Choisir la bonne solution de formation à la sensibilisation à la cybersécurité.
Alors que les employés continuent d’adopter un mode travail hybride et que les attaquants commencent à tirer parti de l’IA pour lancer des escroqueries de plus en plus sophistiquées, le choix d’une solution de sensibilisation à la cybersécurité n’est plus une décision que vous pouvez ignorer.
Assurez-vous de faire le bon choix!
Des supports de formation conçus pour changer les comportements
Aujourd’hui, l’apprentissage en ligne est une pratique bien établie au sein des entreprises et de nombreuses aptitudes et compétences sont développées à l’aide de plateformes et de médias numériques. Cependant, il n’est pas rare que les entreprises insistent sur le fait que les médias sont « consommés » dans le cadre d’un processus d’intégration ou de progression de carrière et se concentrent sur les taux de visionnage et les performances des réponses aux questionnaires. Ce sont des KPI importants, mais le sentiment de « mission accomplie » devrait provenir d’un changement de comportement observable parmi les populations ciblées. L’efficacité de la formation nécessite des supports de formation clairement articulés conçus pour maximiser la compréhension et l’assimilation profonde en combinant des mécanismes d’apprentissage cognitifs, inductifs et expérientiels.
Gérer la capacité d’attention
L’un des principes fondamentaux de l’andragogie (la version adulte de la pédagogie) est la gestion minutieuse de la capacité d’attention. Les apprenants adultes ont souvent une durée d’attention très courte, exprimant souvent cela comme « je suis trop occupé ». Par conséquent, il est crucial d’utiliser cette ressource précieuse à bon escient en faisant attention à :
- Limiter la durée du contenu multimédia à un maximum de 6 à 7 minutes.
- Publier des nouveaux contenus à un rythme approprié (par exemple, un sujet par mois).
- Permettre aux utilisateurs de s’arrêter et de reprendre plus tard à partir de la même position.
- Prévenir les faux visionnages en mettant le lecteur multimédia en pause lorsque le focus est perdu.
Le déclencheur émotionnel « ça pourrait m’arriver »
L’utilisation d’un contenu de formation divertissant est un moyen facile de capter l’attention de l’apprenant. Cependant, cette approche peut être contre-productive, créant une distance par rapport à la réalité et faisant en sorte que le récit soit perçu comme fictif ou non pertinent. Les dessins animés sont un excellent exemple de ce phénomène, souvent utilisé par les fournisseurs pour leur rentabilité. Une pratique plus efficace consiste à combiner un contenu qui explique les concepts et la dynamique avec un contenu qui raconte des récits plausibles avec des « accroches » émotionnelles qui favorisent l’autoidentification.
Par exemple, les pratiques de gestion des appareils mobiles peuvent être expliquées pour gérer le chevauchement des utilisations personnelles et professionnelles du même appareil. Compléter cela par des histoires réelles où un tel chevauchement entraîne de graves conséquences peut mieux atteindre les objectifs de sensibilisation.
Système 1
Les termes « Système 1 » et « Système 2 » ont été inventés par le psychologue Daniel Kahneman dans son livre « Thinking, Fast and Slow ». Il décrit deux modes de pensée distincts : le « système 1 » est rapide, instinctif et émotionnel, tandis que le « système 2 » est plus lent, plus délibératif et logique. Par exemple, un maître d’échecs jouant rapidement plusieurs parties simultanément ou un musicien de jazz improvisant sur scène s’appuie principalement sur la pensée du système 1.
Dans le domaine de la cybersécurité, idéalement, le traitement des sollicitations numériques entrantes devrait faire appel au système 1 comme mécanisme de filtrage pour détecter les contenus malveillants. Les utilisateurs doivent développer des réactions automatiques pour reconnaître et répondre aux situations dangereuses. Des programmes de sensibilisation efficaces visent à cultiver ce comportement par la persévérance et le renforcement de la rétroaction.
Routine régulière à long terme
Les programmes de sensibilisation à la cybersécurité sont souvent traités comme un processus ponctuel que les employés doivent suivre et approuver, comme la formation anti-harcèlement sur le lieu de travail par exemple. Bien que cette approche réponde aux exigences de conformité, elle produit rarement des résultats adéquats, en particulier lorsqu’elle est évaluée par des tests de phishing et d’autres évaluations pratiques.
Pour être vraiment efficace, l’hygiène de la cybersécurité doit rester une préoccupation visible et permanente sur le lieu de travail. Cependant, il est crucial d’éviter les répétitions monotones qui peuvent entraîner une surcharge cognitive et un désengagement. Au lieu de cela, les employés doivent être régulièrement exposés à un contenu frais et attrayant qui non seulement renforce les compétences acquises précédemment, mais les initie également aux menaces émergentes et aux nouvelles stratégies défensives.
L’incitation et non la coercition
Certains DSI, RSSI et responsables RH présentent aux employés un « contrat » à signer, décrivant leur obligation de se conformer à un comportement approprié, avec des conséquences implicites en cas de non-conformité. Cette approche peut créer des tensions, car les employés peuvent la percevoir comme un piège qui les positionne comme la « personne à blâmer » en cas de cyberattaque réussie. Cette perception peut déclencher des instincts de protection visant davantage à éviter le licenciement qu’à prévenir les cybermenaces.
Au lieu de cela, les programmes de sensibilisation devraient être conçus et présentés comme un service à l’individu (pas seulement à l’employé) qui améliore sa capacité à éviter d’être victime d’une arnaque professionnelle et personnelle.
Relais d’engagement
L’amélioration de la formation de sensibilisation à la cybersécurité dépend souvent de l’augmentation des niveaux d’engagement, ce qui peut être assez difficile. On observe souvent que seulement 20 à 25 % des utilisateurs participent régulièrement à des initiatives d’apprentissage en ligne. Bien que l’amélioration de la qualité des contenus de formation puisse aider, la répartition de la base d’utilisateurs en petites équipes encadrées par des animateurs d’équipe qui les coache dans un performance de groupe peut constituer une incitation supplémentaire à la participation. Il est essentiel de doter les chefs d’équipe de pratiques, d’outils et de capacités de monitoring conviviaux pour favoriser leur participation soutenue au programme.
Récompense
Le fait même de l’incitation et du soutien mutuels au sein du groupe favorise l’émulation et produit une réaction en chaîne. Reconnaître et récompenser les performances collectives et individuelles crée un niveau de motivation qui va au-delà du divertissement fourni par la gamification. Il est alors important de respecter des règles claires et que l’interface utilisateur de la plateforme fournisse des mécanismes de suivi des progrès et du classement. Un bon signe est que ces règles et mécanismes soient remis en question et contrôlés de près par les parties « perdantes » !
Un contenu localisé avec une adéquation culturelle, pas seulement une traduction
Certaines organisations couvrent plusieurs zones géographiques et cultures, et il n’est pas rare que les contenus conçus pour un segment de population n’atteignent pas les niveaux d’efficacité appropriés en raison des différences culturelles. Lorsqu’on fournit des contenus d’apprentissage à différentes populations cibles, il est important d’adhérer aux codes culturels, mais plus encore si la formation est basée sur l’autoidentification et le sentiment de proximité mentale et émotionnelle. Par exemple, dans certaines cultures, il est plus efficace que la figure enseignante soit d’un certain âge car les personnes « âgées » n’accepteront pas d’apprendre des plus jeunes ! Les illustrations, les symboles ou les allégories, lorsqu’ils sont utilisés dans la narration, peuvent parfois produire des effets inattendus. Par exemple, les références au vin fonctionnent bien en France mais peuvent offenser les populations de traditions musulmanes.
Mesurer les progrès
Dans une approche systémique, il est important de combiner « action » et « évaluation des progrès ». Dans le cas de la formation de sensibilisation, le progrès est synonyme d’un risque moindre et d’une meilleure protection contre les cyberattaques. Des campagnes de phishing régulières, correctement calibrées en difficulté et gérées pour être représentatives des menaces réelles peuvent être l’un des meilleurs indicateurs de progrès.
Les mesures produites doivent refléter :
- L’adhésion des utilisateurs au programme d’apprentissage
- La bonne assimilation et compréhension du contenu
- La probabilité que les individus tombent dans les pièges du phishing
- La probabilité que les utilisateurs reconnaissent et signalent les contenus de phishing
- Le niveau de vigilance maintenu après la formation
Si vous souhaitez dès à présent sensibiliser votre équipe, ou l’ensemble de vos collaborateurs à la cybersécurité, contactez Cyber Guru !