Les huit principales causes de l’échec des programmes de formation à la cybersécurité expliquées par Gianni Baroni, PDG de Cyber Guru, à Cybertech Europe
L’époque actuelle, selon de nombreux experts, est une sorte d’« âge d’or » pour la technologie européenne. Bref, un véritable exploit, malgré les différentes crises sanitaires et géopolitiques. Ou peut-être grâce à elles. Secteurs commerciaux, industriels, gouvernementaux, universitaires : tous sont impliqués dans le nouveau défi de la transformation numérique. Mais les nouvelles opportunités impliquent toujours de nouveaux défis : une augmentation mondiale des cyberattaques, y compris celles contre la chaîne d’approvisionnement, le paiement de rançons en raison d’attaques de type ramsonware, les nombreuses activités de hameçonnage et les tentatives de violation de la vie privée.
C’est ce qui est ressorti de l’événement européen Cybertech, la principale plateforme de réseautage qui organise des événements dans le secteur industriel dans le monde entier et qui a tenu une journée très intense les 10 et 11 mai derniers à Rome. Ce salon a réuni les principaux acteurs du secteur, ainsi que des personnalités du monde de la politique et de l’économie.
Parmi eux, Cyber Guru, l’une des principales références européennes en matière de sensibilisation à la cybersécurité, qui a jusqu’à présent formé environ 250 000 utilisateurs sur les cyberrisques liés au monde numérique et réalisé plus de deux millions de simulations de hameçonnage.
Gianni Baroni, PDG de Cyber Guru, a été l’un des personnages principaux de la journée du 11 mai avec son intervention dans laquelle il a illustré les 8 principales causes de l’échec des projets de sensibilisation à la cybersécurité et ce qu’il faut faire pour ne pas tomber dans des pièges faciles.
1. Manque de soutien de la part du PDG
Autrement dit, il doit être clair pour tous les employés que le PDG est le premier à croire que la transformation des comportements humains est un élément fondamental pour protéger l’entreprise contre les cyberattaques. L’absence de ce soutien se manifeste à la fois au niveau de la communication : ne pas transmettre aux employés le caractère central de la question de la sensibilisation aux cyberrisques et l’importance de la prévention ; et au niveau du manque de suivi. Il est en effet important que les KPI (Key Performance Indicators), c’est-à-dire les mesures qu’une entreprise utilise pour évaluer ses performances dans le temps sur la sensibilisation des employés, ne soient jamais négligées et soient discutées lors des rencontres avec le personnel. Si ce n’est pas le cas, cela peut poser problème car l’entreprise n’a pas conscience que la sensibilisation à la cybersécurité est aujourd’hui une question non négligeable et de la plus haute priorité.
2. Faible implication des utilisateurs
Parcours de formation avec des contenus réduits et peu participatifs qui ont pour effet d’ennuyer le salarié et qui n’atteignent pas leurs objectifs. C’est pourquoi il est essentiel que les plateformes de sensibilisation à la cybersécurité soient : faciles à utiliser, utilisent des technologies et des méthodologies de formation innovantes, reposent sur une localisation précise et une gamification attractive, et présentent enfin des contenus pertinents pour les utilisateurs. En résumé, les contenus doivent être efficaces et motivants.
3. Parcours de formation de courte durée
La modification du comportement des utilisateurs finaux est un processus complexe qui prend du temps à être compris et adopté. La formation sur les cyberrisques ne peut donc pas être rapide et de courte durée. En outre, étant donné que les menaces et les techniques d’attaque sont de plus en plus sophistiquées et en constante évolution, il est nécessaire d’avoir une formation constamment mise à jour qui suit l’évolution des cyberattaques. Ce n’est qu’en connaissant parfaitement l’ennemi et en prévoyant son comportement que l’on peut être sûr de le vaincre.
4. Absence d’analyse concrète des performances
Une chose est sûre : quand on fait un parcours de formation, on ne peut pas s’améliorer si l’on ne mesure pas constamment ce que l’on a appris. Le suivi continu de l’implication des utilisateurs et de leurs changements de comportement tout au long du parcours d’apprentissage est un élément fondamental de la formation. Si cet aspect fait défaut ou n’est pas suivi avec l’attention qu’il mérite, c’est toute la réussite de la formation qui peut en être compromise.
5. Confiance dans le « white phishing »
C’est-à-dire une même simulation pour tous. Envoyer de faux courriels de hameçonnage aux employés et voir s’ils tombent dans le piège est un mode de formation trop grossier, comparé à la complexité du cybermonde. En tout cas, elle ne peut pas être considérée comme complète. Pour augmenter la sensibilisation, il est nécessaire de faire des essais avec des courriels de complexité différente, mais qui soient également différents pour les divers utilisateurs. Une formation anti-hameçonnage qui ne soit pas la même pour tous, mais personnalisée pour chaque employé.
6. S’appuyer sur des activités d’évaluation des risques basées sur des questionnaires
Pour évaluer avec un minimum de précision le niveau de connaissance des cyberrisques d’un employé à travers un questionnaire, il faut préparer un ensemble de 20 à 30 questions. Nous savons tous que les questionnaires de cette longueur ne sont pas particulièrement appréciés par les utilisateurs finaux qui les remplissent alors très souvent en y accordant peu d’attention. Par conséquent, les résultats de ces enquêtes sont en grande partie peu fiables. L’aspect déterminant qui fait la différence dans un parcours de formation est la rapidité de réaction pratique. La capacité à réagir rapidement à une cyberattaque ne se mesure pas par des questions, mais en évaluant les réactions à des stimuli aussi vraisemblables que possible. Une plateforme d’entraînement et de mesure est la bonne réponse à ce besoin.
7. Penser : « Mes employés sont différents »
L’expérience de Cyber Guru, basée sur les parcours de formation de centaines de milliers d’employés, conduit à la conclusion que la grande majorité des utilisateurs finaux, quelle que soit l’organisation pour laquelle ils travaillent et leurs tâches, commettent les mêmes erreurs de base. C’est sur ces erreurs qu’il est nécessaire de travailler. La formation ne doit donc pas être extrêmement personnalisée, ce qui la rendrait d’ailleurs particulièrement coûteuse. Son efficacité dépend surtout de sa précision, de sa capacité à utiliser différents outils, à impliquer les utilisateurs également du point de vue des réactions émotionnelles et, surtout, de son actualisation et de son déroulement continus.
8. Équipe sous-organique
Les équipes de sécurité sont toujours surchargées de travail. C’est la raison pour laquelle la formation est très souvent moins prioritaire que d’autres activités informatiques critiques. Avant d’entreprendre une formation de sensibilisation à la cybersécurité, il est donc essentiel de comprendre clairement les efforts nécessaires pour la gérer. Pour cette raison, il est important de choisir des solutions qui minimisent les coûts de gestion et maximisent l’efficacité des résultats de formation.
En savoir plus sur les parcours de formation de Cyber Guru