Aller au contenu principal

Donc, vous voulez lancer une formation sur la sensibilisation à la cybersécurité sur votre lieu de travail.

Bonne idée! Les criminels ciblent les entreprises de toutes tailles pour exercer des activités répréhensibles comme la fraude, l’implantation de logiciels malveillants et l’atteinte à la protection des données, entre autres. La sécurité des terminaux, des réseaux, des applications et du nuage est essentielle dans le monde des affaires en 2021, mais la technologie n’est pas suffisante.

Les cadres définis par le Centre canadien pour la cybersécurité (CCC), le NIST et les sociétés de cyberassurance, entre autres, définissent le besoin de formation des utilisateurs, les criminels exploitant non seulement les vulnérabilités technologiques, mais aussi les comportements humains.

En effet, maîtriser les meilleures pratiques de mot de passe ou les signaux d’alarme de l’hameçonnage n’est pas inné. Les gens sont aussi occupés et distraits. Une formation sur la sensibilisation à la cybersécurité est une excellente façon d’apprendre aux employés à reconnaître, à éviter et à signaler les menaces, réduisant ainsi les cyberrisques pour votre entreprise.

Les employés bien formés ne représentent pas seulement la possibilité d’atténuer un cyberrisque. Ils font partie intégrante de la solution.

À qui s’adresse ce guide

Que vous soyez un directeur de la technologie, un spécialiste des TI ou un comptable qui est la personne désignée en matière de TI, ce guide vous aidera à déployer avec succès un programme de formation sur la sensibilisation à la cybersécurité pour votre entreprise.

Les conseils que nous avons inclus sont basés sur ce que nous avons appris auprès des équipes des TI de tous les types d’entreprises du Canada en les aidant à déployer une formation avec notre plateforme de formation sur la sensibilisation à la cybersécurité.


Étape 1 – Convaincre la direction de la nécessité d’une formation, et de l’urgence d’agir

Comme la formation sur la sensibilisation à la cybersécurité devient de plus en plus courante, il ne sera peut-être pas difficile de convaincre les membres de la direction de s’y rallier. Néanmoins, voici quelques astuces utiles qui vous aideront à les pousser dans la bonne direction.

Il est non seulement avantageux pour la haute direction d’approuver un programme de formation, mais aussi de s’engager activement et d’appuyer les changements apportés aux politiques ou aux processus. La formation sur la sensibilisation à la cybersécurité ne consiste pas seulement à suivre quelques cours : il s’agit de bâtir une culture soucieuse de la sécurité. Vous allez avoir besoin d’aide en dehors de l’équipe des TI pour y parvenir!


Expliquez comment vous mesurerez le succès du programme de formation.

Démontrez le rendement du capital investi attendu de la formation en établissant une base de référence et des cibles pour les indicateurs, tels que :

Réduire le temps nécessaire pour gérer des cyberincidents.

Combien de temps d’arrêt votre entreprise a-t-elle connu en raison d’une cyberattaque? Combien de temps et d’argent votre équipe des TI a-t-elle consacré au remplacement d’appareils compromis? Combien de ces incidents auraient pu être évités si les employés avaient reçu une formation?

Améliorer les indicateurs d’hameçonnage.

Si vous prévoyez d’implanter un programme de simulation d’hameçonnage, vous pouvez suivre son efficacité à l’aide d’indicateurs, comme l’amélioration du ratio des utilisateurs qui ont cliqué sur un hameçonnage simulé par rapport à ceux qui l’ont signalé au service des TI.

Améliorer les connaissances et la compréhension des employés.

Parmi vos employés, combien connaissent en toute confiance l’essentiel des politiques et des processus de cybersécurité de votre entreprise? Combien savent même que de telles politiques et de tels processus existent?


Faites le point sur les données dont dispose votre entreprise.

Donnez un aperçu des données sur les clients ou les employés que recueille votre entreprise et de l’incidence qu’une atteinte à la protection des données signifierait pour elle.

Trouvez des articles spécifiques à votre secteur d’activités et à proximité.

Une cyberattaque peut arriver à n’importe quelle entreprise, grande ou petite, et il est facile de trouver un article qui rappelle aux membres de la direction que le risque de cybersécurité est grave et bien réel.

Montrez comment la formation sera conforme aux réglementations et aux cadres du secteur d’activités.

NIST, LPRPDE, certification ISO… référez-vous à tout type de réglementation gouvernementale, d’accords juridiques, d’accréditations ou d’exigences en matière d’assurance qui s’appliquent à votre entreprise et à votre secteur d’activités.

Utilisez des statistiques pour appuyer la mise en œuvre d’un programme de formation.

  • 94 % des logiciels malveillants détectés dans les petites et moyennes entreprises ont été reçus par courriel (Verizon 2019).
  • 1/3 des travailleurs ne pensent que rarement, voire jamais, à la cybersécurité au travail (Tessian, 2020).
  • 96 % des travailleurs des TI ont déclaré que la formation en sécurité était, du moins en partie, assez efficace pour réduire les incidents (ACEI, 2019).

Montrez comment la formation s’inscrit dans la mission et la stratégie globale de cybersécurité de votre entreprise.

Montrez aux membres de la direction comment la formation (ou la composante « humaine ») est une partie essentielle d’une stratégie de cybersécurité moderne. Et bouclez la boucle. Montrez toute l’importance de la cybersécurité pour servir vos clients et assurer la sécurité de vos employés.

Expliquez le type de formation que vous souhaitez mettre en œuvre.

La formation peut prendre de nombreuses formes, des cours formels aux dîners-conférences. Les gens apprennent de différentes manières, c’est pourquoi il est préférable de varier les formats. La formation par simulations d’hameçonnage gagne en popularité dans les milieux de travail. Un rapport de l’ACEI sur la cybersécurité indique que 37 % des entreprises canadiennes ont déclaré y avoir eu recours en 2020, contre à 21 % en 2019.


La formation des employés au moyen de simulations régulières d’hameçonnage devient de plus en plus courante. Ce diagramme montre comment les tests d’hameçonnage automatisés et continus aident les utilisateurs à acquérir la mémoire musculaire nécessaire pour signaler les courriels suspects.


Évitez le jargon de la cybersécurité.

Assurez-vous que votre équipe de direction reste impliquée en vous exprimant clairement et en expliquant les termes au besoin.

Restez positif.

Le ton que vous adoptez doit permettre de responsabiliser et d’encourager les membres de votre équipe à apprendre les meilleures pratiques de cybersécurité, et non pas faire peser sur eux le poids de leur responsabilité.

Étape 2 - Évaluer les options de formation

Quelle est la meilleure méthode de formation sur la sensibilisation à la cybersécurité? La meilleure option pour une entreprise peut ne pas fonctionner pour une autre. Voici quelques options de formation en cybersécurité pour vos employés, et les avantages et les inconvénients de chacune d’elles.


Formation gratuite en ligne sur la cybersécurité.

Il existe de nombreuses vidéos sur les meilleures pratiques en matière de cybersécurité. Mais compter sur des ressources gratuites pour la formation ne permet pas à votre équipe des TI de personnaliser la formation. Les vidéos généralistes n’enseigneront pas à vos utilisateurs quelles sont vos politiques concernant les mots de passe de l’entreprise.

Créer vous-même un programme de formation, en interne.

Créer un programme de formation est à la portée de toutes les entreprises lorsqu’elles en ont le temps et les ressources. Cela permet aux équipes des TI de concevoir un programme entièrement personnalisé. Cependant, concevoir de toutes pièces un programme et en assurer une gestion adéquate exige beaucoup de ressources.

Effectuer une formation ponctuelle avec un consultant.

Ce n’est pas une mauvaise idée, en particulier pour les sujets spécialisés. Mais pensez à ceci : vous souvenez-vous de ce que vous avez mangé pour le dîner lundi dernier? Comment espérer que vos employés se souviennent avec précision d’une notion qu’ils ont vue l’année précédente? Une formation ponctuelle ne suffit pas pour que les employés voient la cybersécurité comme une priorité ou soient informés de l’évolution des menaces.

Effectuer la formation sur une plateforme tierce.

Selon nous, et il s’agit d’un avis totalement impartial, c’est un excellent moyen de faire gagner du temps aux équipes des TI et leur montrer les résultats directs de leur programme.

La formation sur la sensibilisation à la cybersécurité de l’ACEI combine des cours formels et de courte durée avec un renforcement grâce à des simulations automatisées et continues d’hameçonnage. Cela contribue à façonner le comportement des utilisateurs et à instaurer une solide culture de cybersécurité.

Étape 3 – Préparer et lancer la formation

Avant de lancer le programme de formation, il est souhaitable d’examiner les besoins des employés en matière de formation et de déterminer quand et comment vous communiquerez avec eux au sujet du programme de formation. Un peu de préparation permettra d’améliorer les taux de participation des employés et l’efficacité de la formation.


Déterminez qui a besoin de formation.

Espérez-vous déployer la formation auprès de tous les employés? Ou simplement quelques services? Voulez-vous d’abord faire un programme pilote avec un seul service? Y a-t-il d’autres groupes, comme les entrepreneurs ou les stagiaires, qui devraient également être formés?

La plateforme de l’ACEI s’intègre à Azure AD Connect, Office 365 et G Suite, afin de vous permettre de personnaliser facilement la formation et d’afficher les résultats segmentés par service.

Planifiez vos activités de formation.

La formation peut être dispensée de nombreuses façons. Elle peut inclure des cours en ligne, des présentations, des simulations d’hameçonnage et de harponnage, des cours de rattrapage, etc.

Les activités de formation initiale par défaut sur la plateforme de l’ACEI sont les suivantes :  

  1. Les activités de formation initiale par défaut sur la plateforme de l’ACEI sont les suivantes : Quatre cours de base avec des tests de connaissance éclair à la fin, prenant environ 30 minutes pour suivre les quatre.
  2. Un sondage :  Interrogez vos utilisateurs sur leurs attitudes et comportements en matière de cybersécurité, en 5 minutes environ.
  3. Des simulations d’hameçonnage : Une série de simulations aléatoires d’hameçonnage sera envoyée à tous les utilisateurs.

Ces trois activités de formation initiale établissent une cote de cyberrisque de base pour chaque employé, chaque service et l’ensemble de l’entreprise. Cela peut vous aider à choisir le type de formation dont votre entreprise a besoin. Les cotes de cyberrisque augmenteront ou baisseront au fil du temps en fonction des autres activités de formation que vous planifierez tout au long de l’année, telles que les rapports mensuels de simulations d’hameçonnage ou le suivi de cours supplémentaires.


Envisagez-vous un test d’hameçonnage à l’aveugle pour établir une base de votre entreprise?

Vous devriez reconsidérer la question. Les tests à l’aveugle conduisent souvent à un désengagement des employés, avec le sentiment qu’ils ne font pas partie de la solution. Nous vous recommandons de prévenir les employés du lancement des premières campagnes d’hameçonnage et de les mettre au défi de les signaler.


Obtenir un exemple de plan de communication pour le lancement d’une formation

Modèles de courriel d’invitations, idées pour une présentation de lancement, et plus encore.

Créez un plan de communication.

Vous devez vous assurer que les employés comprennent pourquoi la formation est importante, ce qu’elle implique, comment ils peuvent la suivre et quelle en est la date limite. Vous devriez travailler avec d’autres équipes de votre entreprise, comme les communications, les RH et la haute direction, pour planifier un calendrier de communication pour ces messages clés.

Pour vous faire gagner du temps, nous avons mis en place un exemple de plan de communication, de l’annonce initiale de la formation à un rappel de sa date limite. Ce plan comprend également des exemples d’invitations par courriel, ainsi que des idées pour une présentation de lancement, et bien plus encore.


Demandez aux employés de suivre la formation.

Nous souhaiterions tous que les gens soient aussi enthousiastes que vous à l’idée d’être cybersécurisés, mais en réalité, la plupart des gens n’apprécient guère qu’on leur fasse remarquer leurs mauvaises habitudes lors d’une formation.

Le taux de participation des employés sera beaucoup plus élevé s’ils sont motivés et engagés. La plateforme de l’ACEI rend la formation plus ludique, avec des cotes de cyberrisque, des cotes d’engagement et des récompenses. Au-delà des éléments ludiques intégrés, voici quelques conseils pour encourager les employés à suivre la formation.

 

  • Indiquez le temps que vous estimez nécessaire pour terminer la formation. Si les employés savent qu’il leur faudra moins de 30 minutes pour suivre la formation, ils sont plus enclins à le faire.
  • Lancez une compétition amicale pour terminer la formation. Tous les deux ou trois jours, publiez les résultats de la progression des cours par service.
  • Envisagez d’offrir une incitation comme une carte-cadeau au premier service qui aura terminé la formation.
  • Demandez aux employés qui ont terminé leur formation de partager ce qu’ils ont appris et quelle a été leur expérience lors des simulations d’hameçonnage.

  • Indiquez qui a obtenu les trois meilleures cotes de cyberrisque dans l’entreprise et expliquez comment les employés ont obtenu une bonne cote.
  • Partagez de vrais articles sur des incidents et expliquez comment ils auraient pu être évités.
  • Vérification d’achèvement – cette vérification est attendue pour de nombreux types de certifications. En fait, de nombreux contrats avec des fournisseurs requièrent des preuves de cybersécurité. Utilisez la vérification pour le rappeler amicalement aux employés qui sont à la traîne lors d’une conversation individuelle.

Ajoutez une formation sur la sensibilisation à la cybersécurité à votre programme d’accueil des employés.

Alors que vous présentez la formation à l’ensemble du personnel pour le lancement, n’oubliez pas de déployer le même programme lorsque de nouveaux employés se joignent à votre entreprise. Ajoutez-le à la liste des activités d’intégration comme le SIMDUT, la LAPHO ou toute autre activité de formation importante pour votre entreprise.

En fait, bon nombre de nos clients qui n’utilisent pas de systèmes de gestion de l’apprentissage (SGA) téléchargent leur didacticiel sur notre plateforme et l’utilisent pour la vérification de conformité.

Étape 4 – Analyser les résultats et passer à l’action

Lancer un programme de formation sur la cybersécurité est un bel accomplissement, mais votre travail n’est pas terminé, même si tous vos employés ont suivi les activités de la formation initiale.

Une formation continue et une analyse permanente des risques vous aideront à déterminer comment réduire les cyberrisques dans votre entreprise.


Cette capture d’écran porte sur la section Conseiller en matière de risques informatiques de la plateforme de formation sur la sensibilisation envers la cybersécurité de l’ACEI, selon un échantillon de données provenant du sondage initial auprès des employés.

Examinez les résultats du sondage.

Dans la plateforme de l’ACEI, la section Conseiller en matière de risques informatiques identifie les risques en fonction des résultats du sondage. Les résultats vous montrent quels sont les risques les plus critiques, afin que vous puissiez prioriser ceux que vous pourrez atténuer en premier.

Par exemple, si le principal risque identifié est « l’attitude des utilisateurs à l’égard de la réutilisation des mots de passe », les moyens d’atténuer ce risque seraient les suivants : donner un cours spécifique sur les meilleures pratiques en matière de mots de passe, mettre à jour la politique de votre entreprise en matière de mots de passe et déployer un gestionnaire de mots de passe approuvé.


Examinez régulièrement votre tableau de bord.

Le tableau de bord de l’administrateur met au premier plan la cote de cyberrisque globale de votre entreprise, ainsi que son évolution. Filtrez par service ou examinez les cotes de cyberrisque individuelles pour identifier les plus élevées, afin de combler les lacunes et d’améliorer votre cote de cyberrisque globale au fil du temps.

Analysez vos données de référence et produisez un rapport d’indicateurs de réussite.

Vous vous souvenez des indicateurs de réussite que vous aviez définis pour votre programme de formation? Faites le point sur les résultats de la première série d’activités de formation et déterminez votre plan d’action pour réduire les cyberrisques au fil du temps.

Étape 5 – Faire de la cybersécurité une préoccupation de premier plan pour tous

Continuez à réduire les cyberrisques de votre entreprise et maintenez la dynamique de formation tout au long de l’année.


Envoyez des simulations d’hameçonnage et de harponnage.

Nous recommandons d’envoyer des simulations une fois par mois pour que les employés prennent l’habitude de signaler les courriels suspects. La plateforme de l’ACEI enverra des hameçons automatisés une fois par mois (sélectionnés au hasard parmi plus de 100 modèles). Il n’y aura pas deux messages d’hameçonnage identiques envoyés au même moment.

Les administrateurs peuvent également déployer des campagnes de harponnage. Les simulations d’hameçonnage personnalisées et ciblées ont généralement un taux d’échec plus élevé, représentent des scénarios réels de harponnage et offrent une excellente occasion d’apprentissage qui amène les employés à en discuter.  

Évitez que le harponnage ne se retourne contre vous : Tenez compte de ce qui s’est passé récemment dans votre entreprise pour éviter un test d’hameçonnage inopportun. Par exemple, si des licenciements ont eu lieu récemment et que vous envoyez un courriel sur les primes des employés, cela ne sera pas bien perçu. Envoyez par exemple une ébauche de votre courriel aux RH ou aux communications internes pour examen avant de l’envoyer à l’ensemble des employés de votre entreprise. Votre objectif en tant qu’administrateur des TI est d’envoyer des tests d’hameçonnage qui façonnent le comportement des utilisateurs, et non de les irriter.  

Partagez les nouvelles et les incidents liés à la cybersécurité.

De temps à autre, vous pouvez partager des articles qui concernent votre entreprise (par exemple, un article sur un incident qui s’est produit près de chez vous ou dans votre secteur d’activité) et ajouter un commentaire personnel à vos utilisateurs. Cela rappelle aux utilisateurs que les cyberincidents sont réels et que chacun joue un rôle dans la réduction des cyberrisques pour votre entreprise. 

Vous pouvez également partager des articles plus généralistes sur la cybersécurité (vidéos ou rapports) pour qu’elle demeure une préoccupation constante. Par exemple, vous pourriez mentionner les mots de passe les plus populaires de l’année, avec une note disant que si l’un de ces mots de passe vous semble familier… vous devriez le changer dès que possible.

Sur notre plateforme, vous pouvez consulter le fil d’actualité des articles récents et la section « Expositions » pour aborder les expositions réelles des données de l’entreprise et donner aux employés les prochaines étapes pour savoir quoi faire (par exemple, réinitialiser votre mot de passe pour le compte exposé et vous assurer que vous ne réutilisez pas les mots de passe).

Faites le suivi des données et produisez un rapport d’indicateurs de réussite.

Montrez comment la formation, les nouvelles politiques, les processus et les autres mesures que vous avez mises en œuvre ont porté leurs fruits. Suivez votre progression sur les indicateurs de réussite de votre programme de formation sur la sensibilisation à la cybersécurité.

Publiez les statistiques.

Avec les simulations d’hameçonnage en cours, il y aura quelques statistiques concrètes à envoyer aux employés.

Par exemple, si vous avez récemment envoyé un harponnage, vous pouvez envoyer un rapport sur le nombre de personnes qui ont cliqué sur le message et mettre en évidence les signaux d’alerte dans le courriel, afin que vos utilisateurs puissent apprendre à s’en méfier à l’avenir. Vous pouvez également indiquer le nombre de personnes qui l’ont signalé au service des TI et le comparer à celui d’une précédente campagne de harponnage, en conservant un ton positif, indiquant que de plus en plus de personnes prennent l’habitude de signaler les courriels.

Assignez de nouveaux cours.

Les tactiques des cybercriminels évoluant, votre formation doit évoluer aussi. Assignez des cours supplémentaires en fonction des nouveaux cyberrisques que vous considérez comme des menaces pour votre entreprise.

Vous désirez en savoir plus?

Réservez une démonstration pour en apprendre davantage au sujet de la formation sur la sensibilisation à la cybersécurité de l’ACEI.