Formation de sensibilisation à la sécurité informatique

En termes généraux, on peut considérer que la formation à la sécurité informatique en entreprise consiste à s'assurer que les individus comprennent et suivent certaines pratiques pour contribuer à assurer la sécurité d'une organisation. De ce point de vue, la formation de sensibilisation à la sécurité existe pratiquement depuis toujours, surtout si l'on considère la nécessité de la sécurité dans les applications militaires.

Aujourd'hui, la formation à la sécurité informatique met l'accent sur la sécurité de l'information, et en particulier sur la cybersécurité. Les progrès rapides des technologies de l'information - et les innovations parallèles des cybercriminels - signifient que les employés et autres utilisateurs finaux ont besoin d'une formation régulière et spécifique sur la façon de rester en sécurité en ligne et de protéger leurs informations et celles de leurs employeurs.

Cet article est une introduction à la formation de sensibilisation à la sécurité en entreprise : pourquoi les organisations l'utilisent, comment elle a évolué au fil des ans et comment elle contribue à réduire la menace de cyberattaques et d'autres atteintes à la sécurité. Enfin, nous présenterons quelques outils permettant de créer un programme efficace de sensibilisation à la sécurité.

Pourquoi les entreprises organisent-elles des formations de sensibilisation à la sécurité informatique ?

La formation à la sécurité informatique a un rôle essentiel à jouer dans la réduction des graves menaces de cybersécurité que les attaques de phishing et d'ingénierie sociale font peser sur les utilisateurs finaux. Les principaux sujets de formation comprennent généralement la gestion des mots de passe, la confidentialité, la sécurité des emails et du phishing, la sécurité du web et de l'internet, ainsi que la sécurité physique et la sécurité des bureaux.

La formation de sensibilisation à la sécurité est également un argument commercial, comme l'explique le rapport du groupe Aberdeen intitulé "Security Awareness Training" : Small Investment, Large Reduction in Risk. Les chercheurs ont organisé un atelier avec les responsables de la sécurité des entreprises pour savoir pourquoi ils investissent dans la sensibilisation et la formation à la sécurité. Ils ont constaté que :

  • 91 % utilisent la sensibilisation à la sécurité pour réduire les risques de cybersécurité liés au comportement des utilisateurs
  • 64 % l'utilisent pour modifier le comportement des utilisateurs
  • 61 % l'utilisent pour répondre aux exigences réglementaires
  • 55 % l'utilisent pour se conformer aux politiques internes

L'évolution de la formation à la sécurité informatique

Comme le suggèrent ces statistiques, certaines organisations ont recours à la formation de sensibilisation à la sécurité simplement parce qu'elles doivent, pour se conformer à des exigences externes ou internes. Mais cette formation a également un sens financier, selon le rapport : "un investissement supplémentaire dans la formation de sensibilisation à la sécurité se traduit par une réduction médiane du risque annualisé d'attaques de phishing d'environ 50 %, et un retour sur investissement annuel médian d'environ 5 fois".

L'évolution de la formation de sensibilisation à la sécurité informatique

Si les concepts fondamentaux de la formation de la sensibilisation à la sécurité ne sont pas nouveaux, ils ont atteint le grand public relativement récemment. Le lancement en 2004 du mois national de la sensibilisation à la cybersécurité en est une indication. Cette initiative, lancée par la National Cyber Security Alliance et le ministère américain de la sécurité intérieure, visait à aider les gens à rester plus sûrs et plus sécurisés en ligne, en encourageant des pratiques telles que la mise à jour régulière des logiciels antivirus.

evolution of security awareness training

Depuis lors, le mois annuel de sensibilisation a inspiré des événements similaires dans d'autres pays, a élargi ses thèmes et son contenu, et a attiré une participation accrue des industries et du gouvernement, ainsi que des universités, des organisations à but non lucratif et du grand public.

L'objectif, les méthodes et l'efficacité de la formation de sensibilisation à la sécurité informatique ont connu des changements importants au fil des ans. En 2004, la plupart des programmes étaient motivés par la nécessité de se conformer à la réglementation, c'est-à-dire simplement de satisfaire aux exigences réglementaires. Aujourd'hui, l'accent est mis sur la sensibilisation à la sécurité en tant que moyen de gérer et d'atténuer les risques organisationnels.

En cours de route, les méthodes de formation elles-mêmes ont mûri. En 2004, le paradigme dominant était celui des présentations annuelles, soit sous forme de sessions de formation en personne, soit sous forme de formation longue sur ordinateur. Malheureusement, ces sessions longues et peu fréquentes ne permettent pas une bonne rétention des connaissances. Le passage progressif à des formations courtes et ciblées sur des sujets individuels a représenté une amélioration, mais ces formations étaient encore peu fréquentes, ce qui permet au savoir de se dissiper avec le temps.

Vers 2014, la formation de sensibilisation à la sécurité a commencé à s'orienter vers la formation et l'amélioration continues, dans le cadre desquelles un programme comprend des cycles continus d'évaluation et de formation. Les dernières évolutions ont été les formations "juste à temps" et en contexte, qui permettent de lancer une formation en réponse à un utilisateur final présentant un mauvais comportement en matière de cybersécurité, par exemple une navigation web non sécurisée.

Outils de formation à la sécurité informatique

Aujourd'hui, les professionnels de l'infosec utilisent divers outils pour former les utilisateurs finaux, comme le montre notre rapport sur l'état des lieux en 2019 (Phish™). L'outil dominant - et dont la popularité ne cesse de croître - est la formation de sensibilisation par ordinateur.

  • 79 % utilisent la formation de sensibilisation par ordinateur
  • 68 % utilisent des exercices de simulation de phishing
  • 46 % utilisent des campagnes de sensibilisation (vidéos et affiches)
  • 45 % utilisent la formation de sensibilisation à la sécurité en personne
  • 38 % utilisent des notifications ou des bulletins d'information mensuels

Les programmes de formation bien conçus font souvent appel à plusieurs de ces outils. Il est tout aussi important de déployer ces outils d'une manière systématique et méthodique qui vous permette de suivre et de mesurer les progrès dans le temps.

Nos solutions de formation très efficaces utilisent notre méthodologie de formation continue, conçue avec les principes de la science de l'apprentissage pour engager l'apprenant et changer son comportement.

L'efficacité de la façon dont nous utilisons les principes de la science de l'apprentissage a été démontrée par des recherches effectuées à l'université Carnegie Mellon.

Tools for Training End Users

The way we employ Learning Science Principles was proven to be effective through research performed at Carnegie Mellon University.

Quelle est l'efficacité des formations de sensibilisation à la sécurité informatique ?

Nos propres études de cas et instantanés de résultats ont montré des résultats convaincants :

Création d'un programme de formation de sensibilisation à la sécurité

Nous proposons une gamme complète de produits pour votre programme de sensibilisation et de formation à la sécurité : des évaluations des connaissances et des simulations de phishing à la formation interactive, en passant par des rapports puissants et des tableaux de bord faciles à utiliser.

Suite de formation anti-phishing

Anti-Phishing Training Suite

Nos clients ont utilisé notre suite de formation anti-phishing et notre méthodologie de formation continue pour réduire jusqu'à 90 % les attaques de phishing et les infections par des malwares. Faites de notre approche unique, en quatre étapes, Évaluer, Éduquer, Renforcer, Mesurer, la base de votre programme de formation de sensibilisation au phishing.

Simulation d'attaques de phishing

Simulated Phishing Attacks

Évaluez rapidement et efficacement la vulnérabilité de vos employés au phishing et aux attaques de type "spear phishing" grâce à nos simulations de phishing ThreatSim®. Les utilisateurs finaux qui tombent sous le charme des simulations de phishing se voient automatiquement proposer un moment d'apprentissage. Ce conseil "juste à temps" permet aux utilisateurs de savoir ce qu'ils ont fait de mal et leur offre des conseils pour les aider à éviter les menaces futures.

Formation de sensibilisation à la sécurité informatique

Formation de sensibilisation à la sécurité informatique

Nous recommandons que votre programme de sensibilisation à la sécurité comprenne une formation au phishing à l'échelle de l'organisation ainsi qu'une formation ciblée contre le phishing. Notre approche unique et nos modules de formation interactifs vous aident à dispenser une formation efficace en matière de cybersécurité dans un format flexible et à la demande qui minimise la perturbation des routines de travail quotidiennes.

Outil de notification par courrier électronique PhishAlarm

Outil de reporting mail PhishAlarm

Le renforcement des meilleures pratiques est essentiel pour améliorer la rétention. Notre outil de signalement par courriel PhishAlarm® permet aux utilisateurs finaux de signaler un courriel suspect de phishing en un seul clic de souris, ce qui renforce les comportements positifs. Notre outil optionnel de priorisation des e-mails PhishAlarm Analyzer maximise les capacités de PhishAlarm et rationalise les efforts de réponse et de correction des e-mails signalés.