les avantages d’une formation en sensibilisation à la sécurité. Une compréhension mutuelle est fondamentale à la mise en place d’un programme réussi.
3. Les simulations d’attaques d’hameçonnage sont des outils de sensibilisation essentiels
La plupart des initiatives de cybersécurité se concentrent principalement sur les solutions technologiques aux menaces numériques. Toutefois, selon un rapport réalisé par Gartner en 2019, les comportements risqués des employés demeurent l’une des « causes principales » des brèches de cybersécurité et des violations règlementaires.
Les organisations qui se targuent déjà d’une formation en sensibilisation à la sécurité, mais qui ne font pas de simulations, demeurent vulnérables aux tentatives d’hameçonnage. Comme l’a démontré notre rapport sur le Gone Phishing Tournament 2019, 11 % de tous les participants ont cliqué sur le lien d’hameçonnage, tandis que 29 % des employés ayant déjà été exposés à une formation en sécurité ont soumis leurs identifiants après avoir cliqué sur le lien.
Par conséquent, les simulations d’hameçonnage sont des outils de formation en sensibilisation à la sécurité essentiels pour toutes les organisations.
Brandon Koeller, gestionnaire de programme principal chez Microsoft, a précisé pendant sa présentation que les simulations d’attaques d’hameçonnage aident l’utilisateur à contextualiser la formation et, par le fait même, à approfondir ses connaissances sur les failles potentielles.
« Les agresseurs n’ont pas de zone de confort », a expliqué Koeller, ajoutant qu’ils recherchent des « motivations exploitables » qui leur donnent l’occasion de frapper. Il préconise les formations plus difficiles, parce qu’elles permettent aux utilisateurs d’adopter le point de vue de l’ « attaquant » plutôt que du « défenseur », ce dernier étant limité par l’incapacité à couvrir l’ensemble des points faibles possibles.
Obtenez des informations supplémentaires dans le rapport du « Gone Phishing Benchmark Global Tournament report » !
4. Mettre en œuvre la sensibilisation à la sécurité implique d’en mesurer la progression
Koeller a également souligné l’importance de mesurer la progression pendant le processus de formation à la cybersécurité. Les méthodes de formation plus agressives fonctionnement seulement si l’organisation adopte une surveillance plus serrée des résultats aux tests afin de tirer profit de toutes les opportunités d’apprentissage possibles.
Koeller a démontré comment une vigilance accrue, combinée à des leurres d’hameçonnage plus persuasifs, a entraîné non seulement des changements de comportement plus importants, mais également une diminution de la régression dans le temps. Autrement dit, l’intégration de simulations d’hameçonnage dans les formations en sensibilisation à la sécurité peut améliorer la résilience des utilisateurs face aux attaques potentielles.
Des données récentes indiquent que plus de 80 % des incidents de cybersécurité rapportés sont liés aux attaques d’hameçonnage. L’entreprise moyenne est constamment bombardée de menaces et, par conséquent, la priorité doit être accordée à l’amélioration continue de la sensibilisation à la sécurité.
5. Le secret pour accroître la participation à la formation en sensibilisation à la sécurité
Finalement, l’efficacité de votre programme de formation en cybersécurité dépendra de votre taux de participation. Il est essentiel que les organisations encouragent leurs employés de tous les départements, et dans certains cas, de tous les fuseaux horaires, à participer au programme.
Comment construire ce genre de lien émotionnel? Brian Reed, de chez Gartner, a analysé la façon la plus efficace de stimuler la participation des employés à la formation en sécurité. Elle commence et finit avec une trame narrative percutante :
- Basculer subtilement vers un message axé sur les bénéfices. Par exemple, au lieu de se concentrer uniquement sur les chiffres, comme les dépenses en sécurité et les rapports d’incidents, souligner les avantages de mettre en œuvre un programme de formation et comment celui-ci contribuera à améliorer des habitudes qui renforceront votre organisation.
- Peaufiner le narratif comportemental derrière votre histoire. Pour ce faire, diviser votre message en trois axes : le « de » (comment vous prévoyez vous inspirer du passé), le « vers » (l’état final idéal), et le « parce que » (la raison initiale de se joindre à l’aventure).
- Adopter le modèle « partager-écouter-adapter ». Cette approche itérative à la communication implique de tenir compte de la rétroaction des utilisateurs, de valider régulièrement la compréhension du groupe, d’identifier des porte-paroles, de reconnaître les idées publiquement et, par-dessus tout, de rendre l’expérience amusante.
Tous ces éléments stratégiques contribuent à la façon dont votre équipe conçoit la formation en sensibilisation à la sécurité. Selon Reed, ce n’est pas tant la destination qui importe, mais plutôt le parcours qu’on prend pour s’y rendre.
6. La formation en sensibilisation à la sécurité peut aider à minimiser des failles coûteuses
Un obstacle commun au déploiement de la formation en sensibilisation à la sécurité est le coût lié à la mise en œuvre du programme. Toutefois, comme l’a relevé notre CISO Theo Zafirakos durant sa présentation, l’adoption d’un programme de formation en cybersécurité joue un rôle majeur pour minimiser les failles coûteuses.
Zafirakos a expliqué que ces expositions ne se traduisent pas seulement en coûts directs, engendrés par exemple par la réparation des serveurs ou d’autre matériel. Il faut également tenir compte des nombreux coûts indirects potentiels, comme la perte de productivité (y compris les salaires) et d’autres dépenses ou pertes de profits liées à une période d’arrêt prolongée.
L’utilisation d’une trame narrative concise et percutante pour faire la démonstration claire des avantages d’un programme de formation permet de s’assurer que les dirigeants et les gestionnaires comprennent les conséquences possibles de ne pas mettre en place un tel programme. Cela pourrait littéralement faire sauver à votre entreprise des milliers, voire des millions, de dollars.
7. La formation en sensibilisation à la sécurité doit être autant théorique que pratique
Pendant notre table ronde sur la cybersécurité, une importante distinction a été apportée entre les programmes de formation en sensibilisation à la sécurité qui fonctionnent, et ceux qui ne fonctionnent pas. Le secret : un équilibre entre la théorie et la pratique.
Notre groupe d’experts – composé de Blythe Price et Erin Csonaki, gestionnaires des programmes d’éducation en cybersécurité chez Microsoft, Bill Dunnion, directeur du Bureau de la cyberrésilience chez Calian et Lise Lapointe, présidente de Terranova Security et auteure – s’est entendu pour dire que l’apprentissage de la sensibilisation à la sécurité se doit d’être contextuel et instantané.
« Évitez d’axer la formation sur des sujets qui seront filtrées », a conseillé Dunnion, expliquant que lorsqu’un programme de formation ne compte pas d’éléments pratiques, le contenu ne semble pas applicable dans la vie réelle. Selon Lapointe, une formation uniquement théorique « ne vous reste pas dans la tête » une fois à l’extérieur du travail.
La gamification de votre programme de formation en sensibilisation à la sécurité peut également accroître l’instantanéité du processus d’apprentissage. Selon les experts, l’information aura davantage tendance à persister après une première exposition. « Avec un peu de chance, ils ne mordront pas à l’hameçon la fois suivante », a ajouté Lapointe.
8. Renforcement des compétences vs mise en conformité de base
Un autre sujet de conversation intéressant qui a été abordé à plusieurs reprises durant le Sommet virtuel concerne le choix de rendre la formation en sensibilisation à la sécurité obligatoire ou optionnel. Indépendamment de l’inclination de votre entreprise, notre groupe d’experts a présenté une distinction plus nuancée : le renforcement des compétences versus la mise en conformité.
Comme Csonaki l’a expliqué, le simple fait de cocher les cases d’une liste de sensibilisation à la sécurité pour satisfaire aux exigences de base de l’industrie n’aura pas un impact significatif et durable sur vos employés. Elle a également précisé que la formation devrait toujours être découpées en petits morceaux plus digestibles, un changement qui s’est avéré très payant au sein des différents départements de Microsoft.
Ceci étant dit, pour établir des objectifs de renforcement des compétences, il faut se concentrer sur les buts qu’on souhaite atteindre avec la sensibilisation à la sécurité et les appuyer par des indicateurs clés de performance (KPI). Lapointe a recommandé que les organisations devraient identifier leurs objectifs en fonction des risques les plus urgents, puis d’établir des KPI qui couvrent tous les sujets ou modules de formation pertinents.
Votre programme de sensibilisation à la sécurité doit également s’inscrire dans la culture de l’entreprise. Price a conseillé d’essayer d’obtenir l’adhésion des employés en abordant les exigences de formation comme un exercice. Quelle a été la stratégie utilisée par Microsoft? « Nous l’avons rendu amusant », a-t-elle déclaré, ce qui a engendré un volume important de rétroactions positives sur la convivialité du processus pour les utilisateurs.
9. Tirer profit de la technologie pour changer le comportement de cybersécurité
Changer la façon dont les gens se comportent dans leurs environnements numériques personnels et professionnels nécessite une approche flexible et soigneusement planifiée. Reed, de chez Gartner, a rappelé aux participants qu’au-delà des normes comportementales, par exemple la façon dont on se conduit dans un café vs un musée, il faut également tenir compte des habitudes profondément ancrées.
Ces composantes de la « marque personnelle » comprennent :
- Le comportement personnel intime
- L’identité profonde
- Les réactions de survie
La modification de ces comportements, particulièrement lorsqu’ils sont devenus des mauvaises habitudes, ne surviendra pas du jour au lendemain. Toutefois, si la formation en sensibilisation à la sécurité est construite pour améliorer la « marque personnelle » d’un individu plutôt que de l’obliger à se comporter autrement, les changements seront accueillis plus facilement.
Une fois que ce sera fait, les bénéfices pour l’organisation de ces nouvelles habitudes n’en seront que plus puissants.
Résumé
Notre Sommet virtuel inaugural en a mis plein les yeux et les oreilles à tous nos participants.
Des leçons tirées de la nouvelle réalité de télétravail engendrée par la COVID-19, aux conseils utiles sur comment convaincre les dirigeants et les employés de la pertinence de la formation en sécurité, nos experts en cybersécurité ont partagé des connaissances qui aideront les entreprises à former leur prochaine vague de cyberhéros.
Pour plus d’information de la part de notre équipe d’experts en cybersécurité, ou pour regarder la webdiffusion sur demande, visitez notre site Web!
SUR DEMANDE
Sommet virtuel en sensibilisation à la sécurité 2020
Pour plus d’information de la part de notre équipe d’experts en cybersécurité, regardez le sommet virtuel sur demande.