Certains d’entre vous ont déjà commencé à établir un budget pour 2024 et à allouer des fonds aux domaines de sécurité au sein de votre organisation. On peut affirmer sans se tromper que la formation des employés à la sensibilisation à la sécurité fait également partie des postes de dépenses. Cependant, son efficacité reste une question ouverte, car les gens adoptent encore des comportements peu sûrs sur le lieu de travail. En outre, l’ingénierie sociale reste l’une des attaques les plus répandues, suivie par une violation de données réussie. Microsoft trouvé qu’une forme populaire de formation vidéo réduit les comportements de clics de phishing d’environ 3 %, au mieux. Ce nombre est resté stable au fil des années, affirme Microsoft, tandis que les attaques de phishing augmentent chaque année.
Quoi qu’il en soit, les organisations ont confiance dans la formation et ont tendance à augmenter leurs investissements en matière de sécurité dans la formation de leurs employés après des attaques. Il arrive en deuxième position dans la liste des priorités pour 51 % des organisations, juste après la planification et les tests de réponse aux incidents, selon l’IBM Security. « Rapport sur le coût des violations de données 2023 ».
Alors, qu’en est-il de la formation à la sensibilisation à la sécurité qui nous empêche d’y renoncer ? Nous avons examiné des enquêtes, discuté avec des ingénieurs en sécurité informatique et discuté du contenu de la formation avec les créateurs d’un nouveau cours sur la cybersécurité.
Les gens veulent apprendre, mais ils n’ont pas le temps
La faible efficacité de la formation ne peut plus être justifiée par le manque d’intérêt des salariés. Un chiffre stupéfiant de 64 % des personnes interrogées par Recherche CybSafe ont demandé du temps pour intégrer des séances de sensibilisation à la sécurité dans leur horaire de travail. De plus, 43 % des salariés considèrent que l’engagement et l’interactivité sont des stimuli plus convaincants que les récompenses financières, exprimant ainsi un besoin d’expériences dynamiques et pratiques. Comme le dit CybSafe, « cela indique une main-d’œuvre qui valorise l’intégration de la formation dans sa routine plutôt que les récompenses extrinsèques ».
Le temps est la ressource la plus cruciale pour l’apprentissage de la cybersécurité. On s’attend souvent à ce que les employés respectent les conditions de livraison dans de courts délais. Dans un environnement de travail au rythme rapide, sauter une longue formation et accomplir des tâches quotidiennes pour atteindre les KPI est tout simplement plus facile.
Mais il existe des professionnels de la cybersécurité qui sont appelés à s’adapter aux méthodes de travail actuelles et à une capacité d’attention réduite. Cybersécurité est un cours de cybersécurité conçu pour fournir les bases de la sécurité en seulement 1 minute et 30 secondes. Au lieu des longues vidéos et présentations habituelles, Cybersecuritoons couvre quatre sujets majeurs dans 4 courts dessins animés : les mots de passe, le phishing, le travail à distance et les logiciels malveillants. Au total, l’ensemble du cours dure 6 minutes.
Les créateurs de Cybersecuritoons sont une équipe d’experts de Moonlock, une division de cybersécurité d’une société de développement de logiciels – MacPaw. « La mission de Moonlock est de rendre la cybersécurité accessible à tous », déclare Oleg Stukalenko, chef de produit principal chez Moonlock. « Tout d’abord, nous avons intégré notre propre technologie anti-programme malveillant, Moonlock Engine, dans l’un des nettoyeurs macOS les plus populaires de l’App Store : CleanMyMac X. Il comporte un gros bouton qui résout tous les problèmes du système, y compris la suppression des logiciels malveillants. Maintenant, nous lançons un cours court et amusant sur la cybersécurité accessible à tous sur YouTube. »
Moonlock frappe dans le mille en choisissant un contenu court. Les créateurs de contenu ne peuvent plus compter sur toute l’attention des gens, et cela s’applique également aux contenus liés à la cybersécurité. Avec des horaires de travail chargés, une formation succincte suivie de pratiques pertinentes et de sessions interactives est un moyen préférable et plus efficace de parfaire ses connaissances en matière de cybersécurité.
Solution humaine aux erreurs humaines
Le stress, la pression pour respecter les délais et l’épuisement professionnel sont les raisons pour lesquelles les humains commettent des erreurs et se lancent dans des hacks d’ingénierie sociale. Lorsque Tessian a interrogé les travailleurs pour le « Psychologie de l’erreur humaine » rapport, 50 % des personnes interrogées ont déclaré qu’elles étaient sous pression en raison du manque de temps lorsqu’elles envoyaient le mauvais e-mail à la mauvaise personne ou avec la mauvaise pièce jointe.
Les services de sécurité peuvent installer la technologie la plus avancée dans plusieurs lignes de défense, mais un seul clic effectué par un humain peut rendre tous les outils et pare-feu redondants. Quelle que soit sa forme, la formation de sensibilisation est un doux rappel d’une routine quotidienne qui pourrait éviter à nos organisations des millions de dollars en perte financière et en termes de réputation. IBM Security indique qu’il y a une différence de 1,5 million de dollars, soit 33,9 %, dans le coût des violations de données entre les entreprises ayant une forte et une faible adoption de formations de sensibilisation à la sécurité sur le lieu de travail.
La réalité est que nous devons apprendre aux employés à devenir de meilleurs gardiens des technologies de sécurité de l’entreprise. Ensemble, nous disposons des outils nécessaires pour créer la dimension humaine de la résilience contre les cyberattaques et avoir un impact direct sur la formation de processus de sécurité dès la conception au sein de nos organisations. Les statistiques montrent sans pitié que la plupart des attaques peuvent être contrecarrées en adhérant à des pratiques de sécurité minimales. C’est pourquoi nous verrons prochainement davantage de contenus comme Cybersecuritoons : courts, conçus pour différents niveaux d’expertise en sécurité et accessibles. En effet, le marché de la formation en cybersécurité devrait pour atteindre 10 milliards de dollars d’ici 2026. C’est loin d’environ 1 milliard de dollars de revenus annuels en 2014.
Comment le feedback transforme la formation de sensibilisation
Comme pour toute approche centrée sur l’humain, la construction d’un pare-feu humain doit tenir compte du fait que les humains sont différents. Cela permet aux équipes de sécurité de revoir en permanence leur stratégie de formation à la sensibilisation à la sécurité. Ils passent de l’éducation formelle à l’équipement de leurs collègues avec des outils pour aider les professionnels de la sécurité en cas de cyberattaque.
À MacPaw, une société de développement de logiciels qui héberge Moonlock et Cybersecuritoons, est convaincue que la sécurité de l’organisation repose sur l’ensemble de l’équipe. Artem Bovtiukh, ingénieur en sécurité informatique chez MacPaw, affirme que même si l’objectif principal des formations de sensibilisation régulières est de rappeler les principes fondamentaux de l’hygiène de sécurité, le plus important est de cultiver une culture de sécurité par retour d’information dans l’entreprise. « L’efficacité de la formation se voit à travers nos audits internes. Mais le résultat le plus précieux est la manière dont nos collègues prêtent attention aux événements suspects et nous les signalent », explique Artem.
Les commentaires aident également l’équipe de sécurité à façonner la prestation de la formation. Artem souligne que tout le monde peut s’adresser à eux avec des questions, des soupçons et des opinions sur les questions quotidiennes de cybersécurité. Tous ces éléments seront pris en compte lors de la composition du contenu de la formation suivante des employés. « Notre expérience montre que la meilleure incitation à terminer les sessions de sécurité ne réside pas dans le moment où elles sont terminées ou dans le simple fait de les terminer », partage Anastasia Hutorova, spécialiste de l’apprentissage et du développement chez MacPaw. « Nous sommes transparents sur les objectifs de formation, leurs impacts, leur adéquation avec les objectifs commerciaux ou/et les OKR de l’entreprise, et le rôle qu’ils jouent dans le développement professionnel de nos collègues. »
MacPaw encourage toutes les équipes à prendre des jours de congé pour consulter les supports de sensibilisation à la sécurité. Selon la politique, il existe des journées dédiées à la formation que tous les membres de l’équipe peuvent utiliser pour se concentrer sur l’acquisition de nouvelles connaissances, y compris celles en matière de cybersécurité. Revenant au manque de temps comme principale raison pour laquelle les employés sautent une formation ou se livrent à des comportements peu sûrs au travail, l’idée d’allouer du temps dédié semble plus que raisonnable.