Cette année, pour le Mois de la sensibilisation à la cybersécurité, nous revenons à l’essentiel et couvrons les principes fondamentaux d’un programme de sensibilisation à la sécurité, ce qui vous sera utile que vous commenciez tout juste votre parcours de cybersécurité et que vous n’ayez pas de programme de sensibilisation à la sécurité en place, ou que vous cherchiez à améliorer un programme existant.

Qu’est-ce qu’un programme de sensibilisation à la sécurité?

Un programme de sensibilisation à la sécurité est un moyen de protéger votre organisation contre les risques en ligne. Il devrait tenir compte de votre sécurité technologique, de votre sécurité physique et de votre sécurité humaine. Bien que ces 3 composants soient essentiels à un programme de sensibilisation à la cybersécurité bien équilibré, nous nous concentrerons sur la sécurité humaine dans ce billet de blogue.

Sécurité humaine

Les organisations commencent à investir davantage dans la sécurité humaine en formant et en éduquant leurs employés sur le rôle important qu’ils jouent dans la protection de l’organisation. Peu importe les contrôles physiques et technologiques que nous mettons en place, les cybercriminels continueront à cibler les gens d’une manière que la sécurité physique et technologique ne permettra pas de détecter, c’est pourquoi il est si important de permettre à vos employés de contrôler la technologie qu’ils utilisent quotidiennement.

Lorsque vous communiquez le rôle important que jouent les employés dans les efforts de cybersécurité de leur organisation, n’oubliez pas de ne pas utiliser PID, soit la peur, l’incertitude et le doute, dans votre programme de sensibilisation à la sécurité. Bien qu’il soit important de souligner les multiples possibilités d’attaques et les risques associés à la cybersécurité, accabler les employés avec une foule d’information sur des violations potentielles et d’autres statistiques peut causer de la peur et leur faire craindre d’ouvrir le moindre courriel contenant un lien. Au lieu de cela, adoptez une approche qui les fait sentir responsabilisés et confiants dans leur capacité à reconnaître et à signaler les cyberrisques.

Pour permettre à vos employés d’être la meilleure première ligne de défense de votre organisation contre les cybermenaces, nous avons fourni une base de référence pour commencer à mesurer le succès de votre programme de sensibilisation à la sécurité.

Création d’une base de référence pour mesurer le succès

1. Créer un sondage

Créez un sondage avec des questions liées à la contribution d’un employé à la protection de son organisation et concentrez-vous sur ce qu’il pense de la cybersécurité. En analysant ces résultats, vous pourrez mieux comprendre ce que les différents services et employés pensent de la cybersécurité et du rôle qu’ils jouent dans la protection de leur organisation. Vous pouvez utiliser ce sondage pour identifier les lacunes dans la compréhension de la cybersécurité et créer une formation pour combler ces lacunes. Pour mesurer le succès de votre programme, demandez aux employés de répondre à ce sondage sur une base annuelle puis comparez les résultats pour examiner les domaines qui se sont améliorés et ceux qui pourraient nécessiter une attention supplémentaire.

2. Offrir une formation éducative

La formation est un élément clé d’un programme de sensibilisation à la sécurité et ne devrait pas être considérée comme terminée après son achèvement initial. La formation devrait avoir lieu de façon fréquente et régulière afin que la cybersécurité fasse partie intégrante de votre organisation. Intégrez une formation de base sur la cybersécurité dans votre processus d’accueil et continuez à former les employés sur une base régulière à l'aide de courtes sessions pour maintenir l’attention et l’engagement. Envisagez d’offrir une formation cohérente sur les menaces réelles auxquelles votre organisation est confrontée afin que vos employés soient prêts à reconnaître et à signaler les menaces présumées.

3. Envoyer des simulations d’hameçonnage

Après la formation initiale, continuez d'envoyer régulièrement des simulations d’hameçonnage vos employés. Nous recommandons d’envoyer des simulations aux employés sur une base mensuelle afin de mieux suivre les améliorations individuelles, par département et à l’échelle de l’organisation. Un élément important de l’hameçonnage est de récompenser les employés pour la détection et le signalement de l’hameçonnage. Ce peut être aussi simple que de faire un court suivi pour les féliciter d’avoir signalé une tentative d’hameçonnage, de souligner publiquement ce qu’ils ont fait dans votre outil de communication, ou encore de leur donner une autre récompense telle qu’un certificat ou un autre prix. En récompensant les employés qui signalent les tentatives d’hameçonnage, vous les encouragez à continuer d’adopter de bons comportements en ligne.