Ce qu’il faut retenir du Sommet virtuel en sensibilisation à la sécurité 2020
D’après Verizon, 43% des cyberattaques viseraient ainsi les petites et moyennes entreprises. De plus, plus d’un tiers des piratages informatiques implique des acteurs internes à l’organisation, et 92% des virus sont transmis par email. Gartner estime ainsi que les comportements risqués des employés demeurent l’une des « causes principales » d’exposition des entreprises aux cyberattaques.
Au-delà des dispositifs techniques et logiciels mis en œuvre, la sécurité informatique d’une organisation dépend donc, pour beaucoup, de la sensibilisation des collaborateurs aux risques auxquels ils sont exposés quotidiennement, et de leur capacité à adopter un comportement plus prudent et plus clairvoyant face aux menaces.
L’édition 2020 du Sommet virtuel en sensibilisation à la sécurité, organisé en mai dernier par Terranova Security, a réuni plusieurs experts autour cette question. Y ont notamment été évoquées les conditions à réunir pour s’assurer de l’efficacité d’un programme de sensibilisation à la sécurité.
Convaincre les dirigeants
Les experts rappellent d’abord la nécessité d’impliquer l’équipe dirigeante dans un tel programme, notamment en leur démontrant « comment une formation détaillée en sensibilisation à la sécurité pour l’ensemble des employés peut avoir un impact positif sur leur bénéfice net, plutôt que de simplement ronger des ressources potentiellement limitées. »
Cela passe, comme le souligne Brian Reed, Directeur principal et Analyste chez Gartner, par la prise en compte des objectifs corporatifs, par l’utilisation d’exemples concrets de résultats positifs, ou encore par un discours axé sur la gestion des risques et sur leurs coûts.
Theo Zafirakos, Responsable de la sécurité des SI chez Terranova Security, souligne en effet que « l’adoption d’un programme de formation en cybersécurité joue un rôle majeur pour minimiser les failles coûteuses » notamment en matière de perte de productivité ou de « pertes de profits liées à une période d’arrêt prolongé. » Un argument que les dirigeants et gestionnaires pourront aisément entendre.
Convaincre les employés
« L’efficacité de votre programme de formation en cybersécurité dépendra de votre taux de participation » souligne Terranova Security. D’où l’importance d’embarquer un maximum de collaborateurs dans le programme.
Pour Brian Reed, cela nécessite de construire un lien émotionnel, par l’adoption d’un discours axé là aussi sur les bénéfices, par exemple sur le renforcement des compétences.
Blythe Price et Erin Csonaki, gestionnaires des programmes d’éducation en cybersécurité chez Microsoft, conseillent ainsi d’aborder « les exigences de formation comme un exercice », avec des objectifs clairs et des indicateurs de performances, en rappelant que « le simple fait de cocher les cases d’une liste de sensibilisation à la sécurité pour satisfaire aux exigences de base de l’industrie n’aura pas un impact significatif et durable sur vos employés ».
Combiner théorie et pratique
Pour qu’un programme de formation en sensibilisation à la sécurité fonctionne, les experts s’accordent également sur le fait qu’il faut trouver le bon équilibre en théorie et pratique.
Bill Dunnion, Directeur du Bureau de la cyberésilience chez Calian, explique ainsi que « lorsqu’un programme de formation ne compte pas d’éléments pratiques, le contenu ne semble pas applicable dans la vie réelle. »
Certains programmes adoptent, par exemple, une approche de gamification, qui permet d’accroître l’instantanéité du processus d’apprentissage. Une stratégie notamment adoptée par Microsoft, qui a constaté un « volume important de rétroactions positives sur la convivialité du processus pour les utilisateurs. »
Utiliser des simulations
A cette fin, l’utilisation de simulations de phishing (hameçonnage) apparaît comme un outil particulièrement efficace.
Brandon Koeller, gestionnaire dr programme chez Microsoft, précise que « les simulations d’attaques d’hameçonnage aident l’utilisateur à contextualiser la formation. » Il a notamment démontré qu’ « une vigilance accrue, combinée à des leurres d’hameçonnage plus persuasifs, a entraîné non seulement des changements de comportement plus importants, mais également une diminution de la régression dans le temps. »
Au final, en matière de sensibilisation à la sécurité, tout est question de changement dans le comportement des utilisateurs. Et comme l’explique Brian Reed : « La modification de ces comportements, particulièrement lorsqu’ils sont devenus de mauvaises habitudes, ne surviendra pas du jour au lendemain. Toutefois, si la formation en sensibilisation à la sécurité est construite pour améliorer la ”marque personnelle” d’un individu plutôt que de l’obliger à se comporter autrement, les changements seront accueillis plus facilement. »
