Cybersécurité – Les organisations doivent intensifier les programmes de formations

D’après les statistiques, au cours de la dernière année, le paysage des menaces de cybersécurité a évolué rapidement et les attaques ont augmenté en nombre et en sophistication. Il est estimé qu’une attaque de ransomware se produirait toutes les 11 secondes en 2021 et que les dommages causés par les ransomwares devraient coûter 20 milliards de dollars au monde cette année.

Le programme de formation à la sécurité d’une organisation est sa première ligne de défense lorsqu’il s’agit de repousser une cyberattaque. Dans le rapport d’enquête sur les violations de données de 2021 de Verizon, 85 % des violations impliquaient l’erreur humaine. Il a été dit à maintes reprises que les employés sont le maillon le plus faible de la chaîne de sécurité, d’où la raison pour laquelle les entreprises doivent faire beaucoup plus sur la formation à la cybersécurité.

Ces formations présentent aux employés les dangers, les risques et les conséquences de cliquer accidentellement sur un lien inconnu ou de divulguer des informations sensibles par courriel, sur les réseaux sociaux ou même par téléphone, que ce soit au bureau ou dans les transports (avion, train, bus…).

J’ai toujours dit que la sécurité est un voyage et non une destination, et lorsqu’il s’agit de formation à la sensibilisation à la cybersécurité, c’est l’état d’esprit que les organisations doivent avoir pour aller de l’avant.

La sécurité est un voyage

Pour mesurer l’efficacité de la formation en sécurité, nous devons d’abord comprendre ce qui la rend efficace. Le dicton « la sécurité est un voyage et non une destination » nous dit que dans un secteur en évolution rapide comme la cybersécurité, nous ne pouvons jamais cesser d’apprendre. La formation doit être un processus continu plutôt qu’une fois par an ou lors de l’intégration d’un employé. La formation à la sécurité doit être continue et facilement accessible aux employés tout en offrant un contenu de bonne qualité et à jour.

Méthodologies de formation

Il existe de nombreux types de méthodes de formation des employés, telles que l’apprentissage en ligne, la simulation, un formateur sur site ou le coaching et les quiz en ligne. Parmi tous ces types de formation, ils offrent tous quelque chose que l’autre n’offre pas, il est donc important d’avoir un bon mélange de différents types de formation à offrir à vos employés.

Formation basée sur les rôles

La formation basée sur les rôles prépare les employés à des situations réelles et indique le niveau de compétence actuel d’un employé. Les résultats de la formation basée sur les rôles en tenant compte des métriques du programme de sensibilisation à la sécurité d’une organisation sont un outil précieux pour mesurer l’efficacité du programme de formation à la sécurité d’une organisation.

Les risques d’un manque de formation

Comme mentionné, l’erreur humaine est dans 85% des cas, la porte d’entrée à la divulgation de données sécurisés. Que ce soit fait de manière totalement fortuite ou par ingénierie sociale, tous les niveaux d’une organisation publique ou privée sont concernés. La forte présence des réseaux sociaux et le besoin constant de communiqué est également la porte à de nombreux comportements dangereux.

Un dernier exemple en date: L’ex conseiller sénior du président Joe Biden pour les réponses à mener contre le COVID a posté de lui-même le QR Code de son pass sanitaire. Cet exemple montre que d’Andy Slavitt à son équipe de communication, personne n’a pu percevoir le risque et le danger de publier une telle information.

Une formation de qualité aurait pu éviter qu’un tel évènement se produit, et à l’ère du tout numérique. Ce type « d’accident » arrive de manière quotidienne.

Conclusion

La cybersécurité et la gestion des risques n’est pas un « one stop shop ». Une fois que l’organisation atteint un niveau où elle estime qu’un nombre suffisant d’employés sont conformes et compétents dans les différents domaines de formation, elle doit fournir une formation continue aux employés.

Les sociétés doivent continuellement s’efforcer de fournir à leurs employés les outils et informations nécessaires pour se tenir au courant des dernières technologies, risques et menaces qui pèsent sur leurs sociétés et qui sont fondamentales pour faire d’eux le meilleur employé possible.