apinan - Fotolia
Former ses employés à la cybersécurité : comment construire un projet robuste
La formation à la cybersécurité manque souvent sa cible, tandis que la menace continue de progresser. Réussir là où d’autres échouent nécessite une formation active, réaliste et pleinement d’actualité. Voici comment faire.
Les programmes de formation à la cybersécurité jouent un rôle crucial pour tenir les employés informés de l’évolution du paysage des menaces, ainsi que de leur rôle personnel dans la protection de l’organisation et de ses partenaires. Malheureusement, ces programmes souffrent souvent d’un manque d’attention qui se traduit par un contenu terne et potentiellement obsolète, qui n’engage pas efficacement les employés et, par conséquent, n’atteint pas ses objectifs en matière de cybersécurité.
La plupart des employés sont passés par là : ils ont été soumis à une sorte de programme de formation obligatoire en dehors de leur domaine d’expertise, ce qui les a distraits du travail qu’ils devaient terminer. Lorsqu’ils reçoivent le troisième courriel qui les menace d’avertir leur patron s’ils ne terminent pas le programme de formation avant la fin de la journée, ils suivent leur instinct. Ils ouvrent la vidéo de 45 minutes dans un nouvel onglet, appuient sur « lecture » et reportent immédiatement leur attention sur ce sur quoi ils travaillaient. Si le son s’arrête en arrière-plan, ils retournent à l’onglet caché et répondent à une question simpliste dont la réponse est évidente pour que la lecture de la vidéo reprenne. Accessoirement, ils se passent la vidéo en léger accéléré.
C’est l’état d’esprit auquel les professionnels de la cybersécurité doivent être attentifs lorsqu’ils élaborent les programmes de formation à la sécurité qu’ils partagent avec leurs collaborateurs. Si la formation n’est pas suffisamment convaincante pour sortir du lot, elle n’atteint pas vraiment son public cible. Ce qui constitue un échec catastrophique pour le programme et une menace importante pour la sécurité de l’entreprise.
Pourquoi la formation des employés à la cybersécurité est-elle importante ?
Lorsque les employés ne comprennent pas les menaces de cybersécurité et leur propre rôle dans la protection des systèmes et des données, ils peuvent, par inadvertance ou intentionnellement, prendre des mesures qui compromettent les mesures de sécurité. Les attaquants peuvent ainsi détourner leurs comptes, ou installer des logiciels malveillants sur les systèmes, par exemple.
Le phishing, ou hameçonnage, est l’une des principales menaces auxquelles peuvent être confrontés les collaborateurs d’une organisation, qu’elle qu’en soit la finalité – détournement de messagerie professionnelle, fraude au président, vol d’identifiants, ou installation d’un logiciel de prise de contrôle à distance. Le phishing est l’un des trois principaux vecteurs d’intrusion préalable à une attaque avec ransomware : il suffit d’un seul employé mal informé pour déclencher par inadvertance une grave atteinte à la sécurité.
Comment créer un programme efficace de formation à la cybersécurité ?
Aucune organisation ne cherche à créer un programme de formation à la cybersécurité inefficace. Toutes les organisations souhaitent impliquer leurs employés et mieux les préparer à travailler en toute sécurité dans le contexte des menaces actuelles. Cependant, de nombreux programmes ne parviennent tout simplement pas à atteindre leurs objectifs.
Voici quelques étapes à suivre pour s’assurer que ses programmes atteignent leurs objectifs :
- Motiver les employés. Rien ne remplace un contenu attrayant. Si les supports de formation à la cybersécurité sont ennuyeux, ils seront relégués dans un onglet du navigateur en arrière-plan. Cela ne signifie pas qu’ils doivent être remplis d’humour trivial ou d’histoires stupides. Bien qu’une blague par-ci par-là puisse aider à garder une certaine légèreté, il est plus important de parler du point de vue de l’employé. Les anecdotes qui établissent un lien direct entre les messages de cybersécurité et l’environnement de travail sont bienvenues. Et il faut rester bref. Une série de vidéos de cinq à sept minutes a beaucoup plus de chances de retenir l’attention du spectateur qu’un monologue de 45 minutes, quelle que soit la qualité de sa production.
- Tenir l’actualité. Les supports de formation doivent être régulièrement mis à jour pour deux raisons importantes. Tout d’abord, personne n’a envie de regarder des rediffusions de contenu sur la cybersécurité. Ensuite, l’environnement opérationnel d’une entreprise et le paysage des menaces sont en constante évolution ; la formation doit s’adapter à ces besoins changeants.
- Varier les formats. Tout le monde n’apprend pas de la même manière. Plus les organisations utilisent de mécanismes pour diffuser leur message, plus elles ont de chances de toucher les divers membres du public cible. Il est par exemple possible de combiner la formation en ligne avec des bulletins d’information par courrier électronique, de brèves discussions lors des réunions d’équipe, des déjeuners d’apprentissage et tout autre format susceptible d’intéresser les collaborateurs. Il convient d’expérimenter souvent, en conservant les éléments qui fonctionnent.
- Mesurer l’efficacité. Il convient d’utiliser des moyens créatifs pour évaluer l’efficacité du programme de formation des employés en fonction de ses objectifs. Les questionnaires aux réponses évidentes ne font pas l’affaire, car elles sont généralement si faciles que n’importe qui peut y répondre correctement sans avoir absorbé le contenu du programme. Si les questions sont trop difficiles, le risque est de voir ses employés échouer au test. Des simulations de phishing qui évaluent le niveau de sensibilisation réel de l’équipe sont plus adaptées. De nombreux fournisseurs proposent désormais des services managés qui administrent les campagnes de simulation de hameçonnage et aident les entreprises à cibler les efforts de suivi.
Les 4 sujets de formation les plus importants en matière de cybersécurité
Une fois que l’on est prêt à élaborer un programme de formation efficace en matière de cybersécurité, quels sujets aborder ? La liste de ces sujets doit être élaborée en fonction des besoins de son organisation, mais il est important que les sujets restent simples et ciblés.
Les quatre sujets cruciaux suivants doivent être explorés dans tout effort de formation à la sensibilisation à la sécurité :
- Le phishing est l’une des menaces les plus anciennes, et reste très efficace. Non seulement le hameçonnage est toujours très répandu, mais il est impliqué dans un grand nombre de cyberattaques. Les employés doivent être formés pour reconnaître et traiter ces menaces de sécurité de manière appropriée.
- L’ingénierie sociale ne s’appuie pas toujours sur des e-mails de phishing. Mais les collaborateurs peuvent y être confrontés dans de nombreux contextes, y compris en dehors du bureau, au comptoir d’un service client, au téléphone, au bistrot, ou même à la gare ou l’aéroport. Les employés doivent comprendre les techniques utilisées en ingénierie sociale et comment éviter, autant que possible, de se laisser piéger.
- L’hygiène des mots de passe est une bataille constante. La plupart des organisations ont répondu à cette menace en mettant en place une authentification multifactorielle. Mais la sécurité des mots de passe reste cruciale, car tous les systèmes ne prennent pas en charge ces mécanismes. Les employés qui réutilisent les mots de passe sur plusieurs sites Web peuvent exposer les informations d’authentification de l’entreprise lors de brèches de sécurité. Des programmes de sensibilisation peuvent éduquer sur ces risques et aider à adopter des gestionnaires de mots de passe qui permettent de créer des mots de passe forts et uniques pour chaque site et service.
- Les pratiques sécurisées de travail à distance sont devenues beaucoup plus importantes à partir de 2020, lorsqu’une grande partie de la main-d’œuvre a soudainement commencé à travailler depuis son domicile, avec peu ou pas de préparation, en raison de la pandémie. Les programmes de sensibilisation à la cybersécurité doivent veiller à ce que les employés comprennent les politiques de l’entreprise en matière de stockage et d’accès aux informations sensibles depuis l’extérieur du bureau.
Un dernier conseil pour finir
Si la formation doit être d’actualité, cela ne signifie pas que les organisations doivent explorer des sujets exotiques. Tous les conseils ci-dessus entrent dans la catégorie des conseils qui ont fait leurs preuves. La plupart des violations de la sécurité sont le résultat de menaces simples, et les efforts de sensibilisation à la cybersécurité les plus efficaces explorent de nouveaux moyens d’inciter les employés à adopter des pratiques de base en matière de cybersécurité.
À propos de l’auteur : Mike Chapple, Ph. D., CISA, CISSP, est directeur de l’IT à l’Université de Notre-Dame (Indiana, USA), et auteur de plusieurs titres sur la sécurité de l’information, dont le « CISSP Prep Guide » et « Information Security Illuminated ».