Forgetting Curve
28 octobre 2022 / Principes de base

La sensibilisation à la cybersécurité classique laisse la porte ouverte aux pirates informatiques

La formation à la cybersécurité n'est efficace que si les employés peuvent s'en souvenir. Malheureusement, c'est rarement, voire jamais, le cas dans la pratique. Le psychologue du XIXe siècle Hermann Ebbinghaus peut encore expliquer, 150 ans plus tard, pourquoi vos employés laisseront entrer les pirates informatiques s'ils ne sont pas structurellement formés.


Dans de nombreuses organisations, la formation à la cybersécurité, ou formation à la sensibilisation à la sécurité, retient de temps en temps l'attention. Ils organisent un séminaire en ligne, proposent un programme d'intégration avec des conseils et astuces utiles ou organisent une simulation trimestrielle d'hameçonnage. C'est un début, mais c'est loin d'être suffisant.

La courbe d'oubli

À la fin du XIXe siècle, le psychologue Hermann Ebbinghaus a étudié comment les gens oublient - et donc également comment nous nous souvenons - et a découvert que notre cerveau oublie les informations selon un schéma prévisible. D'une part, cela serait dû au fait que nous attachons plus d'importance aux informations auxquelles nous sommes exposés de manière répétée. D'autre part, nous sommes plus susceptibles de mettre de côté les informations si nous ne les trouvons pas intéressantes. Malheureusement, pour de nombreux employés, la sensibilisation à la sécurité tombe dans cette catégorie inintéressante - alors qu'il est possible de faire autrement !

L'un des principaux enseignements que nous, les experts en sécurité, pouvons tirer des travaux d'Ebbinghaus est que la répétition est cruciale pour une stratégie de formation efficace. Les méthodes traditionnelles de sensibilisation à la sécurité ne suffisent pas, car elles forment de manière incohérente, entrainant l'oubli rapide de toutes les connaissances acquises. Cela peut coûter cher aux entreprises car elles donnent un faux sentiment de sécurité et laissent ainsi l'organisation vulnérable. Imaginez-vous que rien qu'en 2021, 6,9 milliards de dollars ont été volés par la cybercriminalité dans le monde. (Source : FBI, Internet Crime Report, 2021).

Mais alors qu'est-ce qui marche ? 3 étapes simples

1. Périodicité et alternance

Dans la formation à la sensibilisation à la sécurité, "l'apprentissage espacé" est votre meilleur ami. Il s'agit du concept selon lequel on ne devient compétent dans un domaine qu'en le répétant fréquemment, de préférence de différentes manières. Par exemple, bombarder vos utilisateurs exclusivement d'articles soulignant les dangers de leur vie numérique ne sert pas à grand-chose.

D'un autre côté, il n'est pas non plus judicieux d'inonder vos employés de simulations génériques de hameçonnage sans plus. Il serait illusoire d'espérer qu'ils en déduisent eux-mêmes l'importance de leur contribution à la stratégie de cybersécurité de leur organisation. Pour leur inculquer un sentiment d'urgence qui ait l'effet désiré dans la pratique, il faut une approche intégrée.

La stratégie de toute organisation devrait comporter à la fois une partie théorique expliquant les concepts et une partie pratique convertissant ces connaissances acquises en expérience concrète. Ce n'est qu'en reliant activement et directement la théorie à des exemples concrets que les gens apprennent à gérer les dangers numériques en profondeur. Enfin, pour que ce soit totalement efficace, il faut un rafraîchissement régulier : une périodicité où en aucun cas il ne doit s'écouler plus de quelques semaines. Par exemple, Phished met à la disposition des employés une session de formation bimensuelle, avec des simulations de hameçonnage automatisées et personnalisées qui mettent les connaissances en pratique.

Adobe Stock 387699262

2. Un contenu pertinent

Cela semble évident, mais dans la pratique, c'est l'un des regrets les plus courants des employés qui doivent suivre une formation à la cybersécurité : ils ne la trouvent pas pertinente pour leur situation. Plus le contenu est abstrait, plus il devient distant. Une formation avec des exemples tirés du mode de vie de vos employés les aidera à comprendre que tout le monde est une cible potentielle des pirates.

Il est important de les prendre par la main et de leur expliquer - si possible de leur montrer - ce qui est en jeu pour eux. Tout commence par l'individu ; ce n'est que lorsqu'il comprendra ce qui est en jeu, qu'il prendra conscience de l'impact que l'erreur d'une personne peut avoir sur toute une organisation. Il ne faut littéralement les "prendre par la main", cela peut être parfaitement automatisé. Par exemple, Phished personnalise le contenu des formations et des simulations en fonction de chaque destinataire. Ainsi, il reçoit une formation pertinente et réaliste qui tient compte de son niveau, de son expérience et de sa fonction.

3. Les interactions mettent en action

Prévoyez beaucoup d'interactions. Donnez le contrôle aux employés et faites en sorte qu'ils puissent avoir un impact important sur l'organisation. Dans de nombreuses entreprises, par exemple, les employés travaillent déjà avec des boutons qui peuvent signaler les simulations de phishing, mais qu'est-ce que cela leur apporte, si ce n'est une étoile de plus à leur palmarès ?

Une véritable interaction signifie qu'il faut leur donner le pouvoir d'arrêter un véritable hameçonnage avant qu'il ne se produise. Cela peut se faire à l'aide d'un simple bouton dans leur boîte mail, mais un bouton qui fait plus que distribuer des étoiles. Par exemple, le bouton "Phished" met immédiatement en quarantaine les courriers électroniques réellement suspects afin que les autres employés ne les voient pas apparaître dans leurs boîtes mails. De plus, cela permet de concrétiser parfaitement la théorie et la pratique qu'ils ont tirées des autres parties de leur formation à la sensibilisation à la sécurité.

Ensemble intégré

Avant tout, il est important de réaliser que chaque aspect de la formation à la cybersécurité est aussi important que le suivant. Il ne sert à rien de choisir et de mettre en œuvre uniquement ce qui plaît au responsable informatique ou ce dont vous pensez que les employés ont besoin.

Ils doivent être formés de manière complète, en prêtant attention à chaque aspect. Les simulations de hameçonnage, la formation, l'activation et l'analyse des données y jouent des rôles équivalents. Investir dans un seul aspect, c'est perdre sur les autres.

Un regard holistique sur les formations à la sécurité

Vous voulez en savoir plus ? Demandez une démo et découvrez comment Phished forme vos employés de manière holistique. En combinant des simulations d’hameçonnage par courriel et par SMS personnalisées et pilotées par l'IA avec des micro-apprentissages à grignoter, des rapports actifs et des renseignements sur les menaces dans un ensemble automatisé, Phished garantit un changement de comportement définitif. Ainsi, vous construisez un pare-feu humain fonctionnel rapidement et efficacement, ce qui rend l'organisation beaucoup plus sûre.