Après deux longues années de conférences virtuelles, ce fut une occasion fantastique de voir autant de clients et de collègues lors de la récente conférence NCA sur la formation et la sensibilisation à la sécurité.

Et pendant l’événement, j’ai constaté qu’après toutes ces années, le marché commence à faire évoluer son langage et à voir la valeur dans trois domaines clés.  

Ces trois domaines m’étaient très familiers. Alors que le marché se concentrait sur le langage de la sensibilisation et de la formation, nous parlions de préparation et d’apprentissage, ainsi que de la manière d’avoir un impact sur un véritable changement de comportement.  

Sensibilisation vs préparation

Il existe un certain nombre de raisons pour lesquelles l’idée de sensibilisation ne m’a jamais semblé juste. Tout d’abord, elle représente purement l’apport du responsable de la formation – quelles que soient les actions menées par les formateurs afin de faire prendre conscience aux employés des risques de cybersécurité dans leur manière de travailler. Les responsables de formation mettent en œuvre des techniques et des campagnes de sensibilisation afin d’essayer de démontrer un changement de comportement de la part de leurs employés.  

Une approche plus intelligente a toujours consisté à se concentrer sur l’autre côté de l’équation – le résultat produit par les employés. Si l’entrée est la sensibilisation, la sortie est la préparation. Dans quelle mesure vos employés sont-ils prêts à faire face aux risques actuels de cybersécurité ? Il s’agit d’une définition pratique qui peut être planifiée, mise en œuvre et, surtout, mesurée.  

Divertissement vs apprentissage 

Le prochain changement consiste à passer de l’idée de formation à celle d’apprentissage. On peut l’examiner de la même manière sous l’angle de l’entrée par rapport à la sortie. Au lieu de se concentrer sur ce que les formateurs peuvent fournir, (et pour l’instant la tendance semble être aux vidéos et aux jeux, en s’appuyant sur la gamification et le côté ludique pour essayer de rendre la formation plus attrayante) les formateurs doivent comprendre comment les employés apprennent. Nous ne cherchons pas à divertir nos apprenants, et la plupart du temps, nous ne cherchons même pas à communiquer directement avec eux. Nous cherchons simplement à les aider à apprendre et à adopter de nouveaux comportements en arrière-plan, puis à mesurer le résultat de cet apprentissage en termes de changement de comportement. 

Pour ce faire, nous n’avons pas besoin de techniques de formation à la mode ni de gamification. À la place, nous nous demandons : quels sont les déclencheurs d’apprentissage des employés ? Comment pouvons-nous leur offrir des occasions de s’exercer et de répéter ce qu’ils doivent savoir dans un contexte réel ? Quelles mesures nous aideront à suivre l’évolution de leur comportement dans le temps ?   

Cocher la case vs changement de comportement 

Une approche traditionnelle de la sensibilisation à la cybersécurité consiste en des certifications. Le RSSI l’impose à toute l’entreprise de suivre Cybersecurity 101, puis marque tous les employés comme formés avec succès. Mission accomplie, et la formation à la sensibilisation à la sécurité peut être cochée sur la liste des tâches de l’organisation.  

Cependant, qu’a-t-on réellement accompli ici ? Nous savons tous qu’en matière d’arnaques de phishing et de préparation à la sécurité, il n’existe pas de sécurité totale. Les pirates deviennent de plus en plus persistants, et il existe des milliers de kits automatisés qui tentent en permanence de compromettre les défenses de vos employés en manipulant leur peur, leur confiance ou leur humeur. Le simple fait d’être assis en classe pendant qu’un formateur vous lit une présentation ne vous rend pas prêt. Il en va de même lorsqu’on visionne des vidéos drôles ou sympas. Tout cela ne fait que créer chez vos employés un faux sentiment de sécurité, leur laissant croire qu’ils n’ont pas besoin d’être vigilants, puisqu’ils sont parfaitement préparés et disposent du certificat pour le prouver.  

Il est important de se concentrer sur l’accompagnement des employés afin qu’ils mettent en pratique de nouveaux comportements attendus, en créant une culture d’apprentissage continu plutôt qu’une initiative de case à cocher.  

Il ne s’agit pas pour nous de nous asseoir pour former des employés vierges de tout savoir et de leur transmettre toute notre richesse d’information. Les employés ne sont pas des pages blanches – ils possèdent déjà beaucoup de connaissances. Ce dont ils ont besoin, ce sont d’occasions d’apprendre – la possibilité de pratiquer et de répéter les comportements souhaités. Comme nous savons que l’apprentissage est le plus efficace au moment où le besoin se fait sentir, nous accompagnons les employés avec diverses simulations de phishing qui, lorsqu’elles sont cliquées, offrent à l’utilisateur des moments d’apprentissage courts et exploitables. La répétition aide les employés à créer des généralisations cognitives ainsi que des éléments de connaissance spécifiques et contextuels. Nous pouvons ensuite mesurer la réponse à ces simulations, ce qui nous fournit des données réelles sur le changement de comportement.  

C’était fantastique de voir ces thèmes reconnus et compris par l’industrie lors de la conférence NCA de cette année. J’ai hâte de voir comment ce nouveau niveau de compréhension contribue à un paysage plus efficace, plus résilient et prêt pour les entreprises d’aujourd’hui. 

En savoir plus ici : CybeReady.com 

Contributeur invité : Mike Polatsek, cofondateur et directeur de la sécurité chez CybeReady