Blog
Formation de sensibilisation à la sécurité
Cadre DICE : une évolution du cadre ACE pour les formations en sécurité informatique
Identity Threat Defense

Cadre DICE : une évolution du cadre ACE pour les formations en sécurité informatique

Share with your network!
Dr. Bob Hausmann et Kimberly Pavelich

Il y a trois ans, Proofpoint a publié une fiche solution décrivant une méthodologie en trois phases pour créer un programme efficace de formation et de sensibilisation à la sécurité informatique : le cadre ACE. Celui-ci s’avère particulièrement utile lorsque vous mettez sur pied un programme robuste d’un an qui aborde des thèmes de cybersécurité incontournables.

Autrement dit, le cadre ACE facilite la création d’un programme proactif de sensibilisation à la sécurité informatique, dans le sens où il est conçu pour s’adapter aux apprenants. Il permet d’approfondir leur compréhension de ce domaine complexe.

Le paysage des menaces ne cesse toutefois d’évoluer. Ces deux dernières années, nous avons observé une hausse du phishing par code QR et de l’utilisation abusive de chatbots et de grands modèles de langage (LLM). Nous savons également que nos collaborateurs effectuent intentionnellement des actions dangereuses. Comment gérons-nous ces défis de sécurité plus transitoires et à court terme ?

Nous avons fait évoluer le cadre ACE en ce que nous appelons le cadre DICE. Découvrez en quoi consistent ces deux cadres, dans quelle mesure ils se recoupent et comment les utiliser.

Les bases du cadre ACE

Le cadre ACE offre une approche proactive des formations en sécurité informatique. Fondamentalement, il comprend trois phases :

  1. Assess (Évaluer). Au début, les apprenants se familiarisent avec le sujet en se soumettant à des quiz, en effectuant des simulations et en répondant à des enquêtes.
  2. Change Behavior (Changer les comportements). Les interventions s’appuient sur les principes d’apprentissage des sciences cognitives. De ce fait, elles visent à approfondir la compréhension de la cybersécurité par les apprenants et à les encourager à effectuer l’action appropriée quand il le faut.
  3. Evaluate (Mesurer l’efficacité). Lors de la dernière phase, vous déterminez l’efficacité des interventions éducatives.

Une fois ces étapes effectuées, la boucle redémarre et se répète constamment car, soyons honnêtes, les formations en cybersécurité ne se terminent jamais.

Cadre DICE : propulser le cadre ACE au niveau supérieur

Pour faire évoluer le cadre ACE, nous avons divisé la première phase, Assess (Évaluer), en deux processus distincts : Detect (Détecter) et Intervene (Intervenir).

  1. Detect (Détecter). Il peut s’agir de la détection des menaces externes ou internes. Dans le premier cas, il est généralement question de celles qui ciblent une personne, comme un email de piratage de la messagerie en entreprise identifié par Proofpoint Targeted Attack Protection. Dans le second cas, il s’agit souvent d’identifier le comportement d’une personne et de déterminer s’il est conforme aux règles de l’entreprise (p. ex. le signalement d’une attaque de phishing) ou non (p. ex. l’utilisation d’une clé USB non approuvée). Dans ce dernier cas, une violation des règles de prévention des fuites de données (DLP) sera déclenchée.
  2. Intervene (Intervenir). Une fois qu’un comportement à risque a été détecté, il est temps d’intervenir. Idéalement, l’intervention doit avoir lieu au moment de l’incident. Il peut par exemple s’agir de l’affichage d’un message éducatif lorsqu’un apprenant échoue lors d’une simulation d’attaque de phishing. Les interventions se produisent parfois quelques jours plus tard. Par conséquent, si un apprenant échoue lors d’une simulation d’attaque de phishing, une formation à la lutte contre le phishing lui est automatiquement attribuée.

Les deux dernières étapes du cadre DICE suivent le même schéma que le cadre ACE.

Comparaison entre le cadre ACE et le cadre DICE

Évolution du cadre ACE en cadre DICE : la phase Assess (Évaluer) est divisée en deux processus : Detect (Détecter) et Intervene (Intervenir). Les phases Change Behavior (Changer les comportements) et Evaluate (Mesurer l’efficacité) demeurent essentiellement inchangées.

Quand utiliser le cadre DICE

Le cadre DICE est plus réactif que le cadre ACE, dans le sens où il traite les problèmes de sécurité au moment où ils se présentent. En outre, le cadre DICE s’harmonise parfaitement avec une approche de la cybersécurité axée sur la gestion des risques liés aux utilisateurs, car l’expérience de formation est continue et basée sur ce que l’apprenant doit savoir.

Dans quelles circonstances le cadre DICE est-il le plus utile ? Nous recommandons de l’utiliser dans les cas suivants :

1. De nouvelles menaces ciblent votre entreprise. Dans ce cas, vous devez rapidement fournir aux collaborateurs de votre entreprise des informations concernant ces types d’attaques. Vous devez leur expliquer :

  • À quoi ils doivent être attentifs
  • Comment effectuer un signalement
  • Les conséquences que peut avoir un attaque

2. Des comportements dangereux sont détectés. Cela peut être par le biais de services Proofpoint ou d’intégrations tierces. Par conséquent, vous devez former à nouveau les apprenants et/ou leur rappeler les bonnes pratiques.

Conclusion

Nous pensons que la meilleure façon d’aborder les formations en sécurité informatique consiste à combiner deux approches complémentaires. Une approche proactive (ACE) fournit des connaissances de base, tandis qu’une approche réactive (DICE) complète ces connaissances élémentaires par des informations continues qui sont immédiatement applicables. Un apprenant dispose ainsi des connaissances dont il a besoin pour faire son travail en toute sécurité.

Apprenez-en plus sur les formations en sécurité offensive et défensive.

Previous Blog Post