Comment puis-je amener mes utilisateurs à prêter attention à la formation en sécurité ?

Développer une culture de la sécurité

Selon Sean Wright, responsable de la sécurité des applications d’Immersive Labs, amener le personnel à comprendre l’importance de la formation en matière de sécurité pour lui-même et pour l’ensemble de l’organisation est un défi majeur auquel sont actuellement confrontés les employeurs.

« La formation en sécurité est très difficile à aborder. Il a souvent déjà une connotation négative associée à elle – ces gens de sécurité embêtants à nouveau – afin d’essayer de convaincre les employés que cette formation est importante non seulement pour l’organisation, mais aussi utile pour eux-mêmes, est un défi », dit Wright.

Il soutient qu’un changement de culture est nécessaire pour résoudre ce problème. « La façon dont nous faisons en sorte que les employés commencent à prendre la formation au sérieux est un changement de culture, en ce que la culture de la sécurité se développe au sein de l’organisation. Cela aidera les employés à s’œ ajouter aux efforts liés à la sécurité, comme la formation », ajoute-t-il.

Pour développer une culture de la sécurité et s’assurer que tous les employés prennent au sérieux la formation sur la cyberdéfense, M. Wright croit que de nombreuses questions doivent d’abord être abordées. « Supprimer la stigmatisation du « non ». Nous devons changer la perception que nous sommes un obstacle et que, de même, la sécurité est un obstacle », dit-il.

« Nous devons nous concentrer et souligner les aspects positifs d’une gestion correcte de la sécurité, comme une meilleure réputation auprès des clients, moins de risques de violation et de perte de clients, par exemple.

« Ils doivent comprendre pourquoi ils doivent faire quelque chose et leur expliquer en termes et en langage qu’ils comprennent – supprimer autant de jargon technique que possible. »

M. Wright affirme que les organisations doivent également changer l’état d’esprit selon qui « la sécurité n’est pas mon problème » et préciser que chaque employé doit jouer son rôle dans l’amélioration de la sécurité au sein de l’organisation. « Aidez les employés à comprendre qu’ils ont tous un rôle à jouer, en expliquant pourquoi et quels sont les risques s’ils ne le font pas », dit-il.

Les employeurs devraient également allouer le temps approprié aux employés pour qu’ils œuvrent leur formation en matière de sécurité et s’assurer qu’elle n’est pas entassée en une seule fois, dit M. Wright. « Ils voudront probablement simplement se précipiter à travers elle plutôt que d’absorber l’information de celui-ci. Assurez-vous d’obtenir des commentaires, de découvrir les choses qu’ils n’aiment pas, mais aussi ce qu’ils aiment », ajoute-t-il.

« Essayez de mettre en œuvre des changements qui aident à répondre à certaines des commentaires ou suggestions négatifs faits. Il montre que les employés ont également voix au chapitre et qu’ils l’aideront à mieux répondre à leurs besoins. Il aide également avec leur relation avec l’équipe de sécurité, en évitant ce mantra « non » et la perception.

Une autre motivation pour les employés de prendre part à la formation en sécurité est qu’il sera bien paraître sur leur CV. Wright ajoute: « Un autre spin positif est – surtout s’ils utilisent des services en ligne – ils pourraient éventuellement inclure cela sur leurs CV, donc c’est autant un avantage pour eux-mêmes. Ils peuvent également accroître leurs propres connaissances en matière de sécurité et de sensibilisation à leur vie personnelle. Pour moi, c’est un grand avantage supplémentaire.

Transformer la formation en sécurité

La formation en sécurité a longtemps été considérée comme irritante par les entreprises et leurs employés, selon Jake Moore, spécialiste de la sécurité chez ESET. « Cela continue de provoquer des frictions entre les ministères dans le but souvent pris aux RH de l’orchestrer. Rendre la formation obligatoire est malheureusement un mal nécessaire », dit-il.

Mais il dit que la formation en sécurité peut être extrêmement précieuse et économiser de l’argent pour l’entreprise à long terme si elle est bien livrée. « Être innovateur ou créatif peut être délicat dans un sujet souvent banal, mais il peut être offert de façon colorée qui n’a pas d’impact sur la routine quotidienne des gens », dit-il.

« Le rendre intéressant peut aider à être attentif aux attaques standard telles que les courriels d’hameçonnage et peut aider les gens à ralentir et à remettre en question les techniques d’ingénierie sociale souvent utilisées par les acteurs de la menace lorsqu’ils tentent d’obtenir de l’information ou même d’entrer. »

Moore avertit que forcer les tests à châtier ceux qui ont de mauvais scores peut avoir un effet négatif sur le personnel et doit être évité à tout prix. Au lieu de cela, les organisations devraient récompenser les employés pour avoir réussi leur formation en sécurité.

« Des incitatifs ou des prix pour gagner des scores peuvent aider le personnel à lire les modules et à sensibiliser le public, ce qui contribue à créer une forte sensibilisation et une culture avertie », dit-il. « La clé, cependant, est de rendre les modules de formation courts, intéressants et efficaces, parsemés d’histoires réelles qui aideront à élever la compréhension derrière l’éducation. »

Un programme de sensibilisation à la sécurité devrait être un effort continu et non un événement unique, déclare Lisa Ventura, pdg et fondatrice de la Cyber Security Association au Royaume-Uni. « Le déploiement de la même formation à vos utilisateurs finaux année après année est inefficace. L’examen et la mise à jour constants de votre programme de formation en matière de cybersécurité sont la clé du succès », ajoute-t-elle.

Une autre bonne idée est d’ajouter une formation en sécurité au processus d’onboarding afin que les nouveaux employés soient conscients des différents risques cybernétiques et de la façon d’y répondre, selon Ventura. « Cela aidera à créer une culture soucieuse de la sécurité dès le départ, et rendre la formation obligatoire plutôt qu’facultative est crucial », ajoute-t-elle.

Ventura estime que les programmes de sensibilisation à la sécurité les plus efficaces sont personnels. « Les pirates ne s’attaquent pas seulement aux organisations, ils ciblent les individus et utilisent souvent le courrier électronique, les médias sociaux et d’autres méthodes pour pirater les systèmes d’entreprise. Les employés seront plus susceptibles de s’engager avec elle s’ils peuvent voir dans quelle mesure cela affectera leur vie d’un point de vue personnel et personnel ou corporatif », dit-elle.

La formation en sécurité est primordiale

Avec l’augmentation rapide des risques cybernétiques, la formation en sécurité est fondamentale dans chaque entreprise et organisation. Josh Douglas, vice-président produit chez Mimecast, déclare : « Les menaces auxquelles les organisations sont confrontées sont de plus en plus nombreuses, ce qui rend la formation sur la sensibilisation à la cybersécurité plus importante que jamais.

« Le travail à distance, en particulier, a créé de nombreux défis, les employeurs perdant de la visibilité sur le comportement des employés, créant ainsi un risque supplémentaire. Il s’agit d’une préoccupation massive, avec la recherche Mimecast constatant que 70% des responsables de l’IT croient que les mauvais comportements des employés, tels que la mauvaise hygiène des mots de passe, mettre les entreprises en danger. Ce problème peut être abordé de face avec la formation sur la cyber-sensibilisation.

Il est d’avis que les chefs d’entreprise devraient veiller à ce que les programmes de formation en matière de sécurité permettent aux employés de protéger leur organisation. « Les organisations peuvent conduire cette autonomisation grâce à un programme solide qui est plus engageant, qui utilise l’humour et qui maintient des points concis », dit-il.

« Pour renforcer cette autonomisation, les employés devraient toujours recueillir des commentaires et les utiliser pour répondre au mieux à leurs besoins », dit Douglas.

La propre analyse de Mimecast suggère que les employés qui reçoivent une formation régulière en sensibilisation sont 5,2 fois moins susceptibles de cliquer sur des liens risqués que ceux qui n’en ont pas, alors que les État de la sécurité des courriels le rapport montre que seulement 19 % des organisations offrent actuellement une formation continue en matière de cyberdéfense.

La seule façon pour les entreprises d’éduquer les employés sur les risques pour la sécurité et leur rôle dans la protection de l’ensemble de l’organisation est d’offrir une formation régulière sur la cyberdéfense, dit Douglas.

« À mesure que le travail à distance deviendra la nouvelle norme, les connaissances qu’une telle formation fournit seront cruciales pour renforcer la résilience des organisations et faire en sorte que les employés puissent travailler avec succès de la maison à long terme », ajoute-t-il.

Rendre la formation en sécurité amusante

Laurence Pitt, stratégiste sécurité mondiale chez Juniper Networks, affirme que la formation en sécurité est souvent terne, corporative et peu fâcheuse. « Les employés peuvent trouver des moyens d’accorder le minimum d’attention possible – regarder des vidéos à double vitesse, multitâche et deviner des réponses, ou espérer que le mandat s’en ira s’il est ignoré », dit-il.

Il soutient que quelque chose doit changer et que la réponse réside dans la gamification. « Créez des activités personnalisées qui donnent une expérience différente en fonction des réponses aux questions. Plusieurs itinéraires différents à travers un exercice le rendent plus amusant. Limitez n’importe quel jeu de sécurité à 10 minutes – quelque chose qui s’inscrit dans une pause-café », explique Pitt.

« Rendez l’entraînement amusant. Les humains apprennent mieux des récompenses positives que des expériences négatives. Un avantage supplémentaire est que les gens partagent quelque chose qu’ils aiment, et peuvent donc transmettre des conseils de sensibilisation à leurs collègues, famille et amis.

« Donnez des badges virtuels pour terminer la formation, peut-être créer un tableau de bord en fonction de la rapidité avec laquelle les employés terminent leur formation une fois assignés. Évitez de récompenser les bonnes réponses ou le temps de terminer la tâche.

Pitt dit que la combinaison de ces idées pourrait créer une expérience amusante et enrichissante des employés de la formation de sensibilisation à la sécurité. « Cela nécessitera des investissements, mais l’organisationcomme l’Institut Infosec ont déjà commencé à gamifier les idées de formation et peuvent être en mesure d’aider », ajoute-t-il.

« L’investissement dans la sécurité ne sera pas un exercice bon marché, mais sera sans aucun doute plus abordable que les dommages causés par une attaque ransomware ou violation accidentelle de données. Faire de la formation une activité que les employés veulent, plutôt que d’avoir à compléter, ne peut être qu’un point positif pour aider à renforcer votre posture de sécurité.

Aujourd’hui, les entreprises sont confrontées à une série de risques de cybersécurité différents, et l’essor du travail à distance au cours de la dernière année ne fait que les exacerber. De toute évidence, le moyen le plus efficace d’atténuer les risques liés à la cybersécurité des entreprises est d’en sensibiliser le personnel par la formation. Mais à moins qu’une telle formation ne soit engageante et intéressante, de nombreux employés continueront de ne pas y prêter attention et seront par la suite victimes de cyberattaques.