Les erreurs se produisent, c’est inévitable. 

Mais la réalité est que
lorsqu’il s’agit de votre campagne de sensibilisation à la cybersécurité, toute erreur, aussi
petite soit-elle, peut avoir un effet extrêmement préjudiciable sur la sécurité de votre organisation
.

Les résultats de ces erreurs apparemment innocentes sont
continuellement présentés dans la presse avec des rapports quotidiens sur les violations de données, les attaques cyber
et les amendes paralysantes imposées pour des pratiques négligentes en matière de cybersécurité.

Nous vivons aujourd’hui dans une ère différente, une ère qui exige une meilleure approche de la cybersécurité. Votre campagne de sensibilisation à la cybersécurité ne peut se contenter de cocher une case. Elle doit atténuer les risques, fournir une véritable défense contre les cybermenaces et sensibiliser le personnel à l’importance de son rôle dans la protection des données sensibles de l’entreprise.

Il peut être difficile de savoir par où commencer ou quels domaines
présentent le risque le plus élevé, mais en reconnaissant les erreurs de sensibilisation à la sécurité les plus courantes
, vous pouvez commencer à développer une campagne de sensibilisation à la cybersécurité
 solide qui vous défendra contre les cybermenaces en constante évolution et
se conformera efficacement aux cadres réglementaires.

Voici quelques-unes des erreurs les plus courantes en matière de sensibilisation à la sécurité :

1. une approche blasée de la cybersécurité

De nombreuses organisations se contentent d’un discours sur la cybersécurité, mais ne prennent pas la menace suffisamment au sérieux. Elles peuvent penser qu’elles sont trop petites pour être attaquées ou que l’argent pourrait être investi dans d’autres domaines où le retour sur investissement est plus immédiat. Il s’agit là de suppositions dangereuses.

Selon le rapport Verizon 2019 Data Breach Investigations Report (DBIR), 43 % de toutes les cyberattaques ciblent désormais les petites entreprises. En réalité, les cybercriminels s’en prennent de plus en plus aux petites et moyennes entreprises, car elles ont généralement moins d’argent et de ressources à investir dans la cybersécurité. Ce sont peut-être les grandes marques qui font les gros titres, mais chaque organisation est une cible et doit mettre en place les mesures de cybersécurité appropriées pour se défendre contre les attaques.

L’erreur humaine reste la cause première de toutes les atteintes à la cybersécurité. Il est donc essentiel que votre organisation mette en œuvre une campagne de sensibilisation à la cybersécurité efficace qui apprenne au personnel à identifier les menaces en constante évolution et à y répondre de manière appropriée.

2. Pas d’objectifs clairs

Pour que votre campagne de sensibilisation à la sécurité soit couronnée de succès, vous devez
avoir des objectifs clairement définis qui décrivent ce que vous espérez obtenir. Vos objectifs
doivent identifier et traiter les problèmes auxquels votre organisation
est actuellement confrontée. Il peut s’agir d’attaques par hameçonnage, de travail à distance, de sécurité des mots de passe
, de questions réglementaires ou de sécurité physique. Les cybercriminels sont
continuellement à la recherche de domaines à exploiter. Si votre campagne de sensibilisation à la sécurité
n’identifie pas correctement tous les domaines de risque, votre organisation est vulnérable
aux attaques.

L’étape suivante consiste à identifier votre public cible. Plutôt que d’envoyer le même contenu générique à tout le monde, vos employés devraient recevoir une formation ciblée adaptée à leur rôle. En procédant à une évaluation détaillée des risques, votre organisation sera en bien meilleure position pour créer une campagne de sensibilisation à la sécurité avec des objectifs clairs qui pourront être correctement mesurés et évalués à une date ultérieure.

3. Contenu ennuyeux

Votre campagne de sensibilisation à la cybersécurité est vouée à l’échec si vous continuez à bombarder votre personnel avec le même vieux contenu fade et répétitif. La cybersécurité est un sujet suffisamment aride pour ne pas l’alourdir avec de longues présentations PowerPoint et des diapositives monotones qui ne jouent aucun rôle dans la transmission de la menace très réelle que les cybercriminels font peser sur votre entreprise. Et ne vous y trompez pas, ces menaces sont bien réelles. Quelle que soit sa taille, son secteur ou sa localisation, chaque organisation est vulnérable et sera activement ciblée par les cybercriminels.

La clé pour atténuer ce risque et créer une main-d’œuvre plus cyber-sécurisée est l’utilisation d’un contenu engageant et pertinent. La narration est un moyen très efficace de renforcer votre message sur la cybersécurité. Selon une étude de l’université de Stanford, les histoires sont jusqu’à 22 fois plus mémorables que les faits seuls. Si vous parvenez à rendre la cybersécurité racontable, vos employés seront plus enclins à retenir l’information, ce qui améliorera la position globale de votre organisation en matière de sécurité.

Il est également important d’utiliser une variété de méthodes et de formats différents pour maintenir l’intérêt de votre public. Les vidéos en direct, les animations, les quiz, les politiques, les blogs et les affiches de sensibilisation peuvent tous être combinés pour créer un programme de sécurité complet qui aura un impact positif sur le comportement des employés.

4. Formation peu fréquente

Il y a quelques années, les organisations organisaient un cours annuel de cybersécurité (
) et espéraient que cela suffirait à tenir leur personnel au courant des dernières menaces (
). Mais les temps ont changé. Les cybermenaces
évoluent en permanence et, à moins que votre personnel ne reçoive une formation régulière, il
ne sera pas en mesure de reconnaître les menaces sophistiquées qui sont utilisées pour
les cibler.

Les cybercriminels tentent généralement d’infiltrer votre organisation en exploitant les vulnérabilités des logiciels, en recourant à l’hameçonnage, aux logiciels malveillants ou à de mauvaises pratiques de sécurité en général. Au fur et à mesure que nous nous familiarisons avec ces différents types de méthodes d’attaque, les cybercriminels ont dû devenir plus sournois dans leurs tentatives d’escroquerie. 30 % des incidents de sécurité sont aujourd’hui imputables à des employés négligents ou mal informés. Par conséquent, à moins que votre personnel ne reçoive une formation régulière, il pourrait constituer une menace importante pour la sécurité de votre organisation.

5. Ne pas récompenser le personnel

Il peut être trop facile de se perdre dans l’identification des individus qui représentent un risque pour la sécurité de votre organisation, plutôt que de récompenser les membres du personnel qui identifient activement les menaces, adoptent de bons comportements en matière de sécurité et motivent leurs collègues dans le cadre de ce processus. Ce sont ces membres du personnel qui sont la clé du succès de votre programme de sensibilisation à la sécurité et qui doivent être récompensés en conséquence.

Les récompenses peuvent prendre la forme de trophées, de prix ou d’éloges publics et d’une reconnaissance de leurs efforts. Il est scientifiquement prouvé que les récompenses influencent lecomportement humain. En créant un programme d’incitation qui récompense les comportements positifs en matière de sécurité, vous avez plus de chances de créer une main-d’œuvre cybersécurisée qui s’engage à protéger votre organisation.

Gartner a produit un document de recherche détaillé qui met en évidence 10 erreurs courantes en matière de sensibilisation à la sécurité et la manière de les éviter. Pour lire le document de recherche et découvrir comment vous pouvez changer les comportements en matière de sécurité au sein de votre organisation, rendez-vous sur le site suivant