Un plan de formation technique et de sécurité

Développer des compétences techniques pour la transformation du cloud

Pour gérer le déficit de compétences informatiques, Lydia Leong, éminente vice-présidente et analyste de recherche chez Gartner, conseille aux organisations de commencer par soutenir, surveiller et mesurer les progrès de l’équipe de direction par rapport aux initiatives de compétences cloud. « Pour faciliter ces progrès, assurez-vous que les rôles dans l’ensemble de l’entreprise sont divisés par expertise, ce qui permet d’atteindre des objectifs d’embauche réalisables », dit-elle.

Lorsqu’il s’agit de former le personnel existant, Leong recommande aux organisations de perfectionner les employés actuels avec des compétences en matière de cloud, en utilisant l’apprentissage basé sur les relations et l’expérience d’experts. Elle souligne que les compétences d’un personnel plus technique doivent couvrir différents domaines informatiques. « Assurez-vous que les responsables techniques qui supervisent les initiatives cloud de votre organisation sont des penseurs stratégiques dotés d’un sens aigu des affaires, d’une vision d’ensemble et d’un état d’esprit d’équipe qui peuvent communiquer avec divers publics et être agiles dans la pensée et l’action », dit-elle.

Maureen Lonergan, vice-présidente d’AWS Training, affirme que l’un des moyens les plus efficaces d’investir dans une formation complète consiste à mettre en place de vastes programmes d’apprentissage organisationnel. Cela nécessite une formation de base sur le cloud pour tout le personnel et une formation technique approfondie pour le personnel informatique. « Quelle que soit la taille de votre organisation, il y aura des défis et des objections à surmonter », dit-elle. « Le plus important est de considérer le perfectionnement et la requalification de votre personnel comme un impératif stratégique pour la croissance et l’agilité de votre entreprise. »

Leong exhorte les responsables informatiques à évaluer s’ils doivent développer les compétences internes avec les nouvelles recrues. « Les nouveaux employés devront également prendre le temps d’apprendre l’environnement commercial et informatique, mais le recrutement peut être rationalisé vers des recrues clés et expérimentées qui accélèrent de telles initiatives de cloud computing », dit-elle.

Cela peut être complété par l’embauche d’entrepreneurs d’agences de recrutement ou par l’embauche d’entrepreneurs indépendants, ce qui peut être un moyen utile d’acquérir des personnes de niveau junior et intermédiaire pour effectuer des tâches liées au cloud et travailler sur des projets cloud.

Leong croit que l’embauche d’entrepreneurs de haut niveau offre aux responsables informatiques l’un des moyens les plus rapides et les plus efficaces d’acquérir les compétences nécessaires, mais elle avertit qu’il est important de ne pas permettre à ces entrepreneurs de haut niveau de prendre des décisions stratégiques ou politiques.

Au-delà des sous-traitants individuels, les organisations peuvent également demander l’aide d’une source externe, généralement sous la forme d’un fournisseur de services gérés (MSP). Cela peut être considéré comme une approche basée sur des projets ou une approche de services gérés à moyen et à long terme.

Les MSP offrent aussi souvent un transfert de compétences dans le cadre des services qu’ils fournissent aux clients.

Cyberformation

En regardant cTom Everard, expert en cybersécurité chez PA Consulting, souligne que le paysage des menaces est en constante évolution. Il dit que la main-d’œuvre, dans de nombreux cas, n’a pas reçu une formation suffisante en cybersécurité et pourtant le personnel travaille souvent dans un environnement où il est difficile de répondre aux exigences de son rôle tout en restant en sécurité.

« Certaines personnes répondent à la formation; certains ne le font pas », dit Everard. « Si une personne est malheureuse au travail, elle peut faire quelque chose qu’elle ne ferait pas normalement et mettre la sécurité en danger. Une bonne formation à la sécurité et une culture de la sécurité devraient réduire la probabilité que cela se produise. »

Discutant de la question de savoir si la cyberformation devrait être dispensée en interne ou dispensée par des formateurs externes, Tim Holman, PDG du cabinet de conseil en sécurité 2-sec, suggère que la formation en cybersécurité ne devrait pas être considérée comme un exercice annuel pour satisfaire à la conformité FCA, ISO ou PCI. « Le phénomène de l’évanouissement de l’entraînement est maintenant bien prouvé », dit-il. « Le personnel oublie simplement ce qu’on lui enseigne après quelques semaines, ou quelques mois si vous avez de la chance. Certains le font en quelques jours.

Une façon de résoudre ce problème, dit Everard, est d’avoir une ressource facilement accessible où le personnel peut rechercher ce qu’il faut faire dans une situation particulière. Cela pourrait inclure des politiques, des conseils et des bribes de formation qui sont référencés dans le module de formation de base et permettre au personnel de faire facilement ce qu’il faut.

Comme alternative, Everard suggère aux organisations de fournir une formation en petits morceaux tout au long de l’année. Il dit que cela est plus facile à fournir via une plate-forme externalisée et peut être l’un des meilleurs moyens de s’assurer que la main-d’œuvre adopte un bon comportement en matière de sécurité. « Il existe également de nombreux fournisseurs spécialisés dans la formation en sécurité qui ont construit leurs plates-formes sur les sciences du comportement et la recherche », dit-il.

Everard recommande aux organisations de compléter la fourniture externalisée par une formation interne de champions du leadership, de la gestion et de la sécurité pour les aider à renforcer leur culture de sécurité.

Holman pense que la formation interne peut fonctionner si l’organisation dispose d’un formateur dédié ou de champions internes de la sensibilisation à la sécurité. C’est une voie que certaines grandes entreprises prendront, dit-il. Mais la question pour les responsables informatiques est de savoir si la formation interne du personnel est rentable et convient le mieux à l’organisation et à ses employés.

Une suite décente de cours de formation en cybersécurité en constante amélioration, de vidéos, de campagnes par e-mail, etc. ne représentera qu’une fraction du coût d’un formateur interne, étant donné que le salaire moyen à Londres est d’environ 35 000 £.

Dans les cercles de sécurité, la formation continue est la clé de l’idée du pare-feu humain. « Les gens sont la cheville ouvrière », explique Merry Song, analyste chez Turnkey Consulting. Comme le souligne Song, les gens dirigent des programmes de formation, qui sont créés autour de leurs besoins.

« La meilleure référence d’un bon programme est l’engagement des employés, ainsi que la contribution de la formation à l’existence d’une solide culture de sécurité au sein de l’organisation », dit-elle.

Pour Song, les mesures de formation peuvent inclure la façon dont les employés interagissent avec les activités de formation : quels sont les taux d’achèvement des différents modules, par exemple, et les utilisateurs entreprennent-ils la formation à temps ou la laissent-ils jusqu’à la dernière minute ? Ces détails peuvent indiquer la qualité du contenu de la formation et l’efficacité avec laquelle il communique l’importance du sujet, dit-elle.

« La surveillance de toute augmentation des activités basées sur la sécurité est également un guide utile pour l’adhésion des stagiaires », explique Song. Si le contenu du programme comprend des appels à l’action mesurables, tels que le signalement d’e-mails de phishing ou l’encouragement des utilisateurs à utiliser des gestionnaires de mots de passe, ces changements de comportement peuvent être observés et mesurés, ajoute-t-elle.

Mesures et méthodologies de formation

Décrivant sa propre expérience en formation, l’expert en informatique Junade Ali se souvient d’une expérience récente où il a travaillé avec une équipe qui construisait une plate-forme de formation logicielle pour aider à améliorer les décisions de gestion. Selon Ali, l’équipe avec laquelle il travaillait avait du mal à présenter des informations d’une manière qui inciterait les gestionnaires à en apprendre davantage sur leurs équipes et à améliorer les performances.

Il a conseillé à l’équipe d’adopter des heuristiques développées par The Behavioural Insights Team, une entreprise créée il y a environ dix ans au sein du gouvernement pour aider les citoyens à prendre des décisions plus intelligentes en matière de santé, de richesse et de bonheur. L’un des modèles mentaux qu’il a publiés était le cadre oriental (facile, attrayant, social et opportun).

Ali dit que des cadres plus avancés, tels que Mindspace, introduisent d’autres facteurs qui peuvent être utilisés pour stimuler le comportement, tels que tirer parti du fait que les gens aiment agir de manière à ce qu’ils se sentent mieux dans leur peau.

D’après l’expérience d’Ali, ces petits interles ventilations peuvent avoir de grands effets. Par exemple, l’équipe d’introspection comportementale a constaté qu’en utilisant des rappels par message texte dans les programmes d’éducation des adultes, il y avait une augmentation de 8% de la probabilité de réussir les examens au cours d’une année scolaire dans un groupe témoin.

Lorsqu’il apporte des améliorations plus complexes à grande échelle, en particulier lorsque les preuves antérieures sont plus limitées, Ali dit qu’il est important de mesurer l’impact pour s’assurer que ces interventions ne font pas plus de mal que de bien. Par exemple, il dit que des essais contrôlés randomisés scientifiquement robustes, dans lesquels les gens sont répartis au hasard dans des groupes témoins et d’essais, peuvent fournir des réponses concluantes rapidement dans une large base d’utilisateurs, mais « cela peut être difficile lors de la conception d’un programme de formation pour un petit public qui essaie de déplacer une métrique d’étoile polaire qui a une boucle de rétroaction lente ».

Dans l’ensemble, la plupart des entreprises devront développer une formation interne ou avoir une formation adaptée à leur situation spécifique, explique Paddy Francis, directeur de la technologie (CTO) chez Airbus CyberSecurity. En ce qui concerne la formation à la sécurité à usage plus général, il dit que l’achat peut être une meilleure voie, en raison du coût de développement de la formation et de son maintien dans un environnement cybernétique en évolution.

Quel que soit le type de formation requis et la manière dont elle est dispensée, les responsables informatiques ont besoin d’un mécanisme pour mesurer son efficacité. Cela peut être aussi large que d’examiner le niveau des incidents de sécurité informatique dont la cause première est une erreur de l’utilisateur, ou une mesure du volume d’idées de projets natifs du cloud. Le succès dépendra des mesures qui vont dans la bonne direction à long terme.

C’est ici que la formation plus régulière a un avantage sur les cours annuels. Il peut même y avoir une place pour les « petites interventions » d’Ali, où un rappel amical encourage les bonnes pratiques ou inspire quelqu’un à essayer une nouvelle idée qu’il a apprise lors d’un cours récent.