Le mois de la sensibilisation à la cybersécurité, en Europe et aux États-Unis, s’inscrit dans le cadre d’un vaste effort visant à aider les gens à rester en sécurité en ligne. L’initiative a été lancée en 2004 aux États-Unis et en 2012 en Europe. Cette année, l’événement américain s’est concentré sur le thème « See Yourself in Cyber« . En Europe, l’effort a porté sur la sensibilisation au phishing et aux ransomwares.

Nous soutenons évidemment tous les efforts visant à soutenir la sensibilisation à la cybersécurité. Les personnes sont le maillon faible des efforts de sécurité d’une organisation. Il est donc important de leur enseigner les mesures simples qu’ils peuvent prendre pour se protéger en ligne. Il est encore beaucoup plus facile pour un adversaire de tromper quelqu’un en lui révélant un mot de passe ou en cliquant sur un lien dans un courriel que de pénétrer dans un réseau bien protégé. Une bonne sensibilisation à la cybersécurité peut protéger les organisations contre les pertes financières, les pénalités de conformité et les atteintes à la réputation.

Pourtant, après des années de manifestations autour d’un « mois de la sensibilisation » annuel, l’exploitation d’une sensibilisation insuffisante à la cybersécurité reste le principal vecteur d’attaque dans les violations de données.

Le rapport 2022 Verizon Data Breach Investigation Report a révélé que 82 % des violations de l’année précédente impliquaient de l’ingénierie sociale et que les taux de clics d’hameçonnage continuaient d’augmenter. Une fois que les attaquants ont pris pied, ils peuvent établir des canaux de commandement et de contrôle, se déplacer latéralement pour identifier les données cibles, chiffrer les données pour les demandes de ransomware ou voler des informations sensibles.

image

Le « mois » de la sensibilisation à la cybersécurité ?

Alors oui, nous soutenons le Mois de la sensibilisation à la cybersécurité. Il permet d’attirer l’attention sur un problème que nous nous efforçons de résoudre depuis des années. Il peut inciter certaines organisations à prendre les premières mesures pour améliorer la sensibilisation à la sécurité de leur personnel ou à renforcer leurs programmes existants.   Nous nous opposons simplement à ce que la sensibilisation à la cybersécurité soit considérée comme un événement annuel.

L’apprentissage n’est pas un événement ponctuel. On n’apprend pas à parler une nouvelle langue ou à jouer d’un instrument de musique en se concentrant sur la tâche une fois par an. Il en va de même pour reconnaître et éviter les menaces en matière de cybersécurité. Il faut du temps et de la répétition pour apprendre à faire l’une ou l’autre de ces choses.

Lorsque les sessions de formation sont organisées une fois ou pourquoi-avons-nous-oubliédeux fois par an pour répondre aux exigences de conformité, les étudiants ne retiennent pas les connaissances. La célèbre courbe d’oubli d’Ebbinghaus montre que les étudiants oublient plus de 75 % d’une leçon au cours de la seule première semaine. Au bout d’un mois, ils n’en retiennent plus que 21 %.

image 1

Sensibiliser les employés

L’enseignement est un processus, pas un événement. Cela inclut l’enseignement de la sensibilisation à la cybersécurité. Des études montrent que la pente descendante de la courbe d’oubli peut être réduite par un renforcement régulier des leçons. Ces renforcements ne doivent pas nécessairement inclure toutes les informations de la leçon. L’objectif est de faire en sorte que l’apprenant continue à réfléchir à la matière et à l’utiliser de manière pratique.

image 2

Construire une culture de la cyberconscience

Le « mois » de la sensibilisation à la cybersécurité peut sembler un gadget. Un programme efficace de sensibilisation à la cybersécurité doit être mis en œuvre 12 mois par an à l’aide d’une variété d’outils et de techniques.

Les leçons d’apprentissage en ligne font certainement partie de tout programme réussi, mais les équipes devraient renforcer les leçons régulièrement par des rappels, des simulations d’hameçonnage, des micro-leçons, des économiseurs d’écran et des affiches. Les leçons doivent être adaptées aux différentes menaces auxquelles une organisation est confrontée.

La formation des équipes financières doit être adaptée aux menaces spécifiques qui pèsent sur le département. Les organisations informatiques doivent être attentives au vol de données d’identification privilégiées. Tout le monde a besoin d’une formation continue sur les attaques de phishing et de ransomware.

Un programme de sensibilisation à la cybersécurité est un élément important d’une évaluation globale des risques. Les responsables des programmes de sensibilisation doivent être en mesure de suivre les progrès réalisés grâce à des rapports et de prendre des mesures correctives lorsque des risques subsistent au sein de l’organisation. Si des personnes ou des équipes obtiennent des résultats médiocres en matière de formation, une formation de rattrapage doit être automatiquement programmée.

Plus important encore, les organisations qui s’engagent en faveur de la sensibilisation à la cybersécurité et de la sécurité en ligne reconnaissent la nécessité d’un soutien de la part de la direction. Des messages réguliers émanant directement de la haute direction sur la nécessité d’une hygiène en matière de cybersécurité – et sur les raisons pour lesquelles il s’agit d’une priorité pour l’entreprise – contribuent à instaurer une culture de la sécurité durable.

Formation de sensibilisation à la sécurité pour les vendeurs tiers