De nos jours, alors que l’organisation moyenne croule sous l’abondance de données à sa disposition, tirer le maximum de toute cette information joue un rôle déterminant dans l’atteinte de ses objectifs en cybersécurité, autant à court qu’à long terme. Cependant, pour plusieurs administrateurs de programmes de formation, la seule façon de mesurer leur succès a été historiquement l’utilisation de statistiques de base génériques, par exemple si un cours a été achevé ou non, les taux de réussite et d’échec, etc.
Bien qu’il soit important de savoir si un cours a été commencé, complété, réussi ou échoué, cette information est assez élémentaire. Il y a des douzaines d’autres points de données que les organisations peuvent utiliser pour mieux déterminer les lacunes sur le plan des connaissances, pour identifier des zones d’optimisation et pour alimenter une meilleure prise de décision dans l’ensemble.
Bref, c’est exactement ce que permet la puissance du rapport personnalisé.
Cet article de blogue explique la différence entre les données génériques concernant la cybersécurité, et les données granulaires dont vous avez besoin pour réussir. L’article vous guidera aussi à travers les composants clés que votre premier tableau de bord personnalisé devrait contenir, et il propose quelques façons d’en tirer le plein potentiel.
Ce qui différencie un rapport générique d’un rapport personnalisé
Soyons clairs. « Est-ce que ce cours a été achevé? » est une information essentielle à suivre, mais elle n’est pas le meilleur outil pour évaluer si l’utilisateur a assimilé ou non son contenu.
Dans la même logique, ce type de données général ne vous dit pas si le contenu enseigné dans le cours a réduit les écarts de connaissances en cybersécurité et ciblé les comportements qui vous intéressent chez l’utilisateur. Par conséquent, il peut être difficile de répondre à une question simple, telle que « Devrais-je offrir ces cours plus souvent? ».
Qu’un utilisateur ait réussi ou échoué un cours ne vous dit pas grand-chose, et c’est à peu près le degré de profondeur de l’information qu’un rapport générique peut fournir.
Vous voulez savoir combien d’utilisateurs ont échoué dans une région ou un service spécifique de votre entreprise. Ou encore si ceux-ci ont démontré des comportements qui pourraient mener à d’éventuelles fuites de données. Ou même, un renseignement aussi simple que de savoir à quel point du cours en sont les utilisateurs afin de personnaliser le courriel de rappel que vous leur enverrez.
Ce sont là des questions auxquelles vous obtiendrez la réponse uniquement avec des fonctions permettant de produire des rapports ciblés et personnalisés, comme celles que nous avons ajoutées à notre plateforme.
Bâtir votre tableau de bord de rapport personnalisé
Même si certains thèmes généraux sont communs à plusieurs organisations, vos enjeux et vos objectifs en cybersécurité sont probablement assez uniques par rapport à vos pairs.
Dans cette optique, les questions qui suivent sont un excellent point de départ pour bâtir votre tableau de bord. Il serait utile que vous preniez le temps d’explorer en profondeur la situation réelle de votre organisation en cybersécurité, et d’adapter ces questions à vos besoins. Cette façon de faire vous amènera à produire le meilleur tableau de bord qui soit.
Quels comportements d’utilisateurs votre organisation cible-t-elle avec des formations et des simulations d’hameçonnage?
Le rapport personnalisé fournit davantage que des données structurées; il vous permet surtout d’identifier les comportements les plus problématiques au sein de votre organisation et de minimiser les risques de fuites de données qui pourraient découler de ces comportements. Non seulement ce type de rapport facilitera l’organisation de vos initiatives à venir, mais il vous aidera également à concentrer votre attention sur les problèmes qui comptent.
Parmi ces comportements, lesquels sont associés à vos plus grandes priorités de sensibilisation à la sécurité?
Le comportement de l’utilisateur le plus important à cibler, que ce soit parce qu’il est le plus visible ou parce qu’il a été exploité récemment lors d’une cyberattaque, devrait être le premier à inclure dans votre tableau de bord. La configuration de votre rapport doit aussi tenir compte d’autant de points de données que possible, avec un suivi des améliorations s’affichant en temps réel.
Quelles initiatives comptez-vous lancer, ou avez-vous déjà lancées, en appui direct à ces priorités?
Cartographier les différentes formations et les tests en cours est un bon point de départ pour commencer à bâtir votre tableau de bord. Chaque initiative peut alors être associée à un ensemble pertinent de statistiques que vous voudrez suivre afin de réaliser une version préliminaire du tableau de bord. Puis vous commencerez à l’observer pour voir s’il correspond à vos besoins.
Quels sont les objectifs de chacune des initiatives (p. ex. formation, simulation, campagne en continu)?
Votre suivi sera différent selon qu’il s’agit d’une nouvelle formation ou d’une simulation ciblée, ou encore d’une campagne que vous tenez durant toute l’année. Assurez-vous que chaque initiative s’accompagne d’un ensemble de paramètres de suivi des données pour la collecte et l’actualisation des informations affichées. Vous gagnerez du temps dans l’ensemble.
Concernant ces objectifs, quels paramètres sont les plus essentiels pour définir chaque initiative?
Après avoir franchi chacune des étapes que nous avons indiquées, alors vous êtes prêt à creuser pour déterminer quelles mesures spécifiques vous semblent les plus pertinentes à suivre. Il peut sembler y avoir beaucoup d’étapes de haut niveau à prendre en considération avant de déterminer des paramètres de mesure, mais ce processus vous facilitera grandement la vie.
La principale raison de la mise en place de ces directives est que, même s’il s’agit de votre premier tableau de bord, ce ne sera certainement pas le dernier. Vous devrez probablement élaborer un autre tableau de bord prochainement, et disposer de ce plan rendra beaucoup plus rapide l’élaboration de vos prochaines moutures.
Les composants clés d’un tableau de bord de rapport personnalisé
Comme nous l’avons mentionné précédemment, il y a au moins trois aspects qui, selon nous, devraient être intégrés à chaque tableau de bord sur la formation en cybersécurité :
Des cours de formation de sensibilisation
Ne faites pas que suivre les réussites et les échecs, examinez des modules et des quiz spécifiques. Si un sujet est particulièrement important pour vous, vous pouvez le suivre directement. En prime, ces informations peuvent être amusantes à partager avec vos utilisateurs dans une infolettre (p. ex., « Bravo tout le monde, vous avez réussi le dernier cours de la formation de sensibilisation à la sécurité! »).
Ventilation des données filtrées
Quoique plus utile pour les entreprises d’une certaine envergure, cette étape peut fournir de l’information permettant d’approfondir la performance d’un service ou d’une région en particulier. Vos développeurs utilisent peut-être certains logiciels qui sont plus vulnérables aux risques en cybersécurité. Ou peut-être qu’un des pays où vous comptez des utilisateurs subit une forme d’attaque présente uniquement à cet endroit. Ce genre de données filtrées vous donnera une longueur d’avance sur ces problèmes et vous pourrez mieux informer vos utilisateurs au sujet des risques potentiels.
Le rapport personnalisé : les prochaines étapes
À ce stade, votre premier tableau de bord est probablement achevé, mais les données qu’il fournit ne sont pas inscrites dans la pierre. Ces données varieront sans doute avec le temps, et il est possible qu’elles évoluent fréquemment.
Une fois votre tableau de bord bien établi et que tout semble fonctionner à merveille, élaborez une nouvelle liste de vérification pour répondre aux questions suivantes :
- Y a-t-il de nouveaux objectifs de cybersécurité ou des paramètres de mesure essentiels non représentés par un widget ou un tableau de bord?
- Parmi vos actifs de rapport existants, certaines données recueillies ne sont-elles plus pertinentes, ou n’appuient plus directement une initiative ou un objectif de formation?
- Parmi les données recueillies, certaines sont-elles trop générales, inexactes ou incomplètes?
Encore une fois, ces trois questions sont des éléments essentiels pouvant être considérés relativement à votre tableau de bord, mais n’hésitez pas à ajouter d’autres questions à cette liste en fonction de la réalité de votre organisation.
La principale conclusion à tirer est que vous devriez évaluer souvent l’efficacité de votre tableau de bord et l’améliorer constamment.
Le tableau de bord n’est qu’un début
Vous déployez chaque année des douzaines de cours, de tests et de campagnes sur plusieurs enjeux et dangers potentiels, mais pourquoi se fier aux mêmes paramètres de mesure pour tous? Vous perdrez un temps précieux en les analysant tous selon des mesures universelles conçues pour la majorité.
Par contre, il peut aussi y avoir trop de paramètres de mesure. Même si le type de plan décrit dans ce blogue fonctionne parfaitement pour vous, faites votre propre plan avant de bâtir votre premier tableau de bord. Vous vous faciliterez ainsi la vie, tout en vous rapprochant de votre objectif ultime : mieux protéger vos utilisateurs.
Télécharger le livre blanc
Pour plus d’information sur la façon dont les données de rapport personnalisées peuvent s’avérer un outil formidable qui fera toute la différence dans votre programme de sensibilisation à la sécurité, téléchargez le livre blanc depuis le site web de Terranova Security.