Même si les budgets consacrés à la cybersécurité sont aujourd'hui plus importants que par le passé, les talents en matière de sécurité sont rares, ce qui signifie que les équipes de formation à la sécurité informatique doivent toujours faire plus avec moins. C'est pourquoi l'attrait de l'automatisation est fort. Si vous êtes tenté par l'idée d'un programme de formation à la sensibilisation à la sécurité du type "set it and forget it", nous vous conseillons d'envisager les effets secondaires négatifs d'une approche non interventionniste.
Les programmes de formation anti-phishing les plus efficaces sont agiles et réactifs
Nous avons travaillé en étroite collaboration avec nos clients et l'équipe des services gérés pour élaborer un ensemble de meilleures pratiques recommandées pour la formation à la sensibilisation à la sécurité, et les conseils que nous fournissons sont basés sur des méthodes éprouvées sur le terrain.
Le résultat : Les programmes qui sont activement mesurés et gérés, avec des activités stratégiquement adaptées en fonction des résultats des évaluations et de la formation à la cybersécurité, donnent les meilleurs résultats.
Les attaques de phishing simulées en sont un bon exemple. Certains fournisseurs de formation à la lutte contre le phishing vantent les avantages de la gestion du temps associés à un programme mis en place pour fonctionner automatiquement pendant un an. Bien que nous recommandions d'envoyer des tests anti-phishing mensuels (en utilisant notre outil ThreatSim®), nous ne recommandons pas de retirer l'agilité du mélange. Votre programme doit être surveillé et les mesures doivent être analysées régulièrement ; les résultats de vos évaluations vous montreront où se situent les vulnérabilités et vous devriez être capable de réagir. Ce sont les types de capacités qui vous échappent avec les évaluations automatiques qui sont planifiées trop longtemps à l'avance :
- La possibilité de mener des campagnes de phishing simulées "d'actualité" qui permettront à vos utilisateurs finaux de rester attentifs à ces types de menaces.
- La possibilité de planifier vos évaluations de cybersécurité en fonction de résultats antérieurs ; par exemple, en effectuant des évaluations supplémentaires de campagnes basées sur des pièces jointes si vous constatez un grand nombre de clics avec ce type d'attaque (que ce soit lors de tests de phishing ou depuis la nature).
- La possibilité d'adapter stratégiquement vos thèmes et votre calendrier de formation à la cybersécurité en fonction des points faibles identifiés dans vos évaluations.
- La possibilité d'intégrer des évaluations et des formations en réponse aux menaces émergentes. (Les ransomwares en sont un bon exemple, car ils sont passés de "nuisance" à menace élevée en relativement peu de temps).
Vous cherchez un moyen simple d'améliorer les connaissances de vos utilisateurs finaux en matière de cybersécurité ? Notre équipe de services gérés peut planifier et exécuter un programme selon vos spécifications.
Il est certain qu'une approche du type "set it and forget it" peut sembler excellente à première vue, mais elle n'est pas susceptible de générer les meilleurs résultats. Si vous établissez un programme de formation de phishing un an à l'avance, vous limitez votre capacité à être réactif et à apporter les changements nécessaires. Une approche unique pour tous est comparable à une approche de "cocher la case" avec un minimum d'efforts - et, franchement, un faible effort est presque toujours lié à de mauvaises performances.
Nous sommes certainement partisans de la planification - ne vous méprenez pas. Nous estimons simplement qu'il n'est pas dans l'intérêt d'une organisation (ou d'un administrateur de programme) de s'engager (et de construire) le contenu et les thèmes d'une année d'évaluations en une seule fois. Outre le manque de flexibilité, cela pourrait s'apparenter à du travail perdu, car vous voudrez probablement vous adapter en fonction des comportements des utilisateurs finaux et des tendances de la menace industrielle qui se dessinent au cours de votre programme de sensibilisation et de formation à la sécurité. Il est toujours utile de savoir ce que vous aimeriez faire, mais vous devez toujours avoir la souplesse nécessaire pour faire ce qu'il faut pour obtenir des résultats.