La sensibilisation des employés à la cybersécurité tient un rôle majeur dans la prévention des fuites de données et des compromissions de logiciels malveillants, et les entreprises doivent à tout prix améliorer la formation qu’elles dispensent.

Par ailleurs, une autre étude révèle que plus des trois quarts des cadres supérieurs estiment que des employés ont accidentellement mis en danger les données de leur entreprise au cours de la dernière année. Pourtant, 92 % des personnes interrogées estiment ne jamais avoir été dans ce cas ; situation classique où les individus sont convaincus de connaître les règles et ignorent leur responsabilité.

Or, il existe un écart entre la perception et la réalité, de même qu’entre la théorie et la pratique. La formation fait alors toute la différence — à condition d’être dispensée correctement. Trois stratégies fondamentales sont à mettre en place pour créer un programme efficace de sensibilisation à la cybersécurité.

Personnalisation

Chaque employé possède différents niveaux de responsabilité et de connaissances par rapport à ses collègues, ce qui rend la personnalisation indispensable pour une formation efficace aux pratiques de sécurité. Par exemple, les équipes en charge de la sécurité informatique, ainsi que les personnes ayant des accès à privilèges aux systèmes de l’organisation, nécessitent un apprentissage plus approfondi et spécialisé, concentré sur la formation situationnelle.
Il leur faudra notamment des informations sur les techniques avancées de protection contre les cybermenaces.

Les employés non affiliés au département IT auront besoin de formations régulières, courtes et pertinentes dans le cadre de leurs fonctions ; à savoir un transfert de connaissances de base sur les risques de cybersécurité et les bonnes habitudes à adopter.
A l’inverse, la formation dispensée aux cadres supérieurs et responsables administratifs devra être davantage axée sur le business : en plus des principes de base, elle doit contenir aussi des précisions sur les conséquences des incidents de sécurité pour l’entreprise et ses parties prenantes.

La direction doit en effet comprendre à la fois les sanctions pécuniaires en cas de manquements à la protection et les atteintes irréversibles à la réputation de l’entreprise.

Régularité et engagement

Trop d’organisations dispensent une formation sur la cybersécurité uniquement au moment de l’embauche ou dans le cadre d’un exercice annuel de rappel. Or, pour être efficace, la formation à la cybersécurité doit être suivie dans le cadre de petites sessions récurrentes et conçues pour faire participer le groupe cible d’employés.
Par exemple, développer une vidéo de formation de cinq minutes qui recrée des situations réelles est plus susceptible de retenir l’attention d’un utilisateur professionnel que la lecture d’un manuel de formation IT volumineux. Avec des formats ludiques, les leçons auront plus de chances d’être intégrées et retenues.

La formation doit être une expérience continue et immersive visant à changer les comportements et les attitudes des employés. Il est important de leur expliquer les signes d’une attaque et de les encourager à contacter immédiatement le service IT – dont les coordonnées leur auront été communiquées au préalable – si quelque chose leur semble suspect.

Diversité

Par ailleurs, combiner plusieurs formats peut améliorer l’efficacité d’un programme de formation, à l’instar d’une présentation magistrale dont l’un des principaux avantages est la présence d’une personne sur place pour expliquer des sujets difficiles et répondre aux questions d’un groupe.

Certaines entreprises dispensent une formation en direct ou sur le Web, et utilisent diverses méthodes comme les jeux de rôle ou de simulation, bien plus interactives. Les webinaires sont une bonne option si les employés sont éparpillés sur le plan géographique.

Il est également possible de recourir à un site internet de sensibilisation à la sécurité, divisé en différentes sections couvrant les malwares, les hoax, le partage de fichiers ou encore le droit d’auteur. Il peut également proposer des didacticiels personnalisés pour les utilisateurs, avec des mini-questionnaires à la fin de chaque section pour s’assurer que le matériel est réellement assimilé.

L’entreprise a la possibilité de compléter ces formations avec la mise en place de conseils pratiques et des rappels qui s’afficheraient sur les écrans des utilisateurs lorsqu’ils se connectent par exemple.

Ces recommandations peuvent rappeler des points clés mis en évidence dans la formation, comme « Ne jamais conserver votre mot de passe dans un endroit accessible ou consultable par quiconque en dehors de vous-même ».

Enfin, il est judicieux d’évaluer l’efficacité d’un programme de sensibilisation au moyen de tests d’intrusion réguliers. Par exemple, l’équipe IT peut envoyer un mail de phishing pour tester les employés, et identifier quels utilisateurs cliquent sur les liens et lesquels le signalent par les canaux recommandés. À la suite de cet exercice, elle peut relancer une campagne de sensibilisation sans dénoncer les « mauvais élèves » mais en étendant le rappel des bonnes pratiques à l’ensemble des collaborateurs.

La création d’une culture de cybersécurité solide ne peut garantir à une organisation qu’elle ne subira jamais d’incidents. Il y aura toujours quelqu’un qui négligera les pratiques de sécurité de base et mettra les données en danger. De plus, le risque d’être victime d’une attaque de piratage ou d’une activité malveillante de la part d’un acteur interne est permanent.

Par conséquent, si la formation à la cybersécurité est une première étape importante pour réduire les risques liés à la sécurité des données, il est également essentiel de mettre en œuvre des procédures et d’adopter des outils permettant de garder les données et les systèmes sous contrôle. Idéalement, l’organisation doit avoir une compréhension approfondie des données dont elle dispose et de celles qui ont le plus besoin d’être protégées. Elle sera ainsi en mesure de détecter rapidement toute activité suspecte les concernant ; et pourra ainsi assurer la sécurité de ses données sensibles, économisant ainsi de l’argent et préservant sa réputation.