Votre programme de sensibilisation à la sécurité ne devrait pas utiliser uniquement un système de conséquences ou de récompenses : il doit intégrer les deux. Comprendre comment mettre en œuvre des conséquences comme des récompenses dans votre programme peut sembler être un exercice d’équilibriste délicat, c’est pourquoi nous décrivons comment utiliser efficacement ces deux éléments ainsi que comment les intégrer facilement à votre programme de sensibilisation à la sécurité existant.

Conséquences

Se faire attraper par une simulation d’hameçonnage ou s’engager dans d’autres cybercomportements à risque est associé à un sentiment de honte, vous devez donc être prudent dans la façon dont les conséquences sont traitées. Les conséquences doivent être utilisées pour créer un changement de comportement instantané. Par exemple, obtenir une notification par courriel automatisée et devoir effectuer une formation de rattrapage lorsqu’une personne clique sur un courriel de simulation d’hameçonnage est une conséquence.

Si vous ne récompensez jamais les employés qui adoptent un bon comportement en ligne et ne distribuez que des conséquences pour les cybercomportements à risque, les employés n’associeront la cybersécurité qu’aux conséquences et celle-ci aura alors une connotation négative pour eux. Pour cette raison, il est important de donner aux employés une chance de se racheter et de les récompenser pour avoir suivi une formation de rattrapage et avoir adopté un comportement cybersûr.

Récompenses

Le renforcement positif ou les récompenses peuvent être utilisés pour créer un changement de comportement à long terme. Les récompenses sont utilisées pour inspirer les employés en renforçant continuellement les bons comportements des employés en matière de cybersécurité afin que ceux-ci soient motivés à signaler les hameçonnages et qu’ils s’impliquent dans votre programme de sensibilisation à la sécurité pour protéger l’organisation.

Une fois qu’un employé a terminé sa formation de rattrapage , il devrait être récompensé pour l’encourager à continuer à adopter un bon comportement en ligne. Contrairement aux conséquences, les récompenses ne doivent pas être utilisées avec parcimonie. Si un employé signale un hameçonnage, termine un cours ou un sondage, ou effectue toute autre action que vous voulez l'encourager à faire à nouveau, le renforcement positif par des récompenses est un excellent moyen de motiver les employés à continuer d’adopter le comportement souhaité.

Dans la section suivante, nous allons expliquer les différentes façons dont vous pouvez récompenser les employés lorsqu’ils adoptent un bon comportement de cybersécurité grâce au renforcement positif.

Types de récompenses

Il existe 2 types de récompenses : intrinsèques et extrinsèques.

Intrinsèque

Les récompenses intrinsèques comprennent les formes de reconnaissance, les points, les scores, les titres, les badges, les certificats ou d’autres récompenses principalement intangibles. Souvent considérées comme des récompenses « pour se sentir bien », celles-ci ont un impact durable sur l’employé et peuvent devenir une partie intégrante de votre programme de sensibilisation à la cybersécurité pour récompenser les bons comportements comme répondre à un sondage, suivre une formation ou signaler une tentative d’hameçonnage.

Extrinsèque

Les récompenses extrinsèques comprennent des cartes-cadeaux, des prix et d’autres récompenses tangibles. Ces récompenses ont un impact à court terme, mais sont un excellent moyen d’augmenter l’engagement initial, et elles peuvent être attribuées pour les mêmes réalisations que les récompenses intrinsèques.

De nombreuses organisations utilisent des récompenses intrinsèques toute l’année et n’utilisent des récompenses extrinsèques qu’une ou deux fois par an pour continuer à stimuler l’engagement. Le Mois de la sensibilisation à la cybersécurité est une excellente occasion d’utiliser des récompenses extrinsèques pour mettre davantage l’accent sur la sécurité dans votre organisation.