Ces dernières années, le sujet de la sensibilisation à la cybersécurité a été abordé par de nombreux professionnels, analystes et fournisseurs, qui s’interrogent sur ce qui constitue un programme performant, sur les méthodes permettant d’en mesurer l’efficacité et sur les raisons pour lesquelles il est nécessaire de le faire.
Après des centaines de conversations avec des entreprises de diverses tailles et complexités, il est évident que les méthodes traditionnelles de formation et de sensibilisation à la cybersécurité orientées conformité ne sont pas à la hauteur, tout comme nos méthodes de mesure de leur efficacité.
Si l’objectif est de réduire les risques de cybersécurité liés aux actions et aux comportements des collaborateurs, nous devons aller au-delà de la sensibilisation pour induire des changements de comportement durables et instaurer une culture axée sur la sécurité.
Défis associés aux programmes traditionnels de sensibilisation à la cybersécurité
Les programmes traditionnels de sensibilisation à la sécurité informatique font depuis longtemps partie des initiatives de cybersécurité des entreprises. Pourquoi ne sont-ils pas efficaces ?
Approche universelle
De nombreux programmes traditionnels utilisent les mêmes contenus de formation génériques et orientés conformité année après année. Cette approche ne répond pas aux situations uniques et réelles que sont susceptibles de rencontrer les collaborateurs occupant différentes fonctions au sein d’une entreprise.
Une méthodologie universelle peut être synonyme de désengagement et de manque de pertinence pour le personnel. Toutefois, il peut être difficile pour les équipes de sécurité de proposer une approche sur mesure, en particulier si elles disposent de ressources limitées.
Manque de connexion au monde réel
Les programmes traditionnels permettent aux collaborateurs de développer des connaissances, mais peinent souvent à traduire ces connaissances en changements de comportement durables. D’après les recherches que nous avons menées pour les besoins du rapport State of the Phish 2024, plus des deux tiers (68 %) des collaborateurs adoptent sciemment des comportements dangereux, malgré le fait que 99 % des entreprises disposent d’un programme de sensibilisation à la cybersécurité.
La plupart des programmes de sensibilisation reviennent à apprendre à quelqu’un à sauter en parachute en lui demandant de regarder quelques vidéos et de lire des règles. Mais lorsque cette personne saute de l’avion, elle est désorientée. Elle n’est pas habituée aux sensations qu’elle ressent et n’est pas sûre du moment où elle doit déclencher le parachute.
De même, les collaborateurs qui ne bénéficient que d’une formation passive à la cybersécurité peinent à appliquer leurs connaissances lorsqu’ils sont confrontés à des menaces réelles. Les collaborateurs peuvent comprendre les concepts de sécurité, mais éprouver des difficultés à les appliquer de façon cohérente dans leur travail quotidien.
Pourquoi un changement terminologique n’est pas la solution
Un nouveau terme émerge dans nos discussions avec les clients : la gestion des risques liés aux utilisateurs.
De nombreux clients nous indiquent qu’ils souhaitent adopter cette approche. Ils affirment vouloir mesurer les risques, mais ne savent pas quoi mesurer ni quelle méthode employer. L’importation de données provenant de différents éditeurs de solutions et de diverses sources ainsi que leur interprétation constituent un défi de taille. Les clients expliquent également vouloir utiliser l’automatisation, la ludification et d’autres éléments pour améliorer l’engagement des collaborateurs.
Ce sont d’excellents outils, et il ne fait aucun doute que nous devons comprendre les risques et trouver des moyens d’interagir plus efficacement avec le personnel. Mais ce ne sont que des outils, qui ne sont pas capables de comprendre comment modifier les comportements. Cela requiert d’examiner des principes et des techniques de science comportementale, ce que la plupart des équipes de cybersécurité ne sont généralement pas formées à faire.
Certains clients, analystes et éditeurs de solutions emploient le terme « gestion des risques liés aux utilisateurs » pour désigner la sensibilisation à la cybersécurité sans en comprendre la signification. Ce terme est à la fois confus et négatif. Il suggère que les utilisateurs sont « à risque » et doivent être « gérés ». Il perpétue l’idée que le collaborateur est le problème et favorise une mentalité de confrontation plutôt qu’inclusive.
Chez Proofpoint, nous pensons qu’il est utile de comprendre les collaborateurs : ce qu’ils font, ce qu’ils savent et ce qu’ils croient. Cette compréhension doit également être quantifiée pour élaborer un programme qui encourage un changement durable des comportements.
La sensibilisation est fondamentale
Nous considérons comme un signe positif le fait que les clients nous posent des questions sur la gestion des risques liés aux utilisateurs. Même si le terme en lui-même est négatif, il nous donne l’opportunité de discuter avec les clients des comportements et des programmes de culture de cybersécurité de manière plus globale, ainsi que du rôle de la sensibilisation.
La sensibilisation est fondamentale. Elle fournit aux collaborateurs des connaissances de base sur les menaces potentielles, les bonnes pratiques et l’importance de la cybersécurité dans le cadre de leur travail quotidien.
Nous ne souhaitons pas faire une croix sur les fondamentaux de la sensibilisation, mais plutôt les faire évoluer en intégrant des contenus adaptés aux rôles et responsabilités spécifiques des individus qui font partie de l’entreprise. Cette méthode reconnaît que différentes fonctions sont confrontées à des défis de cybersécurité uniques. Des connaissances spécifiques aux rôles, aux menaces et aux privilèges sont nécessaires pour adopter efficacement des comportements plus sûrs et lutter contre les menaces.
Nous vous recommandons de compléter votre programme existant par des formations pertinentes sur les menaces proposées sous forme de modules courts et dans divers formats, tels que les suivants :
- Simulations interactives
- Expériences ludiques
- Campagnes de renforcement continu
Nous conseillons à nos clients à réfléchir à la façon dont ils peuvent offrir des conseils en temps réel pour encourager les collaborateurs à faire des choix plus sûrs. Nous recommandons également d’impliquer et de faire participer un groupe transversal de collaborateurs. Vous pourriez être agréablement surpris de découvrir que les inclure dans la solution renforcera leur créativité et leur engagement.
La culture est reine
On dit que « la culture mange de la stratégie au petit-déjeuner ». Cette expression est très pertinente dans le contexte des comportements et des programmes de culture de cybersécurité. Elle souligne le rôle essentiel que la culture d’une entreprise joue dans la réussite des initiatives de sécurité. La culture constitue le fondement des comportements de cybersécurité. Même la stratégie de sécurité la mieux élaborée vacillera si elle n’est pas soutenue par une culture qui valorise et priorise la sécurité.
Une stratégie de sécurité décrit le plan et les objectifs en matière de protection des ressources d’une entreprise. Mais la culture est ce qui détermine l’efficacité avec laquelle ces stratégies sont mises en œuvre. Peu importe l’éditeur de solutions ou la technologie que vous choisissez, si votre entreprise n’adopte pas une culture axée sur la sécurité, votre capacité à induire des changements de comportement durables chez vos collaborateurs est très limitée.
Une culture axée sur la sécurité requiert l’adhésion de la direction. Gardez à l’esprit que la direction s’étend au-delà du RSSI. Les meilleurs programmes tiennent également compte des indicateurs clés de performance globaux de l’entreprise, et pas seulement de ceux de l’équipe de sécurité. Ils sont élaborés en collaboration avec une équipe transversale qui promeut la responsabilité plutôt que la peur. Par ailleurs, ces programmes :
- Encouragent la participation volontaire
- Perçoivent les collaborateurs comme la solution, pas le problème
- Utilisent des indicateurs de cybersécurité liés aux objectifs opérationnels et stratégiques
En outre, les meilleurs programmes mettent directement en corrélation la façon dont les activités des collaborateurs qui contribuent à réduire les incidents de cybersécurité :
- Améliorent le niveau de risque global de l’entreprise
- Augmentent la productivité des effectifs
- Influencent la réalisation des prévisions de revenus et de coûts ainsi que des objectifs stratégiques
La tâche peut paraître compliquée, mais vous pouvez vous y atteler dès maintenant. Le framework PIPE de Gartner peut vous aider à aller au-delà de la sensibilisation à la cybersécurité et à induire un changement durable des comportements. Il peut également vous aider à instaurer une culture axée sur la sécurité.
Conclusion
Vous avez besoin d’un soutien important de la direction, d’objectifs alignés, de créativité et des outils adéquats pour induire un changement durable des comportements. Tout comme il n’existe pas de raccourcis pour devenir un expert du parachutisme, atteindre ses objectifs requiert de la pratique, des conseils et des techniques efficaces.
Chez Proofpoint, nous ne cessons de faire évoluer nos solutions pour répondre aux besoins de nos clients actuels et futurs. Vos commentaires sur notre travail sont les bienvenus. Si vous souhaitez en savoir plus ou poursuivre la discussion, participez à une prochaine conférence Proofpoint Protect à Londres, Austin ou Chicago.