Comment bâtir un programme de sensibilisation à la sécurité robuste

Découvrez les tendances et meilleures pratiques de sensibilisation à la sécurité pour 2021

Vos employés constituent votre première ligne de défense contre les attaques de cybersécurité. La force de votre programme de sensibilisation à la sécurité dépend de chacun des employés de votre organisation.

Dans le cadre de l’élaboration de vos objectifs organisationnels et de votre planification pour 2021, il importe de prioriser le développement d’une culture axée sur la sensibilisation à la cybersécurité. Cela nécessite un engagement continu de la part de chaque gestionnaire, service et personne œuvrant au sein de votre organisation.

De plus, tous doivent comprendre qu’une sensibilisation efficace à la sécurité ne se limite pas à des séances de formation aléatoires ou à un simple courriel trimestriel sur l’hameçonnage.

En tant que CISO ou chef de la sécurité, profitez de 2021 pour vous concentrer sur la transmission de connaissances et de compétences à vos collègues. Cela leur permettra d’acquérir la confiance nécessaire pour reconnaître les attaques d’hameçonnage, se méfier de la fraude du président et comprendre à quel point il est facile de tomber dans le piège de l’ingénierie sociale.

Pour vous aider à démarrer 2021 dans un esprit de cybersécurité, nous avons compilé nos incontournables pour l’élaboration d’un programme de sensibilisation à la sécurité qui vous permettra de sensibiliser, sécuriser et protéger votre organisation. Il s’agit des tendances et meilleures pratiques de sensibilisation à la sécurité que nous appliquons nous-mêmes chez Terranova Security pour assurer la protection et la sécurité de notre organisation et de nos employés.

Obtenir le soutien nécessaire pour créer une culture de cybersécurité

Les programmes de sensibilisation à la sécurité réussis ont tous une chose en commun. Ils bénéficient du soutien de l’ensemble des services, équipes, groupes et décideurs. En tant que CISO ou chef de la sécurité, vous devez stimuler l’intérêt et l’engagement de toute l’équipe, y compris la haute direction, les ressources humaines, le service des TI et l’ensemble des chefs d’équipe et des gestionnaires, envers la sensibilisation à la sécurité.

Les gens apprennent par l’exemple. Lorsqu’ils verront que d’autres personnes au sein de l’organisation appuient votre programme de sensibilisation à la sécurité, ils feront de même. Cet intérêt et cet engagement envers la sensibilisation à la sécurité doivent se produire à tous les niveaux et dans tous les services.

Appliquez ces quatre conseils pour obtenir du soutien pour votre programme de sensibilisation à la sécurité :

1. Gagnez le soutien de la haute direction. Une formation en sensibilisation à la sécurité implique que les employés consacrent du temps à l’apprentissage. Et les employés doivent savoir que cette formation constitue une priorité autant pour eux que pour l’organisation.

Pour ce faire, il faut obtenir le soutien de la haute direction. Cet appui se traduit par des budgets de formation et l’allocation de temps pour la réalisation des modules de formation. La direction doit également donner le ton et promouvoir les raisons pour lesquelles la cybersécurité est essentielle pour l’organisation.

Action : Informez l’équipe de direction des impacts potentiels d’un vol de mot de passe, d’une divulgation de renseignements et d’une infection par rançongiciel. Planifiez une simulation d’hameçonnage à l’intention de votre équipe de direction et prévoyez une rencontre par la suite pour passer en revue les résultats. Utilisez cette occasion pour discuter de vos plans pour l’organisation en matière de sensibilisation à la sécurité.

2. Trouvez des alliés. Travaillez avec des services clés comme les ressources humaines, les affaires juridiques et la conformité, les TI et les gestionnaires pour l’élaboration de votre programme de sensibilisation à la sécurité. Expliquez-leur le fonctionnement des cyberattaques, et pourquoi il est essentiel de développer une culture de cybersécurité. Encouragez-les à consulter le Hub de Cybersécurité et le livre numérique The Human Fix to Human Risk.

Action : Utilisez des activités de micro ou de nanoapprentissage pour démontrer qu’il ne faut pas beaucoup de temps par jour ou par semaine pour offrir une formation efficace en sensibilisation à la sécurité.

3. Connaissez votre organisation. Discutez avec des employés de tous les services et de tous les niveaux. Prêtez attention aux habitudes de travail de vos collègues. Comprennent-ils la politique liée au mode « prenez vos appareils personnels » (PAP)? Suivent-ils les meilleures pratiques en matière de télétravail? Savez-vous comment ils communiquent entre eux et partagent des informations? Renseignez-vous sur les objectifs, les préoccupations et la culture de chacun des services et des équipes de votre organisation.

Action : Proposez une variété de stratégies pour le programme et la formation en sensibilisation à la sécurité. Cela permettra de répondre aux besoins uniques des employés ainsi qu’aux intérêts et préoccupations de votre organisation. Par exemple, vous devez être en mesure de comprendre que la formation gamifiée peut ne pas plaire à tout le monde ou que certaines équipes doivent respecter des échéanciers serrés.

4. Communiquez. Derrière chaque programme de sensibilisation à la sécurité réussi se cache une équipe complète. Communiquez avec les gestionnaires, les cadres, les chefs d’équipe et des collègues clés. Tenez-les informés de l'état d'avancement de la formation et du programme de sensibilisation.  

Action : Rassemblez les opinions, les commentaires et les idées. Emmenez vos collègues à penser et à parler de la formation en sensibilisation à la sécurité. Demandez-leur de partager leur avis sur les points forts et les points faibles de la formation. Soyez à l’écoute et offrez une formation adaptée.  

Meilleures pratiques pour bâtir un programme de sensibilisation à la sécurité en 2021

Les besoins de votre organisation, ainsi que les employés qui la composent, sont uniques. Il est donc nécessaire de concevoir un programme de formation adapté à votre « comment, pourquoi, quand, où, qui et quoi ». Évitez d’utiliser un programme de sensibilisation à la sécurité prêt à l’emploi. Créez plutôt un programme centré sur les personnes, conçu spécialement pour votre équipe. Souvenez-vous de ces cinq meilleures pratiques pour bâtir un programme de sensibilisation à la sécurité :

1. Contenu de qualité supérieure. Les gens ont une capacité d’attention limitée et ils peuvent ne pas avoir une opinion favorable de la formation en entreprise. Surmontez ces préjugés grâce à de la formation amusante, engageante et pertinente, conçue par des experts en sécurité.
2. Campagnes personnalisées. Chaque employé doit se sentir concerné par le contenu. Proposez-leur du contenu propre à leur rôle et à leurs responsabilités. Assurez-vous que le contenu soit offert dans leur langue maternelle et qu’il soit accessible.
3. Collaboration. Pour votre formation en sensibilisation à la sécurité, recherchez un fournisseur qui souhaite être votre partenaire et travailler en collaboration avec vous. Choisissez une entreprise qui privilégie une approche consultative et qui cherche réellement à comprendre les besoins de votre organisation.
4. Analyser, planifier, déployer, mesurer, optimiser. Pour connaître le succès, vous devez savoir où vous voulez aller, et comment. Créez un programme bien défini avec des objectifs mesurables, conçu pour votre public cible et incluant des sujets choisis selon les risques de votre entreprise. Découvrez la démarche en 5 étapes de Terranova Security pour promouvoir la sensibilisation à la sécurité en 2021.
5. Modèle de prestation adapté. Optez pour un modèle de prestation de la formation qui s’intègre facilement à votre organisation. Le mode de formation devrait être choisi en fonction de l’étendue, de la taille et de la personnalité de votre entreprise. Prenez le temps de discuter des options de livraison/gestion, des services de sensibilisation à la sécurité et des modèles de gestion hybrides avec votre partenaire de formation.

Savoir comment intéresser vos utilisateurs à la sensibilisation à la sécurité

La cybersécurité commence avec vos employés. Vous devez les motiver à s’intéresser aux menaces et aux risques en matière de cybersécurité.

Vos employés constituent votre première ligne de défense contre l’hameçonnage, le piratage, le vol d’identité et les brèches de données.

Suivez les 10 étapes suivantes pour encourager les employés à prendre part à la formation en sensibilisation à la sécurité :

1. Créez des campagnes de formation personnalisées en fonction du profil de risque et du niveau de connaissances des employés.
2. Expliquez-leur comment certains comportements et meilleures pratiques peuvent être bénéfiques autant dans leur vie personnelle que professionnelle.
3. Menez des campagnes de formation accessibles afin que tous les membres de votre organisation aient accès à une formation en sensibilisation à la sécurité détaillée.
4. Utilisez une variété de modes de formation, y compris l’apprentissage en ligne, le micro et nanoapprentissage et la formation gamifiée.
5. Utilisez les campagnes de sensibilisation pour favoriser la conversion et amener les gens à réfléchir à ce qu’ils ont appris.
6. Recueillez les commentaires de vos employés sur la formation et effectuez des ajustements en conséquence.
7. Permettez aux employés de tester leurs connaissances grâce à des simulations et à des scénarios gamifiés.
8. Offrez aux employés une rétroaction continue sur leurs apprentissages.
9. Assurez-vous que vos employés comprennent parfaitement qu’ils ont le pouvoir d’arrêter les cyberattaques et cybermenaces.
10. Sachez reconnaître et commenter les bons et les mauvais comportements.

Bâtir un programme moderne de sensibilisation à la sécurité pour 2021

La pandémie de COVID-19 a forcé les organisations à ajuster leurs lieux de travail, leurs modes de communication et leurs façons de partager de l’information. Elles ont également dû modifier leurs pratiques pour la commercialisation, la vente et la livraison de leurs produits et services.

Avec ce passage vers le télétravail, la création d’un environnement de travail et d’apprentissage à distance sécuritaire est devenue une priorité majeure. Les gens doivent continuer à appliquer les meilleures pratiques de cybersécurité lorsqu’ils travaillent à distance ou qu’ils sont en déplacement.

Votre campagne 2021 de formation en sensibilisation à la sécurité doit se concentrer sur les tendances liées aux façons et aux endroits où les gens travaillent et étudient. Assurez-vous que vos modules de formation touchent les sujets suivants :

• Confidentialité sur Internet
• Protection de votre ordinateur domestique
• Sécurité des téléphones intelligents et appareils mobiles
• Sécurité en télétravail
• Signalement des incidents
• Meilleures pratiques en matière de confidentialité et de mots de passe
• Protection des informations sensibles
• Sécurité du réseau Wi-Fi
• Sensibilisation à la sécurité

Permettez à vos employés d’accéder facilement à des ressources utiles, comme notre Trousse de cybersécurité pour le télétravail et notre Hub de Cybersécurité. Partagez cette section sur comment demeurer en cybersécurité en télétravail

Comment assurer votre cybersécurité en télétravail

Les risques et les menaces de cybersécurité ne disparaissent pas lorsque vous travaillez de la maison, d’un café ou d’un autre emplacement public ni lorsque vous voyagez. En fait, les risques de cybersécurité augmentent lorsque vous changez vos habitudes de travail et que vous vous adaptez à une nouvelle routine et à un nouvel environnement. Pour vous protéger, vous et votre organisation, des cybercriminels et des menaces, souvenez-vous de ces éléments clés pour demeurer en cybersécurité lorsque vous travaillez à distance :

1. Utilisez notre RPV pour vous connecter au réseau lorsque vous devez effectuer des tâches liées à votre travail.
2. Travaillez exclusivement sur votre ordinateur professionnel. Ne partagez aucune donnée ni information liée au travail avec votre ordinateur domestique ou vos appareils personnels.
3. Assurez-vous que vos applications, systèmes d’exploitation, outils réseau et logiciels internes sont équipés des plus récentes versions.
4. Ne désactivez pas les logiciels de protection contre les maliciels et les filtres antipourriel sur votre ordinateur.
5. Appliquez notre politique sur le partage d’information. Utilisez uniquement les outils approuvés pour des partages sur le nuage. En cas de doute — demandez!
6. Sécurisez vos mots de passe, soyez attentif aux endroits où vous les saisissez, et évitez d’utiliser le même mot de passe pour plusieurs systèmes.
7. Souvenez-vous des meilleures pratiques indispensables en cybersécurité. Demeurez vigilant et sceptique face à tout courriel, message texte, clavardage sur les médias sociaux ou pièce jointe non sollicité. En cas de doute — ne cliquez pas.
8. Désactivez le Bluetooth sur tous vos appareils mobiles.
9. Ne vous connectez jamais à un réseau Wi-Fi public qui n’est pas protégé par un mot de passe.
10. Même lorsque vous travaillez à la maison, ne laissez pas votre portable déverrouillé et sans surveillance. Rangez tous vos documents imprimés dans un endroit sécuritaire (ne les laissez pas sur votre bureau), et demeurez vigilant.

En cas de doute — évitez de cliquer, de répondre ou de vous engager.

Profitez des ressources disponibles sur le Hub de cybersécurité et dans la Trousse de cybersécurité pour le télétravail.

N'oubliez pas. Nous voulons que vos employés aient les compétences, les connaissances, les outils et la confiance nécessaires pour reconnaître les risques de cybersécurité. Ils sont la première ligne de défense contre les cyberattaques et les cybermenaces.