arrow - stock.adobe.com

Formation et sensibilisation : éditeurs et constructeurs multiplient les initiatives

Les fournisseurs de solutions de sécurité informatique semblent de plus en plus résolus à accompagner leurs clients dans la formation de leurs collaborateurs. De quoi laisser imaginer un certain déficit en la matière.

Les entreprises françaises misent notamment sur la formation et la sensibilisation, mais peut-être encore trop peu. C’est l’impression que l’on est tenté de retirer de la multiplication récente des initiatives en faveur de ces approches, de la part d’éditeurs, de constructeurs ou encore d’assureurs. Au mois d’avril, Hiscox a dévoilé une initiative en ce sens. Mais la compagnie d’assurance n’est pas seule.

Tout récemment, Trend Micro vient d’annoncer un partenariat avec quatre organismes de formation afin d’aider les entreprises à renforcer ce qui est parfois vu comme la première ligne de défense : les collaborateurs. L’éditeur s’est associé pour cela à InfoSec, Ninjio, NextTech Security et GoldPhish. Il propose les supports de formation sur un outil d’apprentissage en ligne, Phish Insight, mis au point par l’éditeur lui-même. L’accès à la plateforme est gratuit durant une période d’essai de six mois.

Plus tôt cette année, c’est Kaspersky qui s’était lancé dans cette voie, avec son Automated Security Awareness Platform – et si son nom ne le laisse pas imaginer de premier abord, elle est bien accessible en français. L’éditeur mise là sur des tutoriels de moins de 10 minutes chacun et estime que sa plateforme « peut servir à renforcer la cyber-hygiène des collaborateurs confrontés à différents niveaux de risque, du plus élémentaire au plus avancé ».

Toujours en début d’année, c’est Harmonie Technologie qui avait lancé Risk & Me, une plateforme de services de prévention et de diagnostics des risques cyber à destination des dirigeants de PME et d’ETI, ainsi que de leurs collaborateurs. Parmi ses différents modules, cette plateforme recouvre notamment la formation, avec l’apprentissage en ligne. Elle s’adresse en particulier aux « intermédiaires assureurs, courtiers, ordres et syndicats professionnels qui souhaitent offrir des services de prévention aux chefs d’entreprise ».

Ces initiatives renvoient à d’autres, comme celle d’Intrinsec, l’an dernier, avec Opfor Intelligence, par exemple. Mais l’on pense également à des rachats, comme celui de Wombat par Proofpoint, il y a un peu plus d’un an, ou celui de Phishline par Barracuda Networks, un mois plus tôt.

Et certains chiffres laissent à penser que ces initiatives n’ont rien d’un luxe. Ainsi, une étude réalisée par To Luna pour Chubb montrait, en début d’année, que les ETI avaient bien identifié le risque cyber. Mais la formation et la sensibilisation des collaborateurs à ce risque n’arrivait qu’en quatrième position des attentes des sondés vis-à-vis de leur assureur. Pour autant, soulignait alors Alexandre Montay, délégué général du Mouvement des entreprises de taille intermédiaire (Meti), « il faut également former les salariés aux bonnes pratiques ».

Et la formation peut toucher les domaines les plus pointus : Stormshield vient ainsi de s’associer au distributeur ETN pour former les clients de ses équipements aux spécificités des environnements industriels (ICS), et ainsi ouvrir les automaticiens au monde de la sécurité informatique.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)