Skip to main content

La cybersensibilisation à l’ère du travail à distance : la réussite commence par un engagement significatif des employés

Les mesures de cybersécurité sont depuis longtemps axées sur l’élément technologique, mais les entreprises passent à côté de leur objectif si elles ne se concentrent pas également sur le facteur humain. En effet, si les acteurs de la menace sont de plus en plus sophistiqués, ils comptent toujours sur les humains pour être victimes de leurs stratagèmes, en particulier dans l'environnement actuel de travail à distance[1].

Malheureusement, les programmes de formation existants en cybersécurité sont généralement des exercices dans lesquels il faut cocher des cases, qui ne réussissent pas à mobiliser les employés de façon significative, ce qui entraîne un manque de sensibilisation et d’éducation sur les vulnérabilités en matière de cybersécurité et le rôle des personnes dans la cyberdéfense de leur entreprise. Dans l’environnement de travail à distance d’aujourd’hui, l’impératif de cybersécurité est plus important et multidimensionnel que jamais, et il est essentiel de former et de mobiliser les employés.

Apprenez-en davantage grâce à ces aperçus des meilleures pratiques qui aideront les responsables de la sécurité de l’information et des technologies de l’information à aborder les facteurs humains en matière de cybersécurité et, en fin de compte, à créer des programmes de cyberformation et de sensibilisation plus efficaces :

 

Q. : Quelles sont les lacunes des programmes de sensibilisation, de formation et d’éducation des employés en matière de cybersécurité?

R. : Pour de nombreuses entreprises, cela dépend de leur position sur le continuum de la cybersécurité et de leur parcours en la matière. Les entreprises qui se trouvent au début du processus se concentrent souvent davantage sur les technologies et les TI, qui sont des éléments fondamentaux d’une stratégie de cybersécurité réussie. Mais dans l’ensemble des secteurs, les entreprises devraient investir davantage dans l’élément humain. C’est ce que font les organisations dotées de programmes de cyberéducation complets, car lorsqu’on examine les cyberincidents, les atteintes à la cybersécurité, les compromissions de réseau, les initiés malveillants ou les anciens employés, il y a un dénominateur commun : les humains. Et plusieurs lignes de défense sont gérées et entretenues par l’humain. Pourtant, de nombreuses entreprises se concentrent souvent sur la technologie et l’infrastructure.

Le problème est également que les formations et les approches éducatives existantes ne sont pas toujours efficaces. Tenez compte du fait que les employés sont occupés, concentrés sur leur travail quotidien et inondés de formations provenant de divers secteurs de l’organisation. Les formations doivent être plus efficaces, et les entreprises doivent également faire plus pour influencer les comportements et les mentalités. Il ne suffit pas de dire aux gens quoi faire; les concepts, les comportements et les raisons doivent être davantage intégrés dans ce travail.

 

Q. : Qu’est-ce que les entreprises doivent changer en matière de formation et de sensibilisation à la cybersécurité, en particulier dans l’environnement de travail à distance?

R. : Une façon d’influencer l’élément humain de manière efficace est de créer des programmes créatifs, intéressants et mobilisateurs. Ils doivent être convaincants et interactifs, et ne doivent pas seulement présenter ou communiquer du contenu. Une approche programmatique est efficace, plutôt que des formations ponctuelles, et cela commence par la connaissance des objectifs d’apprentissage et des comportements souhaités, afin que tous les exercices qui suivent soient conçus pour atteindre ces objectifs et produire ces résultats. Les exercices et les activités peuvent être informatiques, surtout dans le contexte actuel, tout en donnant l’impression d’être suivis en personne.

  • Pensez à des dîners-causeries, avec des conférenciers et des récits; les histoires interpellent les gens. Elles aident les gens à comprendre une idée ou un comportement en contexte, et elles sont beaucoup plus attrayantes et intéressantes.
  • Les exercices sur maquette, qui réunissent des groupes d’affaires précis pour discuter de différents scénarios, sont formidables. Le fait de les regrouper par catégories d’employés, comme les cadres supérieurs, les RH, les services juridiques, etc., plutôt que de façon plus générale, aide les gens à établir des liens au niveau individuel. C’est plus pertinent pour eux et leur travail, et il est probable que cela donnera de meilleurs résultats. Ces conversations doivent être ouvertes, stimulantes et mobilisatrices. Il y a aussi beaucoup de simulations technologiques qui peuvent être utilisées dans ces formations, par exemple pour simuler l’hameçonnage. Les simulations sont puissantes; l’élément d’apprentissage par l’expérience est utile.
  • Envisagez également des discussions informelles, qui faciliteront un dialogue ouvert et mobilisateur.

Un autre élément clé consiste à veiller à ce que l’environnement et le ton ne soient pas punitifs; il doit s’agir d’un forum d’apprentissage ouvert. Si la formation est punitive ou met l’accent sur la discipline, les employés ne se mobiliseront pas et se sentiront menacés.

Il est également essentiel d’inclure un appel à l’action. Ainsi, les employés ne reçoivent pas seulement de nouveaux renseignements, l’organisation leur demande de faire quelque chose. Ils sont habilités à agir, ont de l’influence et assument un rôle et des responsabilités précis. Cela change la façon dont les employés réfléchissent aux choses et se comportent derrière le clavier. Il est également utile de faire savoir aux employés qu’ils peuvent utiliser leurs apprentissages pour protéger leur réseau à domicile.

La validation est importante : les entreprises doivent valider la compréhension et l’efficacité de la formation, et s’améliorer continuellement. La cybersécurité évolue sans cesse, de sorte que la réponse d’une entreprise et son programme de formation doivent être souples et dynamiques. Ils ne doivent jamais être des éléments uniques, que les employés ne suivent qu’une fois.

 

Principes et pratiques efficaces en matière de sensibilisation, de formation et d’éducation
  • Adoptez une approche programmatique plutôt que des formations uniques ou annuelles.
  • Mobilisez les employés avec différents formats, comme des exercices sur maquette avec différents scénarios, des dîners-causeries, des simulations et des discussions informelles.
  • Intégrez des histoires et des anecdotes pour aider les employés à assimiler le contenu sur la cybersécurité.
  • Segmentez les formations par unité fonctionnelle et personnalisez le contenu et les messages pour les rendre plus ciblés et pertinents, au lieu de les offrir à l’échelle de l’entreprise.
  • Assurez-vous que le ton des formations est ouvert et mobilisateur, et non punitif.
  • Invitez les employés à passer à l’action afin qu’ils se sentent responsabilisés et qu’ils comprennent clairement leur rôle et leurs responsabilités en matière de cybersécurité.
  • Effectuez des suivis et des validations pour vous assurer que les formations sont efficaces et que les objectifs sont atteints.
  • Réexaminez souvent le programme et trouvez des moyens d’évoluer et de réagir à l’évolution des vulnérabilités en matière de cybersécurité.
  • Demandez aux dirigeants de communiquer sur l’importance de la mobilisation des employés et de participer aux formations.

 

Q. : De quelle autre manière les entreprises peuvent-elles élaborer ou soutenir une meilleure formation en cybersécurité?

R. : C’est souvent une question de culture. La cybersécurité doit vraiment être une priorité qui part du haut, en commençant par la direction, pour ensuite s’étendre à tous les employés. Dans certaines organisations, les dirigeants soutiennent certains niveaux de contrôles et de procédures généraux en matière de cybersécurité, mais les trouvent fastidieux et ont tendance à ne pas les adopter eux-mêmes. Nous devons tous changer cela et nous y habituer. Le ton donné par les échelons supérieurs est vraiment important.

En ce qui concerne la cybersécurité, plusieurs principes directeurs la rendent plus efficace : la constance, la conformité et l’omniprésence.

Faire en sorte que la formation soit pertinente a un grand impact, à l’échelle de l’organisation, des hauts dirigeants jusqu’en bas. Les messages doivent être personnalisés; si une formation pour une entreprise de détail utilise des exemples tirés de l’éducation supérieure, elle est moins susceptible d’avoir le poids et la profondeur qu’aurait un point de vue sectoriel. Les gens veulent savoir ce que vivent leurs pairs du secteur et connaître le contexte des menaces, des revenus perdus et des occasions manquées au manque de confiance.

Les gens doivent aussi être conscients de la complexité croissante des cyberattaques. Les courriels d’hameçonnage sont maintenant écrits avec le ton et la voix du supérieur de la personne, afin que le destinataire soit plus susceptible de répondre et de compromettre la cybersécurité. Pour lutter contre cela, la formation est utile, mais aussi une culture de cybersécurité qui accepte de remettre en question tout ce qui semble inhabituel, afin de reconnaître les signaux d’alarme. Dans de tels cas, il est peu probable qu’une formation annuelle où l’employé ne fait que cocher des cases change les résultats : il s’agit davantage d’un changement culturel et comportemental.

 

Q. : Quels autres éléments figurent en tête du programme de formation et de sensibilisation à la cybersécurité?

R. : Il faut rendre la formation plus ciblée au moyen d’exercices précis et mobilisateurs, axés sur des scénarios de menace et de risque réels. Les entreprises peuvent cerner les menaces et les faiblesses de leur environnement et les gérer de façon stratégique et ciblée, afin d’accroître leur portée et leur pertinence auprès des employés. Les entreprises se concentrent souvent sur la vulnérabilité des serveurs ou sur les questions de TI, mais la cybersécurité est beaucoup plus vaste que cela. Un programme à long terme, robuste et évolutif qui s’adresse directement aux employés de l’organisation et qui tient compte des défis qu’ils doivent relever aura de bien meilleurs résultats.


[1] Click And Despair: Remote Workers Come Under Cyber-Attack (en anglais)