FORMEZ LES EMPLOYES

ÉTAPE 1

Évaluation de vos besoins

L’évaluation est une première étape essentielle dans le développement de votre programme d’amélioration de la sécurité, et elle s’applique également à la formation à la sensibilisation à la sécurité. Évaluez les principaux risques que vous souhaitez résoudre. Si vous êtes dans un secteur réglementé, vous voudrez inclure des exigences de conformité. Déterminez précisément quelle formation est nécessaire pour répondre à ces exigences.

ÉTAPE 2

Évaluation de votre culture de la sécurité

Une forte culture de la sécurité commence au sommet, ce qui promeut la conviction que la sécurité est le problème et la responsabilité de chacun. Lorsque la culture exprime que la sécurité est l’affaire de tous, le Service Informatique n’est plus seul pour livrer bataille. Pour lancer un programme, nous commençons par évaluer les besoins, et seulement ensuite nous commençons à créer le contenu.

ÉTAPE 3

Évaluation de vos politiques

Toutes les politiques, directives et normes relatives aux employés (utilisateurs) doivent être analysées. Ces politiques doivent être intégrées au contenu de la formation de sensibilisation à un stade ultérieur.

ÉTAPE 4

Identification des groupes cibles impliqués

La simulation d’hameçonnage peut être combinée avec des prestations. Ces prestations aident l’entreprise à mieux évaluer le risque. Voici quelques exemples :

• Conseil d’administration : le Conseil d’administration peut être invité à participer à une formation annuelle de sensibilisation des utilisateurs, afin de l’instruire sur les informations relatives à l’importance de la sécurité de l’information (ainsi que sur le type de formation dispensée à l’utilisateur final).
• Direction : La formation devrait aider l’équipe de Direction à s’acquitter de diverses tâches (autorisations d’accès, classification des données, etc.).
• Personnel technique : comme le personnel technique joue un rôle déterminant dans la sécurisation des actifs informationnels ainsi que dans l’application de la politique et la configuration du système, il est impératif de mettre au point un programme de formation pour sensibiliser l’ensemble du personnel technique aux politiques appropriées, procédures, outils, normes et directives qu’ils doivent suivre. La formation annuelle devrait être complétée par des tests de compréhension ainsi que par une formation continue. Les meilleures pratiques incluent :
  • Un «quiz de diligence raisonnable» qui prouve que l’utilisateur a non seulement suivi la formation, mais également compris les dispositions clés de la politique.
  • Un rappel de sensibilisation mensuel : une fois par mois, un e-mail sera envoyé sur un sujet d’actualité spécifique.
  • Informations de sensibilisation selon les besoins : à mesure que de nouveaux problèmes, vulnérabilités ou politiques se présentent, nous vous enverrons, par une méthode appropriée, des rappels supplémentaires et / ou des annonces de vulnérabilité.
  • Exercices de sensibilisation réguliers  : tout au long de l’année et avant la session de formation annuelle, divers exercices de sensibilisation, tels que des simulations d’hameçonnage, peuvent être menés.
• Formation du client à la sensibilisation : nous pouvons également collaborer avec le personnel du marketing et les développeurs Web pour s’assurer qu’une combinaison adéquate d’informations sur la prévention de l’usurpation d’identité soit distribuée aux clients sous forme de dépliants, d’éléments de page Web et de communiqués publics.

ÉTAPE 5

Développer des partenariats interservices

Il est probable que le programme de sensibilisation soit développé en coopération avec le Service Informatique, ou peut-être avec la Direction des Risques ou la Direction de la Conformité, mais sa mise en œuvre nécessite des partenaires dans d’autres services. Les partenaires pourraient collaborer sur deux besoins essentiels: la réalisation (dans le cas de sessions présentielles) et la diffusion. Le Département des Ressources Humaines pourrait aider à créer des règles rendant la formation obligatoire et suivre la participation. Le Directeur de la Communication ou un professionnel de la communication pourrait être recruté pour diffuser le contenu de la formation. Si la Direction de la Conformité dispose d’un bulletin d’information, il pourrait être utilisé en partenariat pour diffuser du contenu de sensibilisation à la sécurité.

ÉTAPE 6

Développement de contenu

Le contenu doit être adapté au cas particulier de chaque entreprise, ainsi qu’au secteur d’activité dans lequel elle évolue. Le programme doit se concentrer sur les sujets qui aideront les utilisateurs à modifier leurs comportements. Entre les sujets qui s’appliquent à tous les secteurs figurent l’ingénierie sociale, l’hameçonnage et la sécurité des appareils mobiles. Lors du développement du contenu de la formation, nous veillons à présenter des exemples clairs du monde réel et à montrer aux utilisateurs à quoi ressemble une attaque.

ÉTAPE 7

Trouver les bons outils

Les présentations PowerPoint interminables appartiennent au passé, du moins en ce qui concerne la formation à la sensibilisation. Avoir des employés collés sur leur siège pendant 45 minutes, écoutant quelqu’un qui n’arrête pas de parler, n’est pas propice à un auditoire qui retiendra le contenu. Les meilleurs programmes évitent ce problème en utilisant une variété de méthodes de diffusion, allant de la vidéo aux modules en ligne interactifs, ludification, et attaques d’hameçonnage simulées. C’est une bonne idée de dispenser votre formation via différentes méthodes. Les listes de diffusion sont un moyen facile pour envoyer du contenu. Nous fournissons également du contenu sur des sites Web externes ou sur l’intranet.

ÉTAPE 8

Planification et réalisation de la formation

La plupart des entreprises commenceront par un programme de formation annuel. Une formation spécifique pour les nouveaux embauchés est le minimum requis. Un programme de sensibilisation réussi n’est pas une activité ponctuelle, ni à organiser une fois par an. Il a besoin d’un calendrier régulier et continu comprenant différents types d’activités exécutées à des intervalles appropriés – certaines peuvent être mensuelles, d’autres trimestrielles ou bien annuelles. Le contenu doit être varié et adapté aux menaces saisonnières, le cas échéant. Par exemple, il peut s’avérer tentant de cliquer sur une carte virtuelle à l’approche de la Saint-Valentin. Par conséquent, assurez-vous que votre personnel sache reconnaitre les indices suspects.

ÉTAPE 9

Tester l’efficacité de la formation

Lorsque vous mettez en place un nouveau système de sécurité, vous voulez toujours le tester pour vous assurer qu’il fonctionne correctement. Vous devriez envisager la formation de sensibilisation à la sécurité de la même manière. Vous voudrez peut-être inclure des questions pertinentes dans le contenu de votre formation. Terminer chaque section par un test est un bon moyen de savoir si votre personnel a retenu les informations clés. Par exemple, vous pouvez envisager d’envoyer un e-mail d’hameçonnage fictif quelques semaines après votre formation pour savoir qui se fait piéger.

ÉTAPE 10

Suivre et agir en conséquence

Il est important de tester l’impact de votre formation, mais vous souhaitez également savoir qui complète la formation que vous envoyez et le temps consacré à celle-ci. Mesurez ensuite son impact sur les incidents de sécurité réels. Si les personnes ne terminent pas la formation ou échouent aux tests, elles doivent suivre une formation supplémentaire. Des échecs répétés devraient susciter une réunion en tête-à-tête. Si votre programme est vraiment efficace, le nombre d’incidents de sécurité devrait diminuer. Si vous ne voyez pas de corrélation, vous devrez peut-être retravailler votre matériel de formation et affiner votre approche. Lorsque de nouvelles menaces apparaissent, vous devez être prêt à les intégrer et à mettre à jour votre formation en conséquence. Formez correctement votre personnel et munissez-le des connaissances dont il a besoin; seulement alors vous constaterez une amélioration significative de votre cybersécurité globale.