Pour améliorer de façon durable la situation de votre organisation en matière de cybersécurité, il est essentiel de savoir comment augmenter la participation des employés aux programmes de formation en sensibilisation à la cybersécurité. Un des problèmes majeurs que plusieurs leaders en sécurité rencontrent est la difficulté à produire du matériel d’apprentissage attrayant.
D’ailleurs, lorsqu’il s’agit de formation en sensibilisation à la sécurité, un taux de participation inférieur à 90 % est considéré comme insuffisant. Pour susciter l’engagement des employés et de la direction, il est important de bien connaître son public cible. Vous pourrez ensuite identifier les compétences et les informations à acquérir ainsi que la meilleure façon de les transmettre.
Le présent présente des façons de stimuler la participation des employés à votre programme de formation en sensibilisation à la sécurité. Vous vous assurez ainsi d’obtenir un engagement maximal et de bâtir une culture de cybersécurité au sein de votre organisation.
Identifier votre public cible
Si vous souhaitez que vos employés adhèrent à votre formation en sensibilisation à la sécurité, elle doit être pertinente. Malheureusement, il n’existe pas de raccourci pour produire du matériel de formation pertinent. La seule façon est de prendre le temps d’identifier votre public cible, ainsi que les cybermenaces auxquels il est exposé au quotidien.
Pour la plupart des organisations, il est possible de décomposer son public cible en quelques groupes clés :
- Les cadres – Les cadres et la haute direction doivent être conscients des risques pour la sécurité afin de comprendre l’importance de soutenir et de financer les initiatives de sensibilisation à la sécurité.
- Les gestionnaires – Il est essentiel que les gestionnaires soient sensibilisés à la sécurité afin qu’ils puissent prendre la responsabilité d’agir comme ambassadeurs et modèles.
- Utilisateurs – Les utilisateurs constituent la première ligne de défense contre les cyberattaques. Il est donc primordial qu’ils adoptent les meilleures pratiques et les comportements nécessaires pour assurer la sécurité en ligne.
- Personnel des TI – Le personnel des TI vous guidera en ce qui concerne les meilleures pratiques pour la sécurité de l’information et vous aidera à gérer les vulnérabilités des réseaux, des systèmes et des applications utilisés dans votre environnement.
Il est possible qu’il y ait d’autres types de publics cibles au sein de votre organisation, comme des groupes de professionnels occupant des emplois spécialisés et uniques. Dans ce cas, il vous faudra également évaluer les conseils spécifiques dont ils ont besoin pour faire face aux risques particuliers auxquels ils sont confrontés ou pour assurer la conformité aux règlements, en lien avec l’emploi ou non.
Sujets recommandés par type de public
Les sujets couverts par votre formation dépendent des risques à la sécurité spécifiques à votre environnement. Toutefois, il existe certains sujets généraux que vous pouvez aborder pour vous aider à démarrer :
1. Cadres
Envisagez d’aborder des sujets comme les principaux risques courus par votre organisation, l’utilisation sécuritaire de la technologie mobile, la manipulation sécuritaire des informations sensibles, les attaques et les fraudes les plus communes visant les cadres, ainsi que la conformité aux exigences en matière de sécurité et de sensibilisation.
2. Gestionnaires
Tous les sujets abordés avec les cadres, plus un aperçu sur la sécurité de l’information et la gouvernance, votre environnement de sécurité des TI, le programme de sensibilisation à la sécurité proposé et les contrôles de sécurité des TI.
3. Utilisateurs
Visez l’acquisition de connaissances sur les menaces de sécurité, en couvrant des sujets comme la sécurité et la confidentialité des informations, les réflexes de sécurité incontournables pour la création de mots de passe, l’utilisation du courriel, les essentiels pour une utilisation sécuritaire d’Internet (médias sociaux, navigation, infonuagique), les techniques communes d’hameçonnage et d’ingénierie sociale, les cyberattaques, les logiciels malveillants et la manipulation des données.
4. Personnel des TI
Misez sur l’accroissement de la sensibilisation aux meilleures pratiques de sécurité relativement aux vulnérabilités des réseaux, des systèmes et des applications utilisés dans votre environnement. Offrez un aperçu de la sécurité du réseau et des applications et abordez des sujets comme les principales attaques possibles contre les réseaux et les applications, le cycle de vie du développement de système, une programmation sécuritaire, la cryptographie et la gestion des clés.
5. Emplois spécialisés
Optez pour des sujets de formation qui portent sur des menaces spécifiques auxquelles les employés peuvent être confrontés, comme les attaques d’ingénierie sociale visant le personnel du service d’assistance, la sensibilisation à la norme PCI DSS pour le personnel des finances et des ventes, les services à la clientèle et la confidentialité pour le personnel des ressources humaines et les gestionnaires, ainsi que les politiques de sécurité sur Internet pour les tierces parties.
Concevoir du matériel de formation efficace pour votre public
Une fois que vous avez identifié votre public cible, vous devez établir une stratégie pour concevoir du matériel de formation attrayant. Ce processus démarre en créant du matériel pédagogique en lien avec les activités quotidiennes du public ciblé.
Par exemple, si vos utilisateurs sont des représentants commerciaux qui échangent beaucoup de courriels, il est utile d’intégrer du matériel sur les menaces d’hameçonnage et des simulations d’hameçonnage qui leur permettront de détecter ce type de tentatives d’attaque.
L’élément le plus important est de se concentrer sur la conception de matériel interactif. En pratique, cela se traduit par :
- La création de modules de microapprentissage, courts et faciles à intégrer par les employés
- L’utilisation d’un langage simple à comprendre par le public
- Des communications dans la langue maternelle des utilisateurs
- L’intégration d’éléments ludiques (gamification) et d’exercices interactifs, comme les simulations d’hameçonnage
Savoir susciter la motivation intrinsèque chez les employés
Le niveau de motivation des employés a une influence directe sur le taux de participation général à la formation. Si votre public n’est pas profondément motivé à accomplir les activités de formation, il ne sera pas enclin à participer à votre programme de sensibilisation à la sécurité.
Vous pouvez stimuler la motivation intrinsèque des employés en leur expliquant l’importance de leur responsabilité dans la protection des données de votre organisation, et en leur faisant jouer un rôle dans la création du cours.
Offrez-leur l’opportunité de se démarquer en devenant des ambassadeurs de votre programme de sensibilisation à la sécurité et encouragez-les à partager leurs idées pour le développement des prochaines activités. Vous leur permettez ainsi de passer d’observateurs passifs à acteurs engagés dans l’éducation des autres utilisateurs.
Cette approche est beaucoup plus gratifiante et engageante que de rendre la formation en sensibilisation à la sécurité obligatoire et de forcer les utilisateurs à participer ou d’utiliser des facteurs de motivation externes.
N’oubliez pas de valoriser la participation des cadres
L’une des erreurs les plus importantes qui peuvent être faites par une organisation lors de la conception d’un programme de formation en sensibilisation à la sécurité est de négliger l’importance de la participation des cadres et de se concentrer sur des employés moins haut placés.
Cette négligence peut constituer une erreur flagrante. En effet, les cadres sont non seulement des ambassadeurs de l’investissement en cybersécurité et du changement de culture, mais ils sont également eux-mêmes des utilisateurs qui peuvent être ciblés par les cybermenaces.
Les cybercriminels visent fréquemment les cadres supérieurs dans le cadre de campagnes de vol d’authentifiant et d’autres types d’attaques conçues pour les amener à partager leurs données personnelles.
Si un fraudeur réussit à convaincre le chef de la direction à divulguer ses données d’accès, cela peut être aussi dommageable, sinon plus, que s’il s’agissait d’un employé. Par conséquent, il est essentiel de s’assurer que tous les membres de l’organisation sont impliqués dans le programme de formation.
Résumé
Il n’existe aucun raccourci pour vous apprendre comment accroître la participation des employés aux programmes de formation en sensibilisation à la sécurité. Vous pouvez identifier des sujets à la mode, mais en fin de compte, l’important est de bien connaître votre public cible.
La seule façon de concevoir une stratégie de formation engageante est de bien connaître votre public cible ainsi que les cybermenaces auxquelles ils font face au quotidien. Vous pourrez ainsi leur offrir des occasions d’apprentissage pertinentes qu’ils pourront mettre en pratique pour se protéger.
Vous aimeriez en apprendre davantage sur la conception d’un programme de sensibilisation à la sécurité engageant ?
Obtenez le livre The Human Fix to Human Risk gratuitement. Le livre que doivent lire les RSSI et les équipes de sensibilisation à la sécurité.