6 étapes que tout RSSI devrait suivre pour une campagne de sensibilisation à la sécurité réussie

Gartner, Inc. prévoit que d’ici la fin de 2021, les dépenses en matière de sécurité et de gestion des risques atteindront probablement 150,4 milliards de dollars. Le travail du CISO (Chief Information Security Officer) n’a jamais été aussi vital et s’assurer que le budget est bien dépensé est un aspect important de la gestion de la cybersécurité et du contrôle des risques. La formation à la sensibilisation à la sécurité est un domaine qui contribue à atténuer les attaques visant à manipuler les employés. C’est ce que confirme un rapport de McKinsey qui décrit sept domaines d’action, dont le deuxième consiste à impliquer le personnel de première ligne et à organiser des formations de sensibilisation à la sécurité. L’accent mis sur l’élément humain dans l’atténuation des cybermenaces signifie qu’un RSSI consacre souvent un budget à la formation à la sensibilisation à la sécurité.

Toutefois, pour garantir l’efficacité d’un programme de formation, il est nécessaire d’adopter une stratégie solide. Voici les six étapes d’une sensibilisation réussie à la sécurité qui vous permettront d’utiliser votre budget à bon escient.

Six étapes pour maximiser le succès de la sensibilisation à la sécurité

L’élément humain d’une cyberattaque est désormais bien établi, les recherches montrant qu’environ 85 % de toutes les attaques impliquent un être humain qui a été piégé (ou non) pour « appuyer sur le bouton d’attaque ». La formation à la sensibilisation à la sécurité est l’une des méthodes reconnues utilisées pour prévenir les cyberattaques réussies centrées sur l’homme. Par conséquent, les dépenses prévues pour les programmes de sensibilisation à la sécurité devraient atteindre 10 milliards de dollars d’ici 2027. Les six étapes ci-dessous peuvent vous aider à formuler un plan de réussite pour vous assurer que votre budget est bien dépensé.

Étape 1 : Obtenir l’adhésion de l’ensemble de la direction et du conseil d’administration

Il va sans dire que si vous souhaitez apporter des changements, vous devez obtenir l’adhésion des personnes concernées. La sécurité est le problème de tous, y compris au niveau du conseil d’administration. Un ton positif de la part de la direction contribue à changer l’attitude à l’égard de la sécurité, qui se répercute ensuite sur l’ensemble de l’organisation. Avec l’appui de la direction et du conseil d’administration, le RSSI a le pouvoir de mettre en place les outils et les processus nécessaires pour renforcer la sécurité de l’entreprise. Le soutien de la direction fournit l’ossature nécessaire à l’instauration d’une culture de la sécurité à l’aide d’un programme de formation à la sensibilisation à la sécurité.

Conseil MetaCompliance : De nombreuses réglementations et normes relatives à la protection des données exigent désormais un programme de sensibilisation à la sécurité. Utilisez ces exigences pour tirer parti de la nécessité de mettre en place un programme de sensibilisation à la sécurité.

Étape 2 : Commencer dès le début

Connaissez vos besoins en matière de sécurité en évaluant le paysage des menaces, en particulier dans votre secteur. Cette compréhension est la base d’un programme de sensibilisation à la sécurité efficace. En connaissant les types de menaces auxquelles votre secteur ou votre entreprise sont susceptibles d’être confrontés, vous pouvez adapter plus efficacement un programme de formation à la sensibilisation à la sécurité.   Par exemple, quelles sont les applications en nuage utilisées par votre organisation ? Quel est le type de menace qui les menace le plus ? Proposez-vous un travail flexible et avez-vous des travailleurs à distance ? Y a-t-il un problème de partage de mots de passe au sein de votre personnel ?

En outre, les besoins en matière de conformité réglementaire peuvent être spécifiques à votre secteur : par exemple, votre personnel peut travailler avec de grands volumes de données très sensibles qui doivent être conformes aux exigences du RGPD2018. Lors de l’élaboration d’un programme de sensibilisation sur mesure, n’oubliez pas d’inclure des précisions sur les réglementations en matière de protection des données.

Conseil de MetaCompliance: vos politiques et procédures doivent correspondre à la formation de sensibilisation. Ce faisant, la formation à la sensibilisation à la sécurité peut être utilisée pour aider à mettre en œuvre les processus de sécurité.

Étape 3 : Rendre les choses réelles (et divertissantes)

La formation à la sensibilisation à la sécurité doit être pratique et centrée sur l’humain. Pour que la formation soit un succès, le programme doit être en phase avec son public. Il existe de nombreuses façons d’y parvenir et tous les programmes de sensibilisation à la sécurité ne se valent pas. Les meilleurs proposent un contenu interactif et engageant que les employés trouvent intéressant. Si vous parvenez à maintenir l’intérêt d’une personne, vous aurez plus de chances d’encourager un apprentissage actif et durable.

Pour élaborer un programme efficace d’atténuation des cybermenaces centrées sur l’être humain, les thèmes abordés doivent refléter les types de menaces auxquelles votre organisation est ou sera confrontée. Les sujets typiques à couvrir sont les suivants

• Hygiène des mots de passe
• Escroqueries par courrier électronique
• Logiciels malveillants et supports amovibles
• La sécurité sur l’internet
• Médias sociaux : vie privée et sécurité
• Conformité et réglementation et leur impact sur les employés

Les exercices de simulation d’hameçonnage sont un excellent moyen d’enseigner aux employés les dangers des courriels d’hameçonnage de manière créative et attrayante. Vous en saurez plus à l’étape 4…

Conseil de MetaCompliance: Globalement, quel que soit le contenu de votre programme de sensibilisation à la sécurité, il doit être interactif et attrayant.

Étape 4 : Comment repérer un Phish

Dans le monde des pirates informatiques, c’est l’hameçonnage qui est à l’honneur. Au fil des ans, le phishing est devenu la méthode d’attaque par excellence et la sophistication est le mot d’ordre. Les campagnes d’hameçonnage représentent un gros volume d’affaires et des modèles tels que le « phishing-as-a-service » fournissent aux pirates du monde entier les outils nécessaires pour voler des informations d’identification et des données, et infecter les réseaux avec des logiciels malveillants, y compris des logiciels rançonneurs. Apprendre au personnel à repérer les courriels d’hameçonnage est donc un outil essentiel de sensibilisation à la sécurité.

Les solutions de simulation de phishing sont un outil important dans le kit de sensibilisation du RSSI. Les simulations de phishing permettent à une organisation d’automatiser la formation au phishing afin d’apprendre aux utilisateurs à repérer les signes révélateurs des campagnes de phishing.

Conseil de MetaCompliance: Utilisez les exercices de simulation de phishing dans le cadre d’un programme plus large de sensibilisation à la sécurité et concevez-les de manière à refléter les types de menaces de phishing qui ciblent votre secteur.

Étape 5 : Mesurer, mesurer, mesurer

Il est important de comprendre l’impact et l’efficacité d’un programme de sensibilisation à la sécurité. Les formations de sensibilisation à la sécurité fournissent souvent des indicateurs qui montrent leur efficacité. Voici quelques exemples d’indicateurs de formation qui peuvent donner une idée de l’efficacité du programme :

Enquêtes (qualitatives) : Questionnaires utilisés pour explorer la compréhension qu’ont les stagiaires du programme et de sa mise en œuvre.

Résultats de la simulation d’hameçonnage (quantitatifs) : Par exemple, combien d’utilisateurs ont cliqué sur des liens d’hameçonnage et combien ont alerté l’entreprise après avoir reçu un courriel d’hameçonnage.

Mesures de notification (quantitatives et qualitatives) : Combien d’utilisateurs signalent les problèmes de sécurité identifiés lors de la formation ?

Les mesures peuvent être visualisées afin d’offrir aux participants et à la direction une vue d’ensemble du retour d’information.

Conseil MetaCompliance: En plus d’utiliser les mesures pour adapter les programmes de formation, utilisez également les mesures pour établir des correspondances avec les politiques de sécurité et les ajuster pour tenir compte des problèmes identifiés lors de la formation.

Étape 6 : Adaptation et mise à jour

Utilisez les indicateurs des tâches et des événements de sensibilisation à la sécurité pour adapter la mise en œuvre des futures itérations de la campagne de sensibilisation. Les indicateurs recueillis à l’étape 5 vous aideront à dispenser une formation plus efficace. Cependant, les responsables du programme doivent organiser des réunions régulières pour s’assurer que les programmes de formation reflètent les réalités des défis de cybersécurité de l’entreprise, car les menaces de cybersécurité ne sont pas des événements statiques. Au fur et à mesure que le paysage de la sécurité évolue, que de nouveaux employés arrivent et que de nouvelles technologies sont déployées dans votre organisation, la formation de sensibilisation à la sécurité doit s’adapter pour refléter ces changements.

Conseil de MetaCompliance: mélangez les différentes méthodes de formation du personnel. Utilisez une variété d’options, y compris des jeux, des simulations d’hameçonnage, des affiches, des bulletins d’information, en les adaptant au département et aux besoins de sensibilisation à la sécurité au fil du temps. Impliquez les départements de l’organisation dans la conception et le développement des programmes.