La plupart des discussions sur la sécurité présentent les employés comme un risque. Par conséquent, les formations dispensées renforcent cette idée : de longues présentations annuelles et des conséquences alarmistes sont décrites pour toute erreur commise par les employés. Cette approche engendre la peur, le désintérêt et n’entraîne pratiquement aucun changement de comportement. Pourtant, une autre approche existe ; il suffit d’inverser le point de vue.
Pourquoi l'entraînement basé sur la peur ne fonctionne pas
Selon le Rapport d'enquête sur les violations de données de Verizon74 % des violations de données sont dues à une erreur humaine. Qu'il s'agisse d'une attaque d'ingénierie sociale réussie, d'une erreur ou d'un usage abusif, ces statistiques sont souvent utilisées pour désigner les employés comme une faiblesse. Or, elles démontrent en réalité que le comportement humain est la cible des attaques, et que c'est précisément sur ce comportement qu'il est possible de les contrer.
La formation basée sur la peur perçoit cette statistique comme un jugement. La formation basée sur la sensibilisation, quant à elle, y voit une opportunité. Lorsque vos collaborateurs comprennent qu'ils sont en première ligne pour détecter les problèmes – et non un maillon faible – leur état d'esprit change. Ils remarquent des choses qu'ils n'avaient jamais vues auparavant. Ils prennent la parole, au lieu d'espérer en silence se tromper.
Le contrôle technique importe moins que ce contrôle psychologique.
Passer à la case à cocher annuelle
Aborder la formation à la sécurité des employés sous l'angle de la conformité, c'est s'enfermer dans un cercle vicieux. Une session est programmée, l'équipe est présente (enfin, on l'espère), assiste à une vidéo ou une présentation, une case est cochée lors de l'audit de sécurité, et rien ne change jusqu'à l'année suivante, où l'on recommence. À ce moment-là, la quasi-totalité des informations et du contexte aura depuis longtemps disparu de la mémoire à court terme de l'équipe. Et on recommence.
Il ne s'agit pas d'un échec d'équipe, mais d'un problème structurel. La mémoire humaine ne se dégrade pas selon un cycle de 12 mois (même si ce serait plutôt pratique si c'était le cas) ; une grande partie de ces précieuses informations de formation a disparu de la mémoire de l'équipe au moment où elle en aura le plus besoin, c'est-à-dire lors de la prochaine attaque malveillante contre votre organisation.
Il a été prouvé que les cycles de formation automatisés surpassent les ateliers annuels manuels pour une raison précise : en gardant la sécurité à l’esprit tout au long de l’année, et pas seulement pendant le séminaire. Formation de sensibilisation à la sécurité La mise en œuvre via une plateforme automatisée vous permet de toucher tout le monde, de suivre les progrès et de vous adapter en fonction du comportement réel – ainsi, une équipe qui applique de bonnes pratiques de sécurité en travaillant à domicile pendant un mois de mars stressant est beaucoup moins susceptible de commettre des erreurs en décembre.
Le modèle d'apprentissage juste-à-temps
La formation de sensibilisation à la sécurité des employés est plus efficace lorsqu'elle est dispensée au moment opportun. Par exemple, si un employé clique sur un lien de simulation d'hameçonnage, il ne faut pas se contenter de le signaler. Au contraire, c'est l'occasion idéale de lui proposer immédiatement un module de formation court et ciblé.
Cette approche, également appelée formation en temps réel, affiche de meilleurs taux de rétention que les formations planifiées. La leçon est directement liée à l'événement survenu. L'employé ne se sent pas pénalisé, mais apprend au contraire les erreurs à éviter au moment précis où il en a le plus besoin.
Créer une culture du signalement sans culpabilisation
Il est inévitable que même les employés les mieux formés commettent des erreurs de temps à autre. La différence entre un incident mineur et une faille de sécurité majeure réside souvent dans la rapidité avec laquelle l'erreur est signalée. Si les employés craignent des représailles, ils se tairont. La faille s'aggravera. Et lorsque quelqu'un finira par s'en apercevoir, la réparation sera bien plus coûteuse.
C'est pourquoi une procédure de signalement claire et non punitive est essentielle pour toute organisation. Elle montre aux employés que détecter et signaler immédiatement une erreur est la bonne attitude à adopter, et non quelque chose à dissimuler. Elle permet également à votre équipe de sécurité d'alerter avant qu'une faille de sécurité ne devienne incontrôlable.
Et cela met clairement en lumière le risque de menace interne, un sujet que l'on aborde trop rarement. La plupart des incidents internes ne sont pas malveillants. Ce sont des erreurs : l'installation d'un logiciel non autorisé, une attaque par prétexte, une mauvaise configuration d'un serveur cloud. Une culture de la sécurité, notamment en matière de signalement, permet de détecter ces problèmes avant qu'ils ne s'aggravent. Une culture du blâme, en revanche, les dissimule.
Faire de la sécurité une compétence professionnelle
La gamification est parfois perçue comme une chose futile, mais elle est en réalité efficace car elle modifie le contexte : il ne s’agit pas d’une formation imposée aux employés, mais d’une activité dans laquelle ils peuvent exceller. Les classements, la reconnaissance et les badges de réussite suscitent la même motivation compétitive et d’accomplissement qui pousse les individus à obtenir des certifications professionnelles.
Lorsque les employés commencent à évaluer leurs progrès en matière de sensibilisation à la sécurité ou constatent une excellente performance de leur équipe lors d'une simulation d'hameçonnage, la sécurité n'est plus l'apanage des seuls informaticiens, mais fait partie intégrante de l'identité professionnelle. C'est là que se forge une véritable culture de la cybersécurité, et non grâce à des affiches, des tapis de souris ou des peluches, ni même à des autocollants d'avertissement dans le règlement intérieur.
L'adoption de l'authentification multifacteur (MFA), la réduction de l'informatique parallèle et même certains aspects culturels liés à la sécurité physique, comme la lutte contre le suivi non autorisé ou l'utilisation abusive d'un système, s'améliorent lorsque les employés adhèrent à l'idée qu'il s'agit de prérequis essentiels à une bonne pratique professionnelle. L'objectif n'est pas la conformité, mais le développement des compétences.
Les organisations qui réagissent le mieux aux incidents ne sont pas celles qui possèdent les technologies de sécurité les plus incroyables, dignes d'un prix prestigieux. Ce sont celles dont les employés sont motivés par le professionnalisme et la compétence, et qui, lorsqu'ils constatent une anomalie, sollicitent immédiatement de l'aide.