Voici quelques moyens de saisir la mesure par mesure de votre programme de formation à la sensibilisation à la sécurité.
Lorsqu'une mesure est effectuée sur quelque chose, cela nous donne des données. Qu'il s'agisse de la longueur d'une ficelle ou du changement de comportement d'un employé confronté à un courriel de phishing, ces données nous donnent un aperçu important d'une tâche ou d'un projet.
Le succès, ou l'échec, d'un programme de formation à la sensibilisation à la sécurité (SAT) peut être mesuré de plus d'une façon et, ce faisant, fournit des indications importantes sur l'efficacité de la formation. Mais pour optimiser ces mesures, il faut une équipe interfonctionnelle et visionnaire.
Pourquoi s'embêter à mesurer l'efficacité d'un programme de formation à la sensibilisation à la sécurité ?
Un récent article de Gartner inc. intitulé "Take 3 Steps to Prove That Your Security Awareness Program Is Actually Working" expose le pourquoi et le comment de la mesure d'un programme SAT. Ce document, rédigé à l'intention des responsables de la sécurité et des risques, identifie trois raisons principales pour lesquelles la mesure de la formation à la sensibilisation à la sécurité est importante :
- Si vous ne pouvez pas prouver que le programme a permis de réduire le risque cybernétique, vous n'obtiendrez pas l'aval de la direction pour poursuivre la formation à la sensibilisation à la sécurité.
- La formation à la sensibilisation à la sécurité est souvent introduite dans une organisation sans avoir une vision claire de ce qu'elle cherche à accomplir. Il en résulte un programme qui ne permet pas d'obtenir les changements de comportement nécessaires pour réduire les cyberrisques.
- La mesure du succès d'une formation de sensibilisation à la sécurité ne peut pas se baser sur des variables uniques. Ces programmes contiennent de nombreux éléments et ceux-ci doivent être saisis pour montrer le véritable impact d'un programme SAT.
L'un des principaux points du document est qu'une vision claire doit constituer la base d'un programme de sensibilisation à la sécurité. Sans cette vision claire de ce que vous voulez atteindre, les mesures n'auront aucun sens. En d'autres termes, les mesures sont plus efficaces si elles ont un point de départ comme point de comparaison. Cette vision doit toutefois être directement liée aux résultats de l'entreprise. Une façon d'établir ce point de départ est d'utiliser une approche transversale, c'est-à-dire de réunir des équipes au-delà des frontières organisationnelles pour qu'elles contribuent à déterminer ce qui est important dans l'atténuation du cyber risque.
Cela permet d'aligner la vision de la cybersécurité sur les objectifs de l'entreprise ; cette approche est un exercice permanent et une bonne pratique, car les cyberattaques font des ravages constants dans tous les secteurs de l'industrie. Les décisions commerciales et opérationnelles sont désormais intrinsèquement liées à la sécurité. La pandémie de Covid-19 et les mandats de travail à domicile l'ont démontré, avec le risque de sécurité accru du travail à domicile; les travailleurs à domicile offrant plus d'opportunités aux cybercriminels d'attaquer un réseau d'entreprise via ses employés.
Mais une vision a besoin de mesures démontrables pour montrer qu'elle remplit sa mission. Pour montrer à la direction ou au conseil d'administration la progression d'un programme, il faut des faits concrets. C'est là que les mesures entrent en jeu.
Trois façons de mesurer le succès d'un programme de formation à la sensibilisation à la sécurité
Le document de Gartner mentionne trois éléments clés qui prouvent que votre programme de sensibilisation à la sécurité fonctionne. Ces trois domaines peuvent être décomposés en :
Générer
Élaborez un énoncé de vision fondé sur la culture de la sécurité : qu'est-ce que votre organisation attend du programme de sensibilisation à la sécurité ? Quels comportements de sécurité souhaitez-vous voir émerger de la formation des employés en matière de sécurité ?
Capture
Saisir les mesures du comportement de sécurité : créer des mesures de sensibilisation à la sécurité qui démontrent un changement significatif et positif du comportement de sécurité. Ces indicateurs peuvent prendre la forme d'indicateurs traditionnels de sensibilisation à la sécurité issus d'enquêtes et de simulations de phishing, par exemple.
Démontrer
Démontrer la réduction de l'exposition aux risques : montrer à l'équipe de contrôle d'accès les changements de comportement en matière de sécurité liés à des résultats concrets en termes de réduction de l'exposition aux cyber-risques.
Capturer les métriques et les changements de comportement
La vision de la sécurité est le pivot sur lequel repose la saisie des mesures et des preuves comportementales. Cette vision constitue ensuite la preuve nécessaire pour démontrer à l'équipe Cx que la formation de sensibilisation à la sécurité fonctionne. Il existe de nombreuses façons de mesurer les paramètres de sécurité, et MetaCompliance a abordé les mesures de la formation à la sensibilisation à la sécurité dans un précédent article de blog.
La mesure fournit des données quantifiables qui servent de base à une évaluation du retour sur investissement (ROI). Mais une simple équation de retour sur investissement ne permet pas de saisir l'impact positif et continu d'un programme de sensibilisation à la sécurité bien conçu. La vision fondamentale de la sécurité d'une organisation doit être mise en correspondance avec la validation des résultats finaux qui voient le cyber-risque global d'une organisation réduit. Cette vision d'une organisation sûre doit se traduire par une réflexion axée sur la sécurité et un changement de comportement associé.
Pour vous aider dans votre exercice de mesure, le document de Gartner parle de "comportements de signature", qu'il décrit comme suit : "Les comportements de signature sont ceux qui reflètent clairement l'intention positive et le soutien des utilisateurs finaux pour la réalisation de la vision de la sensibilisation à la sécurité".
Gartner met en correspondance certains exemples de pratiques de sécurité souhaitées avec des comportements de sécurité caractéristiques :
Pratique: Tous les utilisateurs finaux utilisent des mots de passe forts
Comportement: Nous utilisons toujours des phrases de passe pour construire nos mots de passe utilisés pour accéder à nos comptes professionnels.
Entraînez-vous : Vérifiez les liens avant de les cliquer
Comportement : Nous sommes attentifs aux courriels suspects et les signalons au service d'assistance informatique.
Dans le cadre de votre vision de la sécurité, travaillez avec votre équipe interfonctionnelle pour développer une série de comportements caractéristiques qui peuvent ensuite être utilisés pour prouver le succès du programme de formation à la sensibilisation à la sécurité.
La preuve du pudding par une meilleure sécurité
En fin de compte, une entreprise veut voir que son investissement dans un programme de sensibilisation à la sécurité se traduit par une diminution des risques de violation de ses données. En évaluant les comportements de signature par rapport aux types de menaces, une organisation peut enrichir une simple équation de retour sur investissement d'une valeur ajoutée.
La preuve de la formation à la sécurité se trouve dans l'expérience. Au fil du temps, un programme de formation à la sensibilisation à la sécurité bien planifié et efficace se traduira par une réduction des cyberattaques. Mais c'est par une vision forte que tout commence.
