Le secret d’un bon programme de formation en sensibilisation à la cybersécurité consiste à apprendre à vos employés à détecter les menaces qu’ils sont le plus susceptibles de rencontrer sur leur lieu de travail. Pour ce faire, vous devez choisir soigneusement vos sujets de formation.
Aucune organisation n’a la même infrastructure, les mêmes vulnérabilités ou les mêmes politiques d’accès des utilisateurs aux données sensibles. Il n’existe donc pas de solution de formation unique que vous pouvez utiliser pour former vos employés.
La seule façon de mettre en place un programme efficace de formation en sensibilisation à la sécurité est d’en créer un de toutes pièces. Heureusement, ce n’est pas aussi difficile que cela en a l’air, et il existe des techniques simples que vous pouvez utiliser pour identifier les meilleurs sujets de formation pour votre équipe et vous assurez que vos utilisateurs sont prêts à détecter les cybermenaces.
Déterminez vos besoins en matière de formation.
La première étape de l’élaboration d’un programme efficace de formation en sensibilisation à la sécurité consiste à analyser les données des utilisateurs et à évaluer leurs connaissances au préalable. L’un des moyens les plus efficaces d’évaluer les connaissances de vos utilisateurs est de procéder à une simulation d’hameçonnage.
Si vous effectuez une simulation d'hameçonnage pour la première fois, comme celle du Gone Phishing Tournament de l’année dernière, et que vous enregistrez un taux de clic entre 20 et 30 %, la sensibilisation à l'hameçonnage devra faire partie de vos priorités absolues.
Vous pouvez contribuer à réduire le taux d’employés qui cliquent sur des liens malveillants en organisant des simulations d'hameçonnage consécutives pour les sensibiliser à la détection de ces menaces.
Il est essentiel d’utiliser les données recueillies pour questionner vos besoins :
- Quel(s) comportement(s) devrions-nous cibler avec notre programme de formation ?
- Quel(s) objectif(s) devrions-nous cibler ?
- Quels indicateurs clés de performance permettront le mieux de mesure l’évolution de connaissances chez les utilisateurs ?
- Quel(s) objectif(s) déterminera (ont) la réussite du programme de formation ?
Outils pour mesurer les connaissances des employés
Mesurer les connaissances des employés sur les meilleures pratiques de sécurité est un élément essentiel de la conception d’un programme de formation réussi, et il existe de nombreux outils que vous pouvez utiliser pour mesurer la sensibilisation à la sécurité des employés.
Une simple enquête, un quiz ou un questionnaire peuvent vous aider à mesurer les forces et les faiblesses des connaissances de vos employés en matière de sécurité, y compris les écarts entre leurs comportements actuels et les pratiques souhaitées.
Les simulations d’hameçonnage sont excellentes pour mesurer précisément la sensibilisation des employés, car elles permettent de voir qui est le plus susceptible d’être piégé par un attaquant et de cliquer sur un lien vers un site de phishing ou une pièce jointe malveillante.
Cependant, vous pouvez également utiliser d’autres ressources telles que les rapports d’analyse des risques, d’audit et de conformité pour identifier les comportements à risque utilisés par les employés dans l’ensemble de votre organisation. Par exemple, le partage de mots de passe ou le téléchargement de documents Web, sont des comportements à modifier et pour lesquels vous pouvez développer des supports de formation.
Les meilleurs sujets de formation en sensibilisation à la sécurité fondamentale
Bien qu’il n’y ait pas deux organisations identiques, certains thèmes fondamentaux de la formation en sensibilisation à la sécurité sont recommandés aux CISO qui souhaitent s’assurer que les employés bénéficient d’une expérience de formation complète.
Des sujets centrés notamment sur la reconnaissance des cybermenaces, la protection des informations et des actifs critiques, l’utilisation sécurisée des technologies et le travail à distance en toute sécurité.
Toutefois, en règle générale, il est important d’adapter les thèmes de formation au fil du temps en fonction de l’évolution des objectifs de sensibilisation à la cybersécurité, des performances, des nouvelles données du marché ou de la région, et de l’évolution des cyberattaques.
Ces sujets essentiels portent généralement sur :
1. L’hameçonnage
Sensibilisez les employés à l'hameçonnage en utilisant des outils gratuits de simulation d’hameçonnage pour leur apprendre à identifier les risques et les tentatives d’attaques.
2. L’ingénierie sociale
Utilisez différents types de simulation d’hameçonnage, de rançongiciel et d’évaluations de cybersécurité pour sensibiliser les employés aux risques humains et aux meilleures pratiques de sécurité.
3. Mots de passe forts
Montrez aux employés comment choisir des mots de passe forts grâce à un mélange de lettres majuscules et minuscules, de chiffres et de symboles, basés sur des mots ne figurant pas dans le dictionnaire, afin de réduire les risques de vol d’identifiants ou de prise de contrôle de comptes.
4. Travailler à distance
Lancez des campagnes de communication pour sensibiliser les employés aux bonnes pratiques du travail à distance, comme la mise à jour des systèmes d’exploitation et des appareils, l’installation d’un pare-feu domestique, l’utilisation d’une connexion wifi sécurisée, le déploiement d’un antivirus et l’importance d’ignorer les liens douteux qu’ils pourraient recevoir par courriel ou message texte.
5. Ransomware
Menez une communication et des campagnes continues sur la cybersécurité, les rançongiciels et les risques que peuvent présenter les URL, les courriels et les pièces jointes.
Choisir d’autres sujets de formation en sensibilisation à la sécurité
Si vous souhaitez développer ces sujets en ajoutant les vôtres, choisissez des éléments liés au contenu de votre programme de formation existant ou s’appuyant sur les questions abordées dans les modules d’apprentissage précédents.
Par exemple, si vous avez déjà créé des supports de formation sur l’hameçonnage ou le harponnage (spear phishing), l’hameçonnage par message texte (vishing) pourrait être un bon complément.
Quelles que soient les menaces que vous abordez dans votre formation, il est bon de mettre à jour les sujets une à deux fois par an afin que vos utilisateurs disposent des informations les plus récentes.
Il est conseillé de combiner les formations sur les cybermenaces avec des simulations d’hameçonnage afin de tester les connaissances des employés sur le sujet et de voir s’il existe des domaines dans lesquels ils manquent de vigilance. Grâce à ces informations, vous pouvez intervenir pour offrir un soutien supplémentaire et des supports de formation juste à temps.
En bref
Si vous rencontrez des difficultés à décider quels sujets de formation en sensibilisation à la sécurité votre programme de formation doit couvrir, examinez vos données.
Recherchez les domaines dans lesquels les employés sont moins performants et identifiez les comportements de sécurité que vous souhaitez cibler avec vos supports de formation.
Si vous souhaitez réduire le nombre d’employés qui cliquent sur des liens dans des courriels ou des messages textes, donnez la priorité à la sensibilisation à l’hameçonnage et effectuez régulièrement des simulations pour réduire le nombre d’employés qui cliquent sur des liens malveillants.
Vous voulez savoir comment proposer les meilleurs sujets de formation en sensibilisation à la cybersécurité pour votre organisation ?
Voyez la plateforme de sensibilisation à la sécurité en action!