Recevez chaque jour toute l'actualité du numérique

x

Sensibilisation Cybersécurité : Validez les compétences, pas les heures de formation.

Publi-Rédactionnel L'augmentation des cyberattaques, la complexification des architectures IT et l'évolution des usages utilisateurs ne facilitent pas la tâche du RSSI. Sensibiliser les hommes et les femmes à la cybersécurité n'est plus une option.  
Twitter Facebook Linkedin Flipboard Email
×

Sensibilisation Cybersécurité : Validez les compétences, pas les heures de formation.
Sensibilisation Cybersécurité : Validez les compétences, pas les heures de formation.

Mais comment évaluer clairement le niveau de maturité SSI de l'entreprise ? Les indicateurs classiques de suivi des campagnes e-learning et de phishing sont nécessaires mais insuffisants pour mesurer précisément le niveau d'exposition de l'entreprise à des « vulnérabilités humaines ». Et s'il était possible de superviser un radar de maturité des compétences SSI à l'échelle de l'entreprise ? Le Custom Learning ou la création de parcours individualisés de sensibilisation constituent un élément de réponse intéressant pour les garants de la sécurité du SI d'une entreprise.

 

Qu'est-ce qu'une campagne de sensibilisation à la cybersécurité?

Le but de toute action de sensibilisation est de transmettre une information utile afin de prévenir certains comportements risqués. Cependant, dans le cas de la cybersécurité, l'information brute peut s'avérer difficilement compréhensible pour des collaborateurs non techniques. Ainsi, une campagne de sensibilisation à la cybersécurité est un objet hybride qui tend naturellement plus vers la formation que la communication.

La formation en ligne, ou e-learning, est la modalité de base pour une entreprise qui souhaite sensibiliser des centaines voire des milliers d'utilisateurs à la cybersécurité.

Comme dans toute approche pédagogique, la carte des thèmes et notions à couvrir est la clé de voute d’un programme de sensibilisation consistant. C'est le rôle d'une équipe pédagogique épaulée d’ingénieurs sécurité que de co-construire cette cartographie des concepts clés à transmettre. La production des contenus doit également respecter les règles de l'art de la pédagogie, comme l’activation, la répétition, l’ancrage des connaissances ou encore les mises en situation.

Mais la sensibilisation ne s'arrête pas là ! Tout aussi essentiel, l'exercice de simulation de phishing est une seconde modalité de sensibilisation à la cybersécurité. C'est un moyen efficace de toucher par l'action, de tester les acquis et le niveau de connaissances avant et après une campagne e-learning. 

Une campagne de faux phishing teste des groupes d'utilisateurs plusieurs fois avec des emails variés. En effet selon le contenu des faux emails d’hameçonnage, les réflexes des utilisateurs seront éprouvés différemment. La simulation de phishing est donc une démarche structurée et répétitive qui ne s'improvise pas. Découvrez notre guide de la simulation de phising ici !

En résumé, une campagne de sensibilisation à la cybersécurité s’articule autour des deux axes complémentaires que sont la formation théorique et pratique. Dans les deux cas la finalité est la même : identifier et corriger les comportements utilisateurs qui font courir un risque à l'entreprise. 

 

Comment mesurer la performance d'une campagne de sensibilisation ?

Avant de répondre à cette question, il est important de comprendre l'objectif d’une campagne de sensibilisation.

Premier cas, la campagne est menée en réponse à une obligation de conformité ou une volonté de certification. Par exemple, la norme ISO 27001 recommande de mettre en œuvre tous les moyens pour former les ressources humaines. En ce sens, l’action de sensibilisation peu impacter directement le bon déroulement de la politique de gestion de la sécurité du SI.

La campagne peut également résulter d’une action de prévention ou de curation à une cyberattaque. Dans tous les cas, intégrer le facteur humain à son analyse de risques semble nécessaire. Pour autant les outils classiques de sensibilisation ont une portée relativement limitée en termes de quantification des risques.

L'indicateur phare d'une campagne de sensibilisatioest le taux de progression global des apprenants. Ce dernier indique que les apprenants ont suivi un certain nombre d'heures de formation sur le volume d'heure total que compte la sensibilisation.

Il est possible de compléter cette mesure avec celles des résultats d'une campagne de phishing. Cette dernière a le mérite de donner des indicateurs de mesure plus précis que le taux de progression e-learning : le taux d'ouverture des différents emails de la campagne, le taux de clic sur les liens malveillants ou encore le taux de soumission des formulaires hebergés sur des landing page piégées. Il est également possible d'analyser les résultats selon les critères de la liste d'envoi (service de l'entreprise, agence géographique etc.). 

Ces mesures sont utiles mais ne donnent pas suffisamment d'information sur l'exposition des apprenants à tel ou tel risques de sécurité informatique. Quid de la sécurisation des connexions de l'utilisateur ou la mobilité professionnelle ? 

En résumé, les approches et indicateurs de mesure de la performance d'une campagne de sensibilisation (phishing ou el-earning) semblent incomplets. Pour protéger un collaborateur des risques réels qui le menacent, il est possible d'aller plus loin. 

 

L'approche par le Custom Learning 

Si l'objectif d'une campagne de sensibilisation est de protéger l'entreprise des cyber risques auxquels sont exposés ses collaborateurs, alors l'évaluation initiale des connaissances est essentielle.

C'est sur cette philosophie que repose le Custom Learning. Une approche personnalisée qui vise à évaluer le niveau de connaissance d'un collaborateur AVANT de lui prescrire une mise à niveau avec une formation sur mesure

Pour mieux comprendre le Custom Learning, voici comment nous avons décidé de l'implémenter dans notre solution e-learning de sensibilisation à la cybersécurité. 

Première étape: Évaluer les connaissances

Chaque apprenant passe un quizz de 30 questions permettant d'évaluer son niveau de connaissances. Le questionnaire embrasse une dizaine de thématiques clés. Le niveau de difficulté des questions varie en fonction des réponses de l'apprenant. À l'issue de ce quizz d'évaluation, un cyberscore est attribué à l'apprenant. 

 

Deuxième étape : Sensibiliser aux véritables enjeux

Sur la base de ce cyberscore, l'apprenant se voit proposer un parcours de sensibilisation. Concrètement, un ensemble de contenus lui sont proposés pour la mise à niveau de ses connaissances. Ainsi, il ne perd plus de temps à visionner des contenus sur des notions qu’il maîtrise déjà. De ce fait, le Custom Learning améliore également le niveau d'engagement des apprenants.

 

Troisième étape : Tester les acquis et progresser

En fin de parcours, l'apprenant repasse un quizz qui doit permettre d'évaluer son niveau de connaissance post sensibilisation. Selon les dernières lacunes identifiées, il sera possible d'attribuer à l'apprenant une dernière séquence de mise à niveau plus ciblée. À ce stade, une campagne de simulation de phishing pourrait également être révélatrice. La sensibilisation ne s'arrête pas pour autant, pour acculturer les nouveaux arrivants et travailler la rétention des connaissances, nous conseillons de mettre en place une routine de sensibilisation annuelle.

Le Custom Learning répond à un enjeu pédagogique d'adaptation des parcours de sensibilisation. En pratique, chaque apprenant possède un cyberscore d'entrée et de sortie de campagne. Ce cyberscore est automatiquement calculé pour dix compétences cyber essentielles.

Le responsable de la campagne de sensibilisation n'intervient dans aucune des trois étapes citées plus haut ; notre solution se charge de calculer les cyberscores et de créer les parcours personnalisés de sensibilisation pour chaque apprenant. 

Consolidé à l'échelle de l'entreprise, le cyberscore devient un radar de maturité des compétences SSI de l'entreprise. Autrement dit, un indicateur clé pour le RSSI qui souhaite apprécier les risques liés aux facteurs humains. Le Custom Learning transforme la manière d'appréhender les campagnes de sensibilisation. 

 

Validez les compétences. Pas les heures formation.

 

Pour en savoir plus sur le Custom Learning, demandez une démo !

 

Contenu proposé par Phosphorea