Connect with us

Technologie

Groupe de réflexion sur la sécurité : Comment construire un pare-feu humain

Published

on


Le pare-feu humain est un élément essentiel de la lutte en cours – et beaucoup diraient croissante – contre les cybercriminels. La construction d’un seul dépend de plusieurs éléments, mais elle commence par un programme robuste de formation à la sensibilisation à la sécurité informatique.

Le programme doit être suffisamment complet pour s’adapter à l’organisation pour que, en plus de la cyberformation de base, il comprenne des modules tels que la confidentialité des données ou la sécurité des appareils mobiles, le cas échéant. Cela doit également être bon pour l’industrie – les institutions financières sont confrontées à des risques différents pour les entreprises manufacturières, par exemple.

En outre, il doit être aussi réaliste que possible, en se concentrant sur les menaces réelles auxquelles l’organisation est confrontée, tout en évitant d’entraver les activités quotidiennes.

Et, pour être efficace, la formation doit être inclusive et accessible à tous au sein de l’entreprise, avec différents canaux de prestation adoptés, comprenant idéalement des modules de formation informatisés et des « roadshows », dans lesquels l’équipe se rend à différents endroits pour interagir avec les gens en personne.

Pour atteindre des niveaux élevés de sensibilisation à la sécurité, la formation doit être continue, plutôt que de se dérouler comme des périodes d’activité limitée. Cela nécessite un engagement et une conviction – les entreprises qui considèrent la formation comme une liste de contrôle ou une exigence de conformité ont peu de chances de mettre en œuvre des programmes réussis.

L’objectif est de créer un environnement dans lequel les individus se sentent en sécurité et sont encouragés à soulever des problèmes et à exprimer de nouvelles idées dès le début, avec pour résultat final que leur organisation est plus sûre.

Caractéristiques d’un bon programme de formation à la sécurité

Avant d’examiner si leurs besoins de formation doivent être externalisés à un fournisseur spécialisé ou réalisés en interne, les organisations doivent être claires sur ce à quoi ressemble un bon programme de formation.

Les gens sont la cheville ouvrière. Ils conduisent la formation, qui est créée autour de leurs besoins. La meilleure référence d’un bon programme est l’engagement des employés, ainsi que la contribution de la formation à l’existence d’une solide culture de sécurité au sein de l’organisation.

Les indicateurs peuvent inclure la façon dont les employés interagissent avec les activités de formation – quels sont les taux d’achèvement des différents modules, par exemple, et les utilisateurs entreprennent-ils la formation à temps ou la laissent-ils jusqu’à la dernière minute? Ces détails peuvent indiquer la qualité du contenu de la formation et l’efficacité avec laquelle il communique l’importance du sujet.

Le suivi de toute augmentation des activités basées sur la sécurité est également un guide utile pour l’adhésion des stagiaires. Si le contenu du programme comprend des appels à l’action mesurables, tels que signaler des e-mails de phishing ou encourager les utilisateurs à passer à des gestionnaires de mots de passe, il devrait être perceptible que les employés changent leurs habitudes quotidiennes pour les inclure.

D’un point de vue plus qualitatif, la position générale sur la sécurité au sein de l’organisation doit être observée, en particulier en ce qui concerne la question de savoir si les employés se sentent vraiment comme un élément précieux de la stratégie de défense contre les cyberattaques ou s’ils la considèrent comme un fardeau. Cette perspicacité donnera le ton de la formation qui, plutôt que d’utiliser des tactiques de peur excessives qui peuvent conduire à une culture du blâme, doit donner aux gens les moyens de faire ce qu’il faut.

Externaliser ou en interne ?

Lors de l’examen de la mise en œuvre d’un programme de formation à la sensibilisation à la sécurité, les principaux points de départ à déterminer sont la source du contenu du programme et qui l’administrera. Les deux peuvent être fournis en interne, par un fournisseur externalisé ou par une combinaison des deux.

Tout gérer en interne est l’option la plus coûteuse et la plus gourmande en ressources. C’est le meilleur plan d’action pour les organisations qui ont besoin d’une formation hautement personnalisée, avec des informations potentiellement sensibles incluses. En échange du contrôle total qu’offre ce type de programme, l’entreprise doit s’engager à améliorer les compétences des équipes et à investir dans leurs capacités techniques, ainsi qu’à consacrer beaucoup de temps à la mise en place de la formation.

À l’autre extrémité du spectre, l’externalisation peut offrir des économies de coûts et de temps, bien que cela se fasse au détriment de la formation moins adaptée aux besoins spécifiques de l’entreprise.

Il existe également des options pour une approche hybride. Un programme de formation externe, « off-the-peg », pourrait être administré sous la supervision d’équipes internes, par exemple. Dans ce scénario, des aspects tels que la personnalisation du contenu, ou le calendrier de livraison, sont limités aux paramètres définis par le fournisseur de services (les sessions seront planifiées en fonction de la disponibilité du service et du nombre d’heures contractuelles, plutôt que du moment où les employés ont besoin de la formation)., par exemple).

Alternativement, une organisation pourrait entièrement personnaliser le matériel à utiliser dans la formation, mais le faire livrer par une entreprise de formation spécialisée, qui planifierait également les sessions.

Cela montre que la question de savoir si la formation est effectuée en interne ou par l’intermédiaire d’un fournisseur tiers ne doit pas être considérée comme binaire – « cela dépend » est un guide plus utile. Il n’y a pas de bonne ou de mauvaise solution; il s’agit d’équilibrer le budget et les ressources disponibles avec les exigences de l’organisation, ce qui est souvent régi par sa taille.

Le coût inférieur d’un programme entièrement externalisé peut être préférable aux petites entreprises, tandis que les grandes entreprises sont plus susceptibles d’avoir la capacité d’une équipe interne, ce qui leur permet de bénéficier d’une sensibilisation continue à la cybersécurité.

Cependant, même avec cette dernière approche, un certain niveau d’expertise externe est généralement nécessaire – pour générer de nouvelles idées d’interaction, par exemple – ainsi que pour s’assurer que les progrès dans l’industrie de la formation sont intégrés dans les programmes.

Il convient également de garder à l’esprit que l’engagement d’un fournisseur externalisé qui adaptera les campagnes aux besoins spécifiques de l’organisation permet d’inclure des services à valeur ajoutée tels que les renseignements sur les cybermenaces ou de cibler les utilisateurs d’applications critiques – des éléments qui peuvent être manqués avec une équipe entièrement interne.

Un partenaire externe peut également souvent engager plusieurs parties de l’entreprise, comblant le fossé entre les fonctions RH, de gestion des risques et de sécurité de l’information pour réaliser des intégrations – par exemple, avec la gestion des identités et des accès (IDAM) – que les programmes internes ne peuvent pas.

Formation en tant que service – trouver le bon fournisseur

L’acquisition d’une formation en tant que service n’est pas différente de l’achat de tout autre service auprès d’un tiers. Les acheteurs doivent comprendre comment le fournisseur peut répondre aux exigences de leur organisation, et cela peut être clarifié avec des questions dans les domaines suivants:

  • Connaissances : Le fournisseur a-t-il une connaissance spécifique de l’industrie dans laquelle l’entreprise exerce ses activités?
  • Personnalisation : Dans quelle mesure le programme de formation est-il personnalisable en termes de contenu, de planification, de fréquence et de localisation ?
  • Niveaux de service : le fournisseur propose-t-il des niveaux de service hiérarchisés afin qu’ils puissent être adaptés à l’entreprise en question ?
  • Formats : Quels sont les formats de formation disponibles (en personne, vidéo, diaporama, affiches, jeux, etc.) et sur quels appareils les participants peuvent-ils accéder au programme (ordinateur, mobile, tablette) ?
  • Portée : Quelle est la portée du service? Le fournisseur s’implique-t-il dans le choix du meilleur contenu pour la formation? Et fourniront-ils les rapports nécessaires si les réglementations et les normes de conformité doivent être respectées?
  • Gestion du compte : En termes de gestion du service, y aura-t-il un point de contact unique entre l’organisation et le prestataire ?
  • Pertinence : Comment le fournisseur maintient-il ses connaissances en matière de formation à jour?

Un engagement envers la culture

Le but ultime de tout programme de formation à la sensibilisation à la sécurité est de cultiver une culture basée sur la sécurité au sein de l’organisation. Vu sous l’autre sens, une entreprise très engagée dans l’intégration de la sécurité dans toutes les facettes de la vie des affaires est susceptible de mettre en œuvre un programme de formation efficace, qu’il soit fourni en interne ou externalisé.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance