Pourquoi avons-nous besoin d’une formation de sensibilisation à la cybersécurité? Pour moi, après avoir rédigé notre Cybersecurity Radar Report, la réponse est simple : étant donné qu’il est impossible de prévenir automatiquement toutes les attaques, nous devons intégrer les humains à notre pare-feu. La formation de sensibilisation permet d’atténuer le risque humain lorsque l’on est assis devant un ordinateur.
De mon point de vue, la formation en cybersécurité n’est pas nouvelle, mais elle est toujours extrêmement nécessaire. Les statistiques montrent que 90% du temps, la cause d’une violation n’est pas due à une faiblesse de la technologie, mais à une erreur humaine. La plupart du temps, c’était un facteur humain.
En termes de groupes cibles, nous pouvons d’abord considérer les professionnels de la cybersécurité, qui doivent certifier les systèmes dans les programmes de cybersécurité, ou effectuer des audits. Ensuite, la population plus large, c’est-à-dire vous, moi et tous ceux qui sont assis devant un ordinateur et qui se connectent à Internet. La formation professionnelle en sécurité a tendance à impliquer des cours plus formels et des listes structurées de sujets, mais les organisations nous disent que même avec cela en place, elles sont toujours soumises à des attaques.
Ce besoin pousse de nouvelles formes de formation mixte sur le marché. Le contenu peut être le même, mais la méthodologie et le format de livraison sont différents. Aujourd’hui, il est davantage basé sur des concepts psychologiques, cherchant à modifier le comportement des gens et à le rendre instinctif pendant qu’ils travaillent.
La formation de sensibilisation à la sécurité peut toujours être incluse dans la formation formelle que vous recevez lorsque vous rejoignez une organisation. De plus, il peut travailler à vos côtés. Si vous commettez une erreur de sécurité, un produit peut la capturer sur place et vous envoyer une formation “juste à temps”, pour attirer votre attention, un rappel “vous ne devriez pas faire cela”, etc. Ce ne sera pas simplement une réaction de un logiciel qui vous bloque, mais une capsule d’entraînement de 3 ou 5 minutes. Une fois que vous avez terminé, le système continue de surveiller votre comportement et chaque fois que cela est nécessaire, peut répéter l’entraînement pour vous pousser sur ce domaine, afin que vous développiez les bons réflexes.
Le but n’est pas la perfection. Par exemple, considérez quand un utilisateur final occupé reçoit un appel. Cela pourrait sembler provenir d’une société d’ingénierie, où c’est en fait quelqu’un qui essaie de les tromper. L’idée derrière la formation de sensibilisation n’est pas d’atteindre 100% de réussite dans de telles attaques de phishing, mais de changer les réflexes de chacun. Si je vois un email avec un lien, mon réflexe doit être de pas Clique sur le lien. Il y a une grande différence entre 70 % de réussite et 30 %.
Pour y parvenir, les fournisseurs doivent offrir aux organisations le moyen le plus approprié de diffuser du contenu de sensibilisation afin qu’il corresponde à la psychologie humaine, lorsque les gens sont devant un ordinateur. De plus, cela nécessite une bibliothèque complète en termes de sujets. Cela va au-delà du phishing, par exemple si je branche une clé USB que j’ai trouvée dans la rue, cela crée un autre vecteur d’attaque.
Enfin, pour que la sensibilisation à la cybersécurité réussisse, vous devez obtenir l’adhésion du monde de l’entreprise. Il faut impliquer les gens et les garder motivés. Si un utilisateur a reçu une formation formelle et ne veut pas coopérer davantage, c’est un problème bien plus important !
2023-05-19 12:03:16
1684725967
#Renforcement #parefeu #humain #formation #sensibilisation #sécurité
