Alors que le mois de sensibilisation à la cybersécurité touche à sa fin, soyons réalistes : la formation de sensibilisation des employés est coûteuse et prend du temps.
En réponse, rencontrez Rajiv Gupta, chef adjoint du gouvernement Centre canadien pour la cybersécurité.
« La prévention est définitivement la clé » de la cyberdéfense, affirme-t-il. « Former vos employés dès le départ est bien plus rentable que les conséquences d’une cyber-compromission. »
Les ransomwares, pour ne citer qu’un exemple, « sont incroyablement coûteux et pénibles à vivre.
“De nombreuses organisations s’en rendent compte après avoir subi l’incident.”
Ce n’est pas qu’il y ait un manque de ressources gratuites pour créer un programme de sensibilisation. De nombreux fournisseurs de logiciels et de matériel les proposent, le National Institute for Standards in Technology (NIST) des États-Unis en possède un et le Cyber Center aussi. Pour le contenu, voir le rapport du gouvernement Obtenez le site Cyber Safe.
Vous pouvez demander conseil au centre et trouver de l’aide en ligne parmi les 10 principales actions de sécurité informatique recommandées pour toute organisation. Action numéro six propose des formations sur mesure en cybersécurité aux salariés.
Notez le mot « sur mesure ». La formation doit être adaptée aux employés, explique Gutpta : De nombreuses leçons seront les mêmes dans toute une organisation (par exemple, comment créer un mot de passe sécurisé, comment activer l’authentification multifacteur, comment repérer les indices indiquant qu’un e-mail est suspect).
Mais la formation doit également prendre en compte les différents postes occupés par les employés (par exemple, le personnel d’assistance informatique doit être formé sur la manière appropriée de permettre à un employé de réinitialiser un mot de passe, tandis que les managers ont besoin d’une formation sur la façon d’utiliser en toute sécurité leur ordinateur portable ou leur smartphone. lors d’un voyage à l’étranger).
Malheureusement, reconnaît Gupta, toutes les organisations ne comprennent pas cela.
« Je dirais que certains ont des programmes de sensibilisation. Leur qualité varie considérablement – d’inexistante à naissante et à maturité. Ceux qui sont matures se trouveront probablement dans de grandes organisations dotées de programmes bien financés. Certaines entreprises canadiennes associent les incitatifs des dirigeants à la performance du personnel aux tests de sensibilisation.
Quant aux petites organisations, elles doivent comprendre que « même un peu de sensibilisation contribue grandement à prévenir les menaces ».
La première étape pour élaborer un bon programme de sensibilisation consiste à comprendre la menace qui pèse sur le secteur d’une organisation, a déclaré Gupta, et, dans certains cas, sur l’entreprise individuelle. Pour vous aider, le Cyber Centre publie Évaluations nationales des menaces.
« Malheureusement, ce n’est que lorsqu’elles sont touchées par la cybercriminalité que de nombreuses organisations comprennent vraiment à quel point la cybercriminalité est grave », a-t-il déclaré. « La première étape pour l’organisation consiste donc à examiner les pires scénarios et à comprendre ce qui se passerait si elle était touchée par un ransomware et à comprendre quelle est la menace. C’est à ce moment-là qu’ils commencent à comprendre la valeur de la formation et à créer cette culture de cybersécurité.
Deuxièmement, créez des politiques et des procédures de cybersécurité que le personnel doit suivre.
Troisièmement, décidez du type de programme de formation qui conviendra à votre entreprise. Il devrait contenir ces éléments :
— ce que le personnel doit apprendre sur la base des politiques et procédures établies. Par exemple, chaque organisation devrait avoir une politique sur la longueur des mots de passe et la fréquence à laquelle les mots de passe doivent être modifiés, si les ordinateurs de l’entreprise peuvent être utilisés pour des achats personnels en ligne, etc. ;
— ce que le personnel doit apprendre en fonction des erreurs qu’il commet. Il est utile de disposer de mesures, éventuellement compilées par le personnel informatique (par exemple, combien d’employés ont des mots de passe dangereux, à quelle fréquence le personnel demande la réinitialisation de son mot de passe, à quelle fréquence le personnel clique sur des liens malveillants) ;
— des formations adaptées aux différents rôles des collaborateurs. Par exemple, il faudra rappeler au personnel informatique les règles de réinitialisation des mots de passe du personnel, tandis que les managers devront peut-être être formés à l’utilisation de leurs PC et smartphones à l’étranger ;
— des tests réguliers de spear phishing, créés soit par le personnel informatique, soit par un fournisseur tiers ;
— des exercices sur table pour montrer si le personnel est à la hauteur de la réponse aux incidents.
— le style de formation. Il peut inclure de courtes séances à l’heure du déjeuner, des affiches, un portail en ligne, des fenêtres contextuelles régulières et gamification qui donne des points ou des récompenses plus tangibles pour de bonnes performances.
La formation peut être dispensée par du personnel interne, externalisée ou une combinaison des deux.
Une chose que Gupta et tous les experts en formation soulignent est la tenue de mesures de performance pour mesurer si les messages de formation sont transmis.
Enfin, examinez continuellement les politiques, les procédures, les exercices, le plan de réponse aux incidents et la situation des menaces et modifiez-les si nécessaire.
CONTENU ASSOCIÉ : Tirer le meilleur parti de la gamification
La plus grande erreur que commettent les organisations dans leurs programmes de sensibilisation est de supposer que la cybersécurité est un problème informatique, a-t-il déclaré. « C’est un défi qui concerne l’ensemble de l’organisation – nous dirions un défi qui concerne l’ensemble de la société. Vous voulez créer une culture au sein de l’organisation et la récompenser. La cybersécurité ne devrait pas être une chose sérieuse : vous pouvez la gamifier, vous pouvez la rendre intéressante. Il existe différentes manières de récompenser la sensibilisation à la cybersécurité. Nous pensons qu’il faut en faire un élément positif qui contribue à construire une culture positive de la cybersécurité.
« L’autre partie est que la prise de conscience vient d’en haut : comprendre les risques réels pour l’organisation, la gravité d’une cyber-compromission et investir de manière appropriée dans les programmes qui aident à prévenir une compromission – car il est plus facile de prévenir une compromission que de s’en remettre. »
#Mois #sensibilisation #cybersécurité #formation #personnel #est #bien #rentable #subir #cybercompromis
2023-10-30 13:37:29
