Une formation efficace à la cybersécurité offre la possibilité de façonner une culture cybersécuritaire. Mais de nombreuses organisations optent pour des formations généralistes qui nuisent à la culture qu’elles espèrent répandre parmi leurs employés.
Le télétravail a, en l’espace de quelques mois seulement, transformé une grande partie du paysage de la menace cybersécuritaire. Les courriels d’hameçonnage sont de plus en plus sophistiqués, ce qui rend plus difficile pour un œil non averti de distinguer un message authentique d’un message piégé. Parallèlement, les cybercriminels profitent de la pandémie en multipliant les attaques par rançongiciel. Cependant, ne pas s’attaquer aux problèmes humains peut coûter cher. Si auparavant, la vision sécuritaire reposait, dans la majorité des esprits, sur des systèmes de sécurité supervisés par des équipes informatiques, cette vision dépassée doit changer au profit d’une culture organisationnelle et comportementale qui soutient ces systèmes pour renforcer leur pouvoir défensif.
Cela signifie que les comportements prophylactiques doivent devenir une seconde nature pour tous les travailleurs. Car, en effet, la force de la culture sécuritaire d’une organisation réside dans le comportement préventif de chaque individu. « Une culture de la cybersécurité comprend les connaissances, les habitudes et les valeurs collectives partagées par une main-d’œuvre sur tout ce qui concerne la sécurité numérique », explique les rédacteurs d’une étude réalisée par Fujitsu, Building aCyber SmartCulture.
Mettre en place une culture préventive forte
Après avoir interrogé 331 cadres supérieurs occupant des fonctions diverses dans des organisations de 14 pays, ils concluent que « trop peu d’organisations apprécient pleinement et mettent en œuvre une cyberculture forte ». Ils constatent que 54 % des personnes interrogées admettent qu’au cours de l’année écoulée, elles ont contourné les politiques de sécurité pour s’adapter aux changements survenus dans leurs divisions à la suite de la pandémie.
Ce comportement à risque peut s’expliquer par le fait que de nombreux processus sont trop restrictifs, empêchant un déploiement plus rapide et entravant l’agilité organisationnelle. Hormis ce comportement à risque, l’autre problème qui empêche un changement de culture est le manque de connaissance des employés quant à la responsabilité de la cybersécurité. Plus de quatre répondants sur dix (45 %) estiment que la plupart des membres de leur organisation pensent que la cybersécurité ne les concerne pas.
Les formations ciblées sont plus efficaces
Certes, on pourrait conclure hâtivement que des campagnes de sensibilisation et une formation généralisée remédient au problème, mais là encore, les résultats de l’enquête sont plus nuancés. « Le fait qu’un plus grand nombre de personnes participent à une formation de sensibilisation à la sécurité ne crée pas par magie une forte culture de la cybersécurité au niveau organisationnel », explique le rapport.
Par exemple, bien que les personnes occupant des fonctions différentes soient confrontées à des risques cyber différents, 60 % des personnes interrogées déclarent que tous les employés de leur organisation reçoivent la même formation à la cybersécurité. Et lorsque c’est le cas, seuls 37 % affirment que la formation à la sécurité adaptée à leur rôle et à leurs besoins spécifiques est efficace. Parmi les personnels non techniques, les fonctions financières, juridiques, de gestion, de recherche et de marketing, 45 % qualifient d’inefficaces les formations en ligne existantes en matière de sécurité.
Une approche différente de la formation
« L’instauration d’une culture saine de la cybersécurité ne doit pas nécessairement passer par des présentations passives et ennuyeuses ou des exercices à trous. Les employés ont besoin de quelque chose de différent », explique le rapport. Selon ses rédacteurs, une bonne formation de sensibilisation se concentre sur deux aspects fondamentaux. Le premier est le changement de comportement : motiver les gens à penser et à agir différemment. Ce type de formation doit reconnaître que les différentes sections de la main-d’œuvre sont motivées de différentes manières.
Le deuxième aspect d’une bonne formation de sensibilisation est l’intégration par la formation des gestes qui sauvent et des comportements à adopter selon les cas. Lorsque les employés sont confrontés à des tentatives d’hameçonnage, ils doivent immédiatement savoir ce qu’ils doivent faire, ce qu’ils ne doivent pas faire et qui ils doivent informer.
« Une formation innovante et interactive sur les problèmes que les employés rencontrent dans leur contexte personnel est susceptible d’obtenir un fort engagement », conclut le rapport.