Brèches de cybersécurité – Réduire le facteur de risque humain

Vous auriez beau posséder la technologie de sécurité la plus puissante et avant-gardiste au monde, si un de vos utilisateurs clique sur un lien dans un courriel malicieux, laisse entrer un étranger dans votre édifice ou utilise « 1234 » comme mot de passe, il expose involontairement votre organisation à une brèche de cybersécurité. Dans les faits, l'erreur humaine est à l'origine de 90 % de tous les incidents de sécurité. Le facteur de risque humain demeure donc votre point le plus vulnérable quand on parle de cybersécurité. En d’autres mots, votre personnel représente votre « maillon faible ».

Réduire le risque humain grâce au changement de comportement

La meilleure façon de remédier à cette situation est d’introduire un changement de comportement et une culture de sécurité au sein de votre organisation. Vous devez trouver des façons d’encourager vos utilisateurs à réduire les comportements à risques élevés afin que la sensibilisation à la sécurité devienne une seconde nature – une mentalité. Ils deviendront ainsi un « maillon fort » et un élément clé de votre stratégie de défense en cybersécurité.

Mais comment?

Une approche méthodique en continu pour changer les comportements

Vous ne devez pas vous attendre à ce qu’ils suivent un ensemble de règles. Inutile également de planifier 15 minutes de formation en cybersécurité ici et là ou de leur demander de passer une heure devant leur écran une fois par année à cliquer sur des boutons. Les formations traditionnelles en sensibilisation à la cybersécurité vous permettent peut-être de respecter vos obligations en matière de conformité, mais elles ne protègent pas votre organisation à long terme puisqu’aucune stratégie n’est élaborée pour que la cybersécurité demeure au sommet des préoccupations.

Afin de changer efficacement les comportements et de bâtir une culture de sécurité, vous avez besoin d’un programme complet, soigneusement planifié en fonction des besoins et objectifs spécifiques de votre organisation. La seule façon d’atteindre cet objectif est de suivre une démarche constituée d’une série d’étapes précises.

Quels sont les éléments d'une démarche de sensibilisation à la sécurité efficace?

Pour réussir, vous devez considérer la sensibilisation à la sécurité non pas comme un projet ponctuel avec un début et une fin, mais bien comme un programme doté d’un processus en continu.

Dans cette optique, les programmes ayant remporté le plus de succès sont ceux qui incluent plusieurs campagnes échelonnées dans le temps. Votre programme devrait inclure des buts stratégiques à long terme et chaque campagne devrait avoir ses objectifs propres.

Mais surtout, ils suivent une démarche méthodologique qui s’appuie sur une série d’étapes clés :

• Étape 1 – Analyser
• Étape 2 – Planifier
• Étape 3 – Déployer
• Étape 4 – Mesurer
• Étape 5 – Optimiser

Sans démarche de sensibilisation à la sécurité basée sur des faits, il sera difficile de convaincre les utilisateurs de changer leurs comportements risqués. La démarche est conçue pour tenir compte de tous les facteurs, en particulier la façon dont les gens acquièrent, adoptent et conservent de nouvelles habitudes. Ultimement, elle mène vers le développement d’une culture de sensibilisation à la sécurité et aide à réduire considérablement les brèches de sécurité liées à l’humain.

Étape 1 – Analyser

Chaque organisation est différente et la vôtre ne fait pas exception. Tout ce qui la concerne est unique : sa culture organisationnelle, ses facteurs de risque, le niveau de motivation de son personnel et sa capacité à déployer un programme. Par conséquent, lorsque vient le temps d’établir un programme de sensibilisation à la sécurité, il est logique d’opter pour une solution qui peut être personnalisée et adaptée aux besoins réels de votre organisation.

Quel est le niveau de maturité du programme de sensibilisation à la sécurité de votre organisation?  Découvrez-le ici (Disponible en anglais seulement)

Comment déterminer vos besoins? Par l’analyse. Peu importe la taille de votre organisation, l’analyse est absolument essentielle. Elle vous permet d’acquérir des connaissances importantes pour créer et mettre en oeuvre un programme de sensibilisation à la cybersécurité qui répond à vos besoins actuels en termes de culture organisationnelle et d’environnement.

Dans votre analyse, vous devriez vous concentrer sur neuf éléments clés :

1. Des objectifs de programme stratégiques
2. Les obligations en matière de conformité de votre organisation
3. Vos différents publics cibles (Qui va recevoir la formation en cybersécurité?)
4. L’étendue (Quels sujets la formation en cybersécurité devra-t-elle couvrir?)
5. Le niveau des connaissances (Les comportements à risque actuellement en cours au sein de votre organisation.) Découvrez qui est vulnérable aux attaques d'hameçonnage. Faite un ESSAI GRATUIT de notre simulation d’hameçonnage.
6. Motivation et culture (Vos employés sont-ils engagés, indifférents ou carrément résistants à votre programme?))
7. Ressources de soutien (Est-il nécessaire de constituer une équipe de soutien?)
8. Mondialisation (Souhaitez-vous offrir votre programme dans plusieurs langues? Devrez-vous adapter votre contenu pour refléter des nuances géographiques ou culturelles?)
9. Coûts (Ressources et budgets.)

Étape 2 – Planifier

La prochaine étape après l'analyse est la planification de votre programme de sensibilisation à la cybersécurité.

La planification demande du temps. Toutefois, si vous voulez que votre programme de sensibilisation démarre sans anicroche, vous devez y consacrer les efforts nécessaires. Si vous plongez simplement dans la conception d’un programme de sensibilisation à la sécurité en croisant les doigts pour que cela fonctionne, vos résultats seront aléatoires et vous ne réussirez probablement pas à créer un réel changement de comportement au sein de votre organisation.

La planification vous permet d’anticiper et d’éviter les écueils, de rester concentré sur vos objectifs et de respecter vos échéanciers et votre budget.  

À cette étape, vous élaborez la logistique de votre programme et vous devriez réfléchir aux 6 éléments de planification spécifiques suivants :

1. L’équipe (Qui fera partie de votre équipe de sensibilisation à la sécurité?)
2. La feuille de route (Définir vos objectifs de campagne, planifier vos campagnes et les activités qui en feront partie.)
3. Les produits (Sélectionner et personnaliser les cours en ligne sur la cybersécurité, présentations en personne, outils de renforcement positif, LMS, simulations d'hameçonnage, évaluation de la vulnérabilité, sondages et quiz.)
4. KPI et paramètres (Identifier les KPI et les paramètres de chacun des objectifs de la campagne afin de mesurer vos résultats en fonction de ces références et d’optimiser les prochaines vagues de votre programme.)
5. Communications (Plan de communication, calendrier, matériel.)
6. Présentation du programme (Pour les cadres supérieurs, les membres de l’équipe ou les parties prenantes.)

Étape 3 – Deployer

Vous avez mis les points sur le i et les barres sur les t. Vous êtes maintenant prêt pour le lancement! Mais l’êtes-vous vraiment?

Idéalement, la journée de votre lancement serait la moins stressante possible, donc prévoyez faire vos tests de contrôle au préalable afin de vous assurer qu’il n’y a pas de pépins. Une fois les test complétés et les problèmes résolus, allez-y, lancez-vous – et profitez du sentiment du travail bien fait.

Rappelez-vous toutefois que le déploiement ne devrait pas s’arrêter là. Votre objectif est de mobiliser vos utilisateurs et de capter leur attention afin de créer un engouement envers votre programme et de maximiser vos taux de participation. Vous devez donc poursuivre avec une étape de renforcement pendant et après votre déploiement. Cela vous aidera à atteindre les objectifs que vous avez préalablement établis pour votre campagne de sensibilisation à la sécurité.

1. Tester Avant le lancement de chaque campagne, testez les fonctionnalités techniques, votre contenu ainsi que l’interface utilisateur.
2. Lancer Lancez la campagne et communiquez avec les participants.
3. Renforcer Renforcez vos messages de sensibilisation à la sécurité à l’aide de divers outils de communication (p.ex. affiches, infolettres, publipostages et bandeaux publicitaires, vidéos, etc.)

Étape 4 – Mesurer

Maintenant que vous avez déployé votre programme de sensibilisation à la sécurité, vous souhaitez connaître sa performance. Après tout, à quoi bon faire cette démarche si vous ne savez pas si elle contribue ou non à réduire efficacement les comportements à risque?

C’est ici que les KPI et les paramètres identifiés dans votre étape de planification entrent en jeu. Ils vous permettent de :

1. Recueillir des données Mesurer vos progrès selon les paramètres définis à l’étape de la planification.
2. Suivre les progrès Gérer et suivre votre campagne/programme efficacement.
3. Rendre compte Communiquer des informations à propos de la performance de votre programme aux différents départements de votre organisation et démontrer le respect des exigences de conformité.

Vous pouvez ensuite utiliser toutes ces informations pour évaluer la performance, déterminer si vous avez atteint les objectifs identifiés dans votre phase d’analyse et progresser vers l’étape finale : optimiser.

Étape 5 – Optimiser

Le but derrière l’application d’une approche méthodologique en continu – une démarche – est de réduire l’occurrence de comportements à risque sur le long terme. L’étape de l’optimisation vous permet de déterminer ce qui fonctionne et ne fonctionne pas afin que vous puissiez bonifier votre prochaine campagne et la rendre encore meilleure que la précédente.

Il est important d’agir en fonction de vos conclusions. Continuez à faire des mises à jour. Continuez à vous améliorer. C’est de cette façon que la sensibilisation à la cybersécurité devient et demeure une priorité au sein de votre organisation.

Pour optimiser votre programme sur une base continue, vous devriez :

1. Analyser les paramètres de l’étape 4 – Mesurer
2. Comparer les résultats avec les objectifs de la campagne et les buts du programme
3. Déterminer les possibilités d’amélioration à l’aide des KPI et des paramètres
4. Définir de nouveaux objectifs de formation et de changements comportementaux en vue de la prochaine campagne
5. Établir un bilan avec votre équipe

Besoin d’aide?

L’idée de suivre une démarche de sensibilisation à la sécurité en cinq étapes peu paraître un peu intimidante, en particulier si c’est la première fois que vous attaquez seul un programme de ce genre ou si vous n’avez pas accès aux bonnes ressources. Vous pourriez être tenté d’utiliser un forfait de formation en cybersécurité tout inclus trouvé en ligne ou pire, ne rien faire du tout. (Aucun de ces scénarios ne fera l’affaire!)

Chez Terranova, nous comprenons parfaitement – et nous sommes là pour vous.

Nous avons développé une démarche de sensibilisation à la sécurité en cinq étapes afin de vous aider à créer les plans d’un programme de sensibilisation à la sécurité qui reflètera les besoins de votre organisation.

Webinaire gratuit : Five Steps to Masterminding an Effective Security Awareness Program

Regardez ce webinaire afin de découvrir comment les clients tirent parti de la démarche de sensibilisation à la sécurité en 5 étapes pour concevoir des programmes qui apportent des améliorations mesurables en matière de sécurité. (Disponible en anglais seulement)

Visionner le webinaire

Le eBook Human Fix to Human Risk

Vous pouvez également vous procurez un aperçu du livre The Human Fix to Human Risk et découvrir comment votre organisation peut tirer profit de la démarche de sensibilisation à la sécurité en cinq étapes.