Les erreurs arrivent, c'est inévitable.
Mais la réalité est que
lorsqu'il s'agit de votre campagne de sensibilisation à la cybersécurité, toute erreur, aussi petite soit-elle
, peut avoir un effet extrêmement néfaste sur la sécurité de votre
organisation.
Les résultats de ces erreurs apparemment innocentes sont
continuellement présentés dans la presse avec des rapports quotidiens sur les violations de données, les cyberattaques
et les amendes paralysantes imposées pour des pratiques de cybersécurité négligentes.
Nous vivons aujourd'hui dans une ère différente, une ère qui exige une meilleure approche de la cybersécurité. Votre campagne de sensibilisation à la cybersécurité ne peut pas se contenter de cocher une case. Elle doit atténuer les risques, fournir une véritable défense contre les cybermenaces et sensibiliser le personnel à l'importance de son rôle dans la protection des données sensibles de l'entreprise.
Il peut être difficile de savoir par où commencer ou quels domaines
présentent le risque le plus élevé, mais en reconnaissant les erreurs les plus courantes en matière de sensibilisation à la sécurité
, vous pouvez commencer à élaborer une solide campagne de sensibilisation à la cybersécurité
qui vous protège contre les cybermenaces en constante évolution et
se conforme efficacement aux cadres réglementaires.
Voici quelques-unes des erreurs les plus courantes en matière de sensibilisation à la sécurité :
1. une approche blasée de la cybersécurité
De nombreuses organisations se préoccupent de la cybersécurité pour la forme mais ne prennent pas la menace suffisamment au sérieux. Elles peuvent penser qu'elles sont trop petites pour être attaquées ou que l'argent pourrait être investi dans d'autres domaines où le retour sur investissement est plus immédiat. Ces hypothèses sont dangereuses.
Selon le rapport Verizon 2019 sur les enquêtes sur les violations de données (DBIR), 43 % de toutes les cyberattaques visent désormais les petites entreprises. La réalité est que les cybercriminels s'en prennent de plus en plus aux organisations de petite et moyenne taille, car elles ont généralement moins d'argent et de ressources à investir dans la cybersécurité. Ce sont peut-être les grandes marques qui font les gros titres, mais toute organisation est une cible et doit mettre en place les mesures de cybersécurité appropriées pour se défendre contre les attaques.
L'erreur humaine reste la cause première de toutes les violations de la cybersécurité. Il est donc essentiel que votre organisation mette en œuvre une campagne efficace de sensibilisation à la cybersécurité, qui apprend au personnel à identifier les menaces en constante évolution et à y répondre de manière appropriée.
2. Pas d'objectifs clairs
Pour que votre campagne de sensibilisation à la sécurité soit un succès, vous devez
avoir des objectifs clairement définis qui décrivent ce que vous espérez obtenir. Vos objectifs
doivent identifier et traiter les problèmes auxquels votre organisation
est actuellement confrontée. Il peut s'agir d'attaques de phishing, de travail à distance, de sécurité des mots de passe
, de questions réglementaires ou de sécurité physique. Les cybercriminels sont
continuellement à la recherche de zones à exploiter. Si votre campagne de sensibilisation à la sécurité
n'identifie pas correctement toutes les zones de risque, votre organisation est vulnérable
aux attaques.
L'étape suivante consiste à identifier votre public cible. Les différents membres de votre organisation sont confrontés à des menaces différentes. Ainsi, plutôt que d'envoyer le même contenu générique à tout le monde, vos employés doivent recevoir une formation ciblée et adaptée à leur rôle. En effectuant une évaluation détaillée des risques, votre organisation sera bien mieux placée pour créer une campagne de sensibilisation à la sécurité avec des objectifs clairs qui pourront être mesurés et évalués correctement à une date ultérieure.
3. Contenu ennuyeux
Votre campagne de sensibilisation à la cybersécurité est vouée à l'échec si vous continuez à bombarder votre personnel du même vieux contenu fade et répétitif. La cybersécurité est un sujet suffisamment aride pour ne pas être aggravé par de longues présentations PowerPoint et des diapositives monotones qui ne contribuent en rien à transmettre la menace réelle que les cybercriminels font peser sur votre entreprise. Et ne vous y trompez pas, ces menaces sont réelles. Quelle que soit sa taille, son secteur ou sa situation géographique, toute organisation est vulnérable et sera activement ciblée par les cybercriminels.
La clé de l'atténuation de ce risque et de la création d'une main-d'œuvre plus sûre sur le plan cybernétique réside dans l'utilisation d'un contenu attrayant et pertinent. La narration est un moyen très efficace de renforcer votre message de cybersécurité. Selon une étude de l'université de Stanford, les histoires sont jusqu'à 22 fois plus mémorables que les faits seuls. Si vous parvenez à rendre la cybersécurité accessible, vos employés seront plus susceptibles de retenir l'information, ce qui améliorera la sécurité globale de votre organisation.
Il est également important d'utiliser une variété de méthodes et de formats différents pour maintenir l'intérêt de votre public. Les vidéos en direct, les animations, les quiz, les politiques, les blogs et les affiches de sensibilisation peuvent tous être combinés pour créer un programme de sécurité complet qui a un impact positif sur le comportement des employés.
4. Formation peu fréquente
Il y a quelques années, les organisations organisaient un cours annuel sur la cybersécurité (
) et espéraient que cela suffirait à maintenir leur personnel au courant des dernières menaces (
). Cependant, les temps ont changé. Les cybermenaces
évoluent en permanence. Si votre personnel ne reçoit pas une formation régulière, il
ne sera pas en mesure de reconnaître les menaces sophistiquées qui sont utilisées pour
les cibler.
Les cybercriminels tentent généralement d'infiltrer votre organisation en exploitant les vulnérabilités des logiciels, en recourant au phishing, aux logiciels malveillants ou à de mauvaises pratiques de sécurité en général. Comme nous sommes de mieux en mieux informés sur ces différents types de méthodes d'attaque, les cybercriminels ont dû devenir plus sournois dans leurs tentatives d'escroquerie. Aujourd'hui, 30 % des incidents de sécurité peuvent être attribués à des employés négligents ou mal informés. Par conséquent, si votre personnel ne reçoit pas de formation régulière, il peut représenter une menace importante pour la sécurité de votre organisation.
5. Ne pas récompenser le personnel
Il peut être trop facile de se laisser entraîner à essayer d'identifier les personnes qui représentent un risque pour la sécurité de votre organisation, plutôt que de récompenser les membres du personnel qui identifient activement les menaces, adoptent de bons comportements en matière de sécurité et motivent leurs collègues dans ce processus. Ce sont les membres du personnel qui sont la clé du succès de votre programme de sensibilisation à la sécurité et qui doivent être récompensés en conséquence.
Les récompenses peuvent prendre la forme de trophées, de prix ou d'éloges et de reconnaissance publique de l'appréciation de leurs efforts. Il est scientifiquement prouvé que les récompenses influencent lecomportement humain. Ainsi, en créant un programme d'incitation qui récompense les comportements positifs en matière de sécurité, vous avez plus de chances de créer une main-d'œuvre cyber-sécurisée qui s'engage à protéger votre organisation.
Gartner a produit un document de recherche détaillé qui met en évidence 10 erreurs courantes en matière de sensibilisation à la sécurité et la manière de les éviter. Pour lire le document de recherche et découvrir comment vous pouvez changer les comportements en matière de sécurité au sein de votre organisation, rendez-vous sur le site suivant
