La digitalisation rapide de l’entreprise déclenchée par la pandémie a créé un tsunami d’opportunités prêtes à être exploitées par les cybercriminels partout dans le monde. Les entreprises d’aujourd’hui doivent maintenant défendre une surface d’attaque considérablement élargie, qui comprend des plateformes cloud, des canaux de travail à distance, des plateformes mobiles, des chaînes d’approvisionnement numériques et plus encore.
Sans surprise, ces nouvelles conditions pour les entreprises ont entraîné une forte augmentation des cybermenaces. L’intensité des dommages causés par ces attaques croît à un rythme alarmant, à tel point que 88 % des entreprises britanniques confirment avoir subi une violation au cours des 12 derniers mois. De nombreuses entreprises s’efforcent donc aujourd’hui de trouver le meilleur moyen de faire face à cette augmentation des risques et des coûts.
Investir dans de nouvelles solutions technologiques, adapter les processus et adopter les meilleures pratiques de la confiance zéro est un bon début. Toutefois, la lutte contre la vague croissante de cybermenaces exige également de repenser la cybersécurité.
Pour susciter un changement réel et durable, les organisations devront intégrer la formation à la sécurité dans leur stratégie de développement du personnel. Les efforts collectifs de tous doivent se concentrer sur l’importance de traiter les questions de sécurité et de maintenir la posture de sécurité de l’entreprise.
La cybersécurité est l’affaire de tous
La mise en œuvre de la stratégie numérique a des répercussions importantes sur le mode de fonctionnement des entreprises. Les équipes informatiques auront besoin d’une formation spécifique à la cybersécurité dans toute une série de catégories (notamment le cloud, l’IoT, l’open source et la gestion des identités et des accès) si elles veulent assurer la sécurité des systèmes informatiques.
Comme de nombreuses équipes de Dev et DevOps considèrent déjà la sécurité comme l’une de leurs principales responsabilités, il est logique de transférer davantage de responsabilités de sécurité à ces équipes plutôt que de créer de nouveaux rôles de sécurité. À l’appui de ces responsabilités élargies, les équipes bénéficieront d’une formation à la programmation agile sécurisée et aux tests de pénétration qui renforcera leurs compétences dans ce domaine.
De même, en permettant aux analystes de la sécurité d’affiner leurs techniques de contrôle et de gouvernance de la sécurité des systèmes et des informations, on les prépare à devenir des architectes de la sécurité compétents, capables d’aider les dirigeants d’entreprise à faire évoluer les processus et pratiques opérationnels.
Dédier du temps et des ressources pour que le personnel technique dispose des compétences et du savoir-faire qui permettront de renforcer de manière proactive la résilience aux cyberincidents et de minimiser l’impact de ces incidents lorsqu’ils se produisent n’est cependant qu’un début.
La majorité des cyberattaques recourent encore à des tactiques d’ingénierie sociale telles que le hameçonnage, l’appât, le scareware, le harponnage et le faux-semblant. Le personnel non technique aura donc également besoin d’une solide formation de sensibilisation à la sécurité de l’information pour bien prendre conscience de la nécessité d’être vigilant. Il s’agit notamment de s’assurer que vos employés savent identifier une cybermenace et connaissent les mesures à prendre, qu’ils comprennent quelles pratiques de travail sûres l’organisation attend d’eux, et qu’ils ont une idée claire de ce qui constitue un comportement à risque.
Vos technologies de cyberdéfense coûteuses seront vaines si les employés ne savent pas comment réagir lorsqu’ils sont la cible de cybercriminels. Un seul clic suffit à miner les défenses soigneusement bâties d’une organisation. Le but du jeu ici doit être d’éliminer les piratages « évitables ».
Construire une culture durable de la cybersécurité
Sans les bons niveaux de sensibilisation et de compétences en matière de cybersécurité, les entreprises se condamnent à subir de plus en plus des violations de données ou à connaître des perturbations opérationnelles et des temps d’arrêt. Mais avec le bon plan de formation du personnel, chacun peut acquérir l’état d’esprit et les compétences nécessaires pour naviguer sans encombre dans les eaux changeantes des menaces de cybersécurité.
L’instauration d’une culture durable de la cybersécurité, qui enracine la sensibilisation et les connaissances pour l’ensemble du personnel, repose sur quatre piliers essentiels qui forment la base d’une réussite à long terme :
- Faciliter la concentration de toute l’entreprise sur un objectif commun : tous les membres de l’organisation doivent adhérer à la cybersécurité et être conscients du rôle qu’ils ont à jouer. La mise en place d’opportunités d’apprentissage clairement définies contribuera à renforcer l’engagement de l’organisation à fournir à chaque employé l’accès à une formation aux compétences de cybersécurité correspondant à son rôle. Des mises à jour et des communications régulières sur les dernières menaces, ainsi que des incitations à « actualiser vos compétences », permettront de s’assurer que tout le monde reste conscient que « nous sommes dans le même bateau » et qu’une formation à la cybersécurité va bien plus loin qu’un ensemble de cases à cocher.
- Adopter une approche mixte de la formation : les apprenants sont avides de contenu auquel ils peuvent accéder à tout moment et en tout lieu, et souhaitent bénéficier d'un éventail varié de ressources, notamment des vidéos, des podcasts, un apprentissage par petites touches et un apprentissage par la pratique. Faciliter la formation avec un format qui convient le mieux au style individuel d’acquisition des connaissances de chacun et permettre de l’adapter à des horaires de travail chargés contribuera à stimuler le recours à toutes les possibilités de formation pertinentes à l’échelle de l’organisation.
- Favoriser l’apprentissage tout au long de la vie : proposer des recommandations personnalisées qui permettent aux employés d’accumuler des connaissances et d’acquérir des certifications est une solution gagnante pour tous. Encouragez les employés à approfondir des compétences nécessaires ou fondamentales, en leur proposant un parcours de développement personnel guidé qui renforcera leur expertise de la cybersécurité au travail et dans la vie de tous les jours.
- Rendez l’apprentissage immersif et dynamique : l’adoption d’une approche créative de la formation suscitera l’intérêt des employés et améliorera leurs compétences d’identification des cybermenaces. Il peut s’agir de mettre à l’épreuve les compétences pratiques acquises dans des laboratoires d’entraînement contrôlés ou dans des environnements de type « attaquant contre défenseur ». L’introduction d’un élément de ludification est particulièrement efficace pour amener les acteurs de la sécurité à dépasser l’apprentissage passif traditionnel pour appliquer des compétences et des outils à des scénarios de la vie réelle. Cela leur permet de s’entraîner en toute sécurité à faire face aux menaces qu’ils pourraient rencontrer plus tard dans leur travail.
La demande en formation à la cybersécurité atteint de nouveaux sommets
Depuis 2019, nous avons observé une augmentation de 53 % du nombre total d’heures que les apprenants consacrent aux contenus et aux cours de formation à la sécurité sur une base annuelle. Une analyse plus poussée de 25 secteurs d’activité, de l’aérospatiale à la banque en passant par le médical, révèle que le nombre d’heures passées en formation a bondi de 80 % en 2021 par rapport à l’année précédente. Les cinq secteurs qui ont vu les plus fortes hausses de consommation de contenu en matière de cybersécurité sont les secteurs juridiques, de l’énergie et des services publics, des soins de santé, de la formation et du développement, ainsi que des organisations à but non lucratif.
Dans le top 10 des cours de sécurité suivis jusqu’à présent en 2021, la sécurité des applications web et les fondamentaux de la sécurité du cloud arrivent en tête de liste. Ils sont suivis de près par les certifications en techniques d’ingénierie sociale et en types d’attaques, ainsi que les principes de base de la cryptographie.
Tous ces résultats témoignent d’une évolution positive. Les organisations soutiennent activement les spécialistes de l’informatique pour qu’ils poursuivent leur parcours de perfectionnement et comblent toute lacune dans leurs compétences. Il reste toutefois du travail sur le plan de la sensibilisation et de l’éducation de l’ensemble des employés afin de maintenir une culture permanente d’apprentissage et de curiosité. Pour être efficace et durable, la formation à la cybersécurité doit être renouvelée fréquemment et être accessible à tous.
La formation à la sécurité ne peut pas être une priorité d’un mois ou un événement aléatoire
Un apprentissage digeste et pertinent dans le contexte du rôle de chacun contribuera à intégrer les comportements appropriés en matière de cybersécurité, plutôt que de les rajouter à une liste. De même, un certain degré de flexibilité et de choix de formations aux employés est un moyen infaillible d’encourager l’adoption de compétences de cyberdéfense.
Pour développer les compétences fondamentales du personnel nécessaires pour fonctionner en toute sécurité à l’ère numérique, les entreprises devront trouver des moyens de diffuser l’apprentissage de la manière la plus économique possible.
Proposer un apprentissage à la demande sous différents formats est un excellent moyen de démocratiser l’accès à une formation aux cybercompétences que les employés peuvent consommer à leur propre rythme. De même, la formation continue peut être encouragée et récompensée grâce à des recommandations personnalisées automatisées à la manière d’Amazon, qui permettront à chacun d'adapter sa prochaine expérience de formation et de partager ses étapes d'apprentissage avec ses collègues.
Les plateformes d’apprentissage immersif actuelles peuvent aider les organisations à nourrir et à diriger une culture de L&D durable en matière de cybersécurité. Cette dernière développera les capacités, les aptitudes et les compétences nécessaires au personnel pour gérer les risques humains et réduire les vulnérabilités de l’entreprise.
Par Don Mowbray, EMEA lead Technology & development chez Skillsoft