Pourquoi d'énormes bibliothèques de contenus ne servent à rien pour la cyber-résilience de vos employés
La plupart des plateformes de sensibilisation à la cybersécurité possèdent des bibliothèques de contenu qui rivalisent en taille avec l'Encyclopédie Britannica : tutoriels, articles, jeux et même du contenu vidéo à la Netflix... Les responsables informatiques peuvent simplement choisir une leçon et l'envoyer à leurs collaborateurs. Mais les données prouvent que cette approche ne réduit pas les incidents cyber. Dans ce blog, je vais expliquer pourquoi.
Aux premiers jours, lorsque la société sœur de Phished, Bringme, voulait cultiver la conscience de ses employés face aux menaces cyber, notre entreprise de PropTech s'est associée à une plateforme de sensibilisation cyber bien connue. Mais les dirigeants de Bringme ont rapidement identifié quelques problèmes clés en se fiant à leur immense bibliothèque de contenu :
- Depuis la bibliothèque, le responsable informatique choisissait le contenu à sa seule discrétion, basé sur des événements de sécurité cyber passés. Mais il s'est avéré que ceux-ci n'étaient pas un bon prédicteur des événements qui pourraient se produire à l'avenir.
- Comme il manquait un chemin d'apprentissage global, il n'y avait pas de tests finaux qui sondent adéquatement si les employés avaient vraiment assimilé toutes les informations présentées.
- Les exercices passaient d'un sujet à l'autre et ne proposaient aucun exemple de menaces quotidiennes reconnaissables dans les flux de travail ; encore moins les meilleures pratiques de sécurité sur comment changer de comportement. Comment, alors, les employés pourraient-ils être censés savoir comment mettre en œuvre ces apprentissages ?
Résultat : Le nombre d'événements cyber est resté le même. La seule chose qui a diminué, c'est l'argent en banque.
« Le fait qu'une plateforme de formation mette à disposition une immense bibliothèque de contenu ne signifie pas qu'elle soit efficace. La seule chose qui change le comportement des employés, c'est une plateforme holistique avec des formations adaptées à l'utilisateur. » - Jo Vandebergh, PDG Phished
Lorsque je suis devenu PDG de Phished et que j'ai commencé à parler à des clients potentiels, j'ai entendu cette même histoire d'innombrables fois : les responsables informatiques tentaient d'éduquer les gens sur les menaces cyber, en utilisant le contenu de la gigantesque bibliothèque de leur plateforme de sensibilisation cyber, pour découvrir que ce matériel était beaucoup trop vague pour jamais changer le comportement des gens - permettant aux incidents cyber de continuer à se produire.
C'est pourquoi chez Phished, j'ai introduit une approche complètement différente. Nous avons fondé l'Académie Phishedet conçu un parcours de formation clair avec des sessions de formation courtes, présentant des situations de travail réelles ainsi que les meilleures pratiques de sécurité et des politiques faciles à mettre en œuvre dans votre organisation. À la fin de chaque niveau, les connaissances de vos collaborateurs sont testées et récompensées par un certificat. Je suis personnellement impliqué dans ce processus de création, et nous ajustons continuellement nos sessions de formation basées sur les retours des responsables informatiques et des utilisateurs. C'est ainsi que vous changez le comportement humain.
De plus, nous avons créé ces sessions de formation non seulement avec l'aide d'experts en cybersécurité, mais aussi avec des gestionnaires opérationnels chevronnés et des membres d'équipe de différents domaines (juridique, finance, marketing, etc.). Ainsi, vous bénéficiez du meilleur des deux mondes : une formation en cyber-résilience qui adhère aux normes de sécurité les plus récentes et un programme éducatif holistique qui couvre tous les sujets au sein de votre organisation.
Jo Vandebergh
PDG Phished
