En 2022, le monde des affaires a continué à faire face à des attaques de ransomware, d’escroqueries et de violations de données. Cependant, les entreprises les plus en vue n’ont pas été les seules à être attaquées ; les secteurs de la santé, de l’éducation, de l’administration et les petites entreprises ont tous été victimes de cyberattaques.

Dans un rapport de 2022, l’Office des statistiques nationales (ONS) a montré une augmentation de 25 % (à 4,5 millions) des délits de fraude pour l’année se terminant en mars 2022 par rapport à l’année se terminant en mars 2020. En 2022, l’hameçonnage restait la menace la plus fréquente pour les entreprises britanniques, 83 % des attaques étant basées sur l’hameçonnage.

Cependant, une nouvelle année apporte de nouveaux espoirs et de nouvelles idées.

La formation à la sensibilisation à la sécurité reste une priorité absolue pour les entreprises qui souhaitent lutter contre la fraude, les escroqueries et autres cybermenaces. Mais comment votre organisation peut-elle améliorer sa formation à la sensibilisation à la sécurité en 2023 ?

Voici cinq idées pour que votre organisation soit prête pour la sécurité en 2023.

Soyez positifs, soyez sûrs

Les cybercriminels, en particulier ceux qui utilisent l’ingénierie sociale et l’hameçonnage, s’appuient sur un mauvais comportement en matière de sécurité pour faire fonctionner leurs escroqueries. Une bonne formation à la cybersécurité consiste à faire évoluer les comportements négatifs en matière de sécurité vers une attitude plus positive. Cependant, il faut du travail pour changer les comportements.

Le comportement, tel que l’envie de cliquer, est un modèle appris et changer des actions profondément ancrées nécessite un effort concerté impliquant des stratégies telles que des campagnes de phishing simulées. Améliorez le contenu de votre formation de sensibilisation à la sécurité grâce à des campagnes basées sur des stratégies éprouvées, telles que l’apprentissage interactif qui transforme les mauvaises habitudes comportementales en actions positives. Un apprentissage interactif et un contenu attrayant stimuleront l’engagement des employés et aideront votre organisation à développer une culture positive de la sécurité.

Soyez pertinent et intéressant

L’ISACA, organisme du secteur de la sécurité, a étudié les moyens d’améliorer la formation à la sensibilisation à la sécurité. Plus de 5 000 organisations du monde entier ont participé à cette étude. L’étude a clairement démontré qu’une formation de sensibilisation à la sécurité efficace nécessitait un contenu intéressant et pertinent.

Les conclusions de l’ISACA indiquent notamment que les informations doivent être communiquées en petits morceaux après la première session et à intervalles réguliers pour renforcer l’apprentissage. Le type d’information a également son importance. Des études de cas réels ont contribué à consolider les connaissances et à renforcer l’importance de bons comportements en matière de sécurité.

Les chercheurs ont constaté que le contenu doit être « pertinent, lié à la théorie et à la pratique, et raconter une histoire ». Utilisez du matériel de formation à la sensibilisation à la sécurité, comme de courtes vidéos explicatives et des exercices de simulation d’hameçonnage, pour impliquer les employés et rendre le contenu relatable et pertinent.

Récompensez les succès et ne jouez pas au jeu des reproches

Personne n’aime jouer au jeu du blâme, et la formation à la sensibilisation à la sécurité devrait éviter d’utiliser le blâme lors de la formation des employés. Le problème de l’attribution des responsabilités est qu’elle peut entraîner une perte de confiance, ce qui peut conduire à des accidents encore plus graves.

Le développement d’une posture de cybersécurité solide prend du temps et repose sur de nombreux aspects des systèmes informatiques, du personnel et des processus de l’organisation. Ne blâmez pas les employés pour les erreurs de sécurité, les technologies évoluent et les cybercriminels changent de techniques ; au contraire, utilisez les mauvais comportements en matière de sécurité comme une excuse pour changer de comportement et apprendre de vos erreurs.

Les programmes de formation avancée à la sensibilisation à la sécurité proposent des sessions de formation interactives au cours d’un exercice pour montrer aux employés où ils se sont trompés et comment s’assurer qu’ils ne reproduiront pas le même comportement.

De même, récompensez les réussites au lieu de blâmer ou de faire honte. Si les employés obtiennent de bons résultats lors des sessions de formation, offrez-leur de petites récompenses et encouragez-les à bien se comporter.

Générer des données exploitables

Certains systèmes avancés offrent des vues très granulaires, dans le temps et sur une base individuelle, de l’efficacité d’un module donné de formation à la sensibilisation à la sécurité.

Les modules de simulation d’hameçonnage, par exemple, génèrent des données par employé, montrant les courbes d’apprentissage des employés au fur et à mesure qu’ils acquièrent les compétences nécessaires pour identifier les menaces véhiculées par le courrier électronique. Utilisez les données de mesure de la sensibilisation à la sécurité pour affiner vos modules de formation et identifier les comportements difficiles à modifier qui méritent une plus grande attention – ciblez des rôles et des groupes spécifiques en utilisant les mesures pour vous aider à concevoir des campagnes de simulation d’hameçonnage sur mesure. Au fil du temps, le retour d’information fourni par les mesures granulaires de la formation vous permettra de mettre au point des sessions de formation plus efficaces.

Intégrer la formation à la sécurité dans votre organisation

Les normes de sécurité doivent être fixées au niveau de l’organisation, en intégrant les individus dans une culture de la sécurité où la sécurité passe avant tout. Une formation réussie à la sensibilisation à la sécurité passe par la maturation de méthodes et d’approches, et non par de simples efforts pour satisfaire aux réglementations.

Toutefois, les exigences réglementaires en matière de formation à la sensibilisation à la sécurité doivent être utilisées comme base de référence pour mesurer l’efficacité de votre formation. En faisant coïncider les objectifs organisationnels avec la formation à la sécurité, cette approche fait passer la charge de la sécurité d’un effort individuel à un effort collectif : élaborez un programme de sensibilisation à la sécurité qui corresponde aux besoins de votre organisation en matière de sécurité et intégrez tout le monde, depuis le conseil d’administration jusqu’au bas de l’échelle, dans les sessions de formation. Veillez à ce que chaque service dispose de programmes de formation adaptés qui reflètent les menaces réelles. Par exemple, les escroqueries telles que le Business Email Compromise (BEC) ciblent des départements tels que le bureau du PDG et les comptes fournisseurs.

Il y a fort à parier que l’année 2023 sera aussi difficile que les années précédentes pour les entreprises confrontées à des menaces de sécurité. Aucune organisation, quelle que soit sa taille ou son secteur d’activité, ne peut s’asseoir sur ses lauriers en espérant ne pas être une cible.

Cependant, notre personnel est notre force. En appliquant ces cinq stratégies d’amélioration à votre programme de formation à la sensibilisation à la sécurité pour 2023, vous pouvez contribuer à développer une posture de cybersécurité solide et donner à vos employés les moyens de lutter contre les cybercriminels et les escrocs.