Cloud reflection on building surface

Principes pédagogiques éprouvés

Présentation

Captez l'attention des utilisateurs pour modifier leur comportement

Extrêmement efficaces, les solutions de formation à la cybersécurité Proofpoint Security Awareness Training (PSAT) s'appuient sur des principes pédagogiques éprouvés pour capter l'attention des apprenants et modifier leur comportement. Les travaux de recherche menés par l'Université Carnegie Mellon ont démontré que notre utilisation de principes pédagogiques éprouvés était efficace.

Pour aider les collaborateurs à apprendre à se protéger eux et leur employeur contre les risques de cybersécurité, nos solutions reposent sur les principes suivants.

Proposez des connaissances conceptuelles et procédurales

Les connaissances conceptuelles offrent aux utilisateurs une vue d'ensemble et leur permettent d'appliquer des techniques pour résoudre un problème, tandis que les connaissances procédurales se concentrent sur les actions spécifiques à mettre en œuvre pour apporter une solution au problème.

La combinaison de ces deux types de connaissances permet d'améliorer considérablement la compréhension des utilisateurs. Par exemple, les utilisateurs peuvent avoir besoin d'une formation procédurale pour comprendre qu'une adresse IP incluse dans une URL peut être le signe qu'ils sont en présence d'une URL de phishing. Mais une compréhension conceptuelle des différentes parties composant une URL peut également se révéler nécessaire afin de comprendre la différence entre une adresse IP et un nom de domaine. Sinon, ils risqueraient de considérer à tort www4.google.com comme une URL de phishing.

Distillez les connaissances à petites doses

Limitez la quantité d'informations que les apprenants doivent ingérer pour faciliter l'apprentissage. Vous ne pouvez pas couvrir 55 sujets différents en 15 minutes de formation à la cybersécurité et attendre de vos collaborateurs qu'ils se souviennent de tout et qu'ils adaptent leur comportement. Les formations de courte durée sont toujours plus efficaces.

Renforcez les acquis

La répétition des informations est l'un des piliers de l'apprentissage. Si elles ne font pas l'objet d'un feedback régulier et ne sont pas mises en pratique, même les connaissances bien assimilées finissent par tomber dans l'oubli. La formation à la cybersécurité est un processus continu, et non un événement ponctuel.

Formez le personnel en contexte

Les collaborateurs ont tendance à se souvenir du contexte plus que du contenu. Il est important de présenter les formations à la cybersécurité dans le même contexte que celui dans lequel les apprenants sont les plus susceptibles d'être attaqués.

Donnez un feedback immédiat

Si vous avez déjà pratiqué un sport, vous comprenez. Les messages de formation ponctuels qui s'affichent lorsqu'un collaborateur commet une erreur permettent à ce dernier de recevoir des informations immédiates sur la menace, ce qui aura davantage d'impact sur son apprentissage. Si un utilisateur qui tombe dans le piège d'une simulation d'attaque bénéficie immédiatement de conseils pour mieux se protéger à l'avenir, il sera moins susceptible de se laisser berner à nouveau.

Adaptez-vous au rythme des apprenants

Aussi cliché que cela puisse paraître, chacun apprend à son propre rythme. Un programme universel de formation à la sécurité est voué à l'échec, car il ne permet pas aux utilisateurs d'avancer au rythme qui leur convient.

Racontez une histoire

Pour capter l'attention des apprenants, proposez-leur un récit avec des personnages auxquels ils pourront s'identifier. Plutôt que d'énumérer des faits et des données, recourez à des techniques de narration.

Variez les messages

Pour faciliter l'acquisition de concepts, exprimez-les de différentes manières et adoptez divers points de vue. Les formations à la cybersécurité qui présentent un concept aux apprenants à plusieurs reprises et en employant des termes différents les aident à faire le lien avec leurs expériences passées et à établir de nouvelles connexions.

Impliquez les apprenants

Les apprenants qui participent activement au processus d'apprentissage sont plus susceptibles de se souvenir de ce qu'on leur a enseigné. Si un utilisateur a l'occasion de s'entraîner à identifier des stratagèmes de phishing et à créer des mots de passe forts, les résultats peuvent être spectaculaires. Malheureusement, les entreprises privilégient souvent les modèles pédagogiques traditionnels (notamment les redoutées conférences) aux activités pratiques.

Forcez-les à réfléchir

Pour s'améliorer, les utilisateurs doivent être en mesure d'évaluer leurs performances. Les programmes de formation et de sensibilisation à la sécurité informatique doivent mettre les collaborateurs au défi d'examiner les informations fournies, de remettre leur validité en question et de tirer leurs propres conclusions.

Mesurez les résultats

Collectez des données de référence ainsi que de nouvelles données après chaque campagne de formation afin de renforcer les comportements positifs au moyen d'encouragements.

Bien que nous ne puissions pas considérer la mesure des résultats comme un principe pédagogique éprouvé, il s'agit d'une étape essentielle de tout programme de formation. Il est indispensable d'évaluer les connaissances des collaborateurs et d'identifier leurs points forts et leurs faiblesses pour déterminer leur degré de vulnérabilité aux attaques.