Bien que de nombreuses entreprises se rendent compte qu’elles doivent dispenser une formation en sécurité informatique, elles ne savent souvent pas par où commencer. Si votre entreprise en fait partie, voici quelques suggestions pour vous aider à démarrer.

Selon une étude menée par Kaspersky Lab et B2B International, les actions d’employés négligents et mal informés sont l’une des principales causes de graves atteintes à la sécurité informatique, devancées par les attaques de logiciels malveillants. Même lorsqu’un incident de sécurité est causé par un logiciel malveillant, les actions des employés sont souvent un facteur qui contribue grandement à leur succès.

Les résultats de cette étude soulignent le besoin de formation en sécurité informatique. Cette formation peut faire la différence entre un passif et un actif de sécurité. Alors que de nombreuses entreprises savent qu’elles devraient former leurs employés, elles ne savent souvent pas à quelle fréquence dispenser la formation, quoi couvrir et comment la rendre efficace.

 

À quelle fréquence

En matière de formation à la sécurité informatique, il est déconseillé d’adopter une approche «une seule fois». Les entreprises doivent au contraire déployer une formation continue, car les cybercriminels changent constamment de tactique et conçoivent de nouvelles cybermenaces continuellement. L’organisme responsable de la loi américaine HIPAA (Health Insurance Portability and Accountability Act) recommande des mises à jour mensuelles de la sécurité en plus d’une formation biannuelle. Selon un sondage de Finn Partners, seulement un quart des employés suivent une formation en cybersécurité au moins une fois par mois.

Bien que la formation continue implique des dépenses, les coûts engendrés par un incident grave de sécurité informatique seraient beaucoup plus élevés. En 2017 seulement, les escroqueries par hameçonnage et compromission par courrier électronique (BEC) ont permis aux entreprises américaines de récupérer 705 millions de dollars.

réfléchissez avant de cliquer programme cybersécurité

Ce qu’il faut inclure

Votre programme de formation doit être adapté aux besoins de votre entreprise. Il devrait couvrir les types spécifiques de risques de sécurité informatique auxquels vos employés pourraient être confrontés au travail. Le programme doit également répondre aux exigences de sécurité attendues des employés. Cela est particulièrement important si votre entreprise doit se conformer à une réglementation industrielle ou gouvernementale telle que la HIPAA ou le règlement général de protection des données (RPGD) de l’Union européenne.

Les sujets généralement abordés dans la formation en sécurité informatique incluent:

  • Le besoin de mots de passe forts et uniques et comment les créer
  • Les différents types de programmes malveillants (par exemple, les logiciels ransomware, les logiciels espions) et leur propagation
  • Sécurité des e-mails, y compris la détection des e-mails de phishing et des arnaques BEC
  • Que doivent faire les employés s’ils reçoivent un courrier électronique suspect ou rencontrent un autre type de problème de sécurité informatique?
  • Comment utiliser Internet en toute sécurité
  • Menaces d’ingénierie sociale
  • Comment utiliser les appareils mobiles en toute sécurité
  • Mesures physiques de sécurité informatique utilisées
  • Règles de sécurité informatique de votre entreprise

Tous les employés – y compris les gestionnaires et les cadres – devraient recevoir une formation de base en sécurité. Certains employés peuvent avoir besoin d’instructions supplémentaires spécifiques à leur travail.

 

Comment rendre la formation plus efficace

La formation à la sécurité informatique sera inutile si vos employés ne s’en souviennent plus. Heureusement, il existe plusieurs façons de rendre votre formation en sécurité informatique plus mémorable et efficace. Pour commencer, vous devriez organiser de courtes séances d’entraînement plutôt que des réunions marathon. Bombarder les employés avec des informations pendant de nombreuses heures entraînera une surcharge d’informations, ce qui signifie qu’ils en oublieront probablement la majeure partie. Assurer une formation continue sur de petites parcelles est un moyen plus efficace d’amener les employés à conserver des informations. De plus, il leur sera plus facile d’intégrer des sessions de formation plus courtes dans leurs horaires de travail.

Inclure des activités pratiques dans les sessions de formation aidera également les employés à se souvenir des informations présentées. Par exemple, en plus de discuter de la manière de détecter les escroqueries par hameçonnage, vous pouvez regrouper les employés en petits groupes, leur remettre des copies des courriels et leur demander de choisir ceux qu’ils considèrent comme des arnaques par hameçonnage.

Un autre moyen d’accroître l’efficacité de votre formation consiste à rendre les informations pertinentes pour les employés sur le plan personnel. Par exemple, un bon moyen d’intéresser les employés à l’utilisation sécurisée d’appareils mobiles appartenant à l’entreprise consiste à commencer par discuter de la manière dont ils peuvent protéger leurs smartphones personnels (par exemple, n’utilisez que des points chauds réputés sûrs et fiables). Une fois qu’ils auront acquis de bonnes habitudes de sécurité dans leur vie personnelle, ils seront plus susceptibles de les pratiquer au travail.

Enfin, une fois que les employés ont terminé leur formation sur un sujet particulier, vous pouvez tester ce qu’ils ont appris. Par exemple, après avoir expliqué comment repérer les e-mails de phishing, vous pouvez envoyer un faux e-mail de phishing contenant un lien suspect. En cliquant sur ce lien, le lien pourrait mener à une page Web sûre indiquant que le courrier électronique de phishing était un exercice de formation à la sécurité informatique. Ce type de test peut renforcer ce que les employés ont appris. Cela peut également aider à déterminer l’efficacité de la formation.

Il est important de faire un suivi avec les employés après le test, en particulier avec les personnes ayant cliqué sur le lien suspect. Cependant, vous ne devriez jamais embarrasser ni réprimander ces employés au cours de cette discussion. Au lieu de cela, vous devriez leur offrir une formation et des ressources supplémentaires.

 

Vos employés sont une partie importante de votre ligne de défense

Éduquer les employés sur la sécurité informatique est important. Avec la formation, ils peuvent renforcer votre ligne de défense contre les cyberattaques plutôt que d’être un maillon faible de celle-ci. Pour ce faire, vous devez développer un programme de formation informatique efficace qui permettra à vos employés d’apprendre ce qu’ils doivent savoir pour assurer la sécurité de votre entreprise.

Apprenez en plus sur notre programme de formation et de sensibilisation à la cybersécurité : Réfléchissez avant de cliquer. Il s’agit d’un programme de formation adapté à la réalité de votre entreprise que nous déployons et gérons pour vous, vous permettant de profiter d’un service clé en main tout en formant et sensibilisant vos employés.


Laisser un commentaire