La personnalité est-elle l’élément manquant de la formation à la sensibilisation à la sécurité?

La personnalité est-elle l’élément manquant de la formation à la sensibilisation à la sécurité?

Si souvent, la formation des employés en matière de cybersécurité donne l’impression que vous apprenez à tout le monde à tirer sur la poignée de la porte, mais il y a toujours ce groupe qui pense que vous voulez vraiment dire pousser. Peu importe combien de fois vous tirez le stress, ils continuent à pousser.

Les employés qui ne semblent pas bien suivre les instructions, en particulier celles relatives à la sécurité, sont celles qui ajoutent un niveau de menace supplémentaire à votre réseau et à vos données. Au fil des ans, des responsables de la sécurité de l’information (RSSI) et de responsables de la sécurité sont presque ravis par la frustration de ne pouvoir transmettre l’importance des bonnes pratiques en matière de cybersécurité à leurs collègues.

Mais que se passe-t-il si nous approchons de la formation à la sensibilisation à la sécurité? Les éducateurs soulignent que chaque personne a son propre style d’apprentissage. Cette attitude devrait également s’infiltrer dans la formation en cybersécurité des employés. Une façon de personnaliser l’éducation à la sécurité consiste à reconnaître et à utiliser les types de personnalité.

L’approche Myers-Briggs de la formation à la sensibilisation à la sécurité

Les erreurs humaines jouent un rôle important dans les violations de données et autres incidents. Les cybercriminels dépendent souvent d’erreurs humaines pour accéder aux actifs de l’entreprise.

Compte tenu à la fois des graves répercussions de la cybercriminalité et du rôle essentiel de l’erreur humaine dans les atteintes à la cybersécurité, il est essentiel d’adopter une approche plus globale de la cybersécurité,

a déclaré un livre blanc d’ESET et de The Myers-Briggs Company,  bien connu pour ses tests de personnalité.

Le rapport complet ne sera publié que début 2020, mais le livre blanc a révélé la corrélation entre certains types d’erreurs liées à la sécurité et certains types de personnalité. Par exemple, les personnes qui préfèrent juger ou ressentir sont plus vulnérables aux attaques d’ingénierie sociale que celles qui préfèrent penser, probablement parce que les penseurs ont tendance à recourir à la logique pour résoudre des problèmes. Cependant, les penseurs peuvent aussi devenir trop confiants dans leurs capacités et sont donc plus susceptibles de faire des erreurs qui augmentent les risques.

Si la formation de sensibilisation à la sécurité prenait en compte les traits de personnalité, les RSSI pourraient modéliser les tests de manière à ce que les types de personnalité les plus susceptibles d’être manipulés mettraient davantage l’accent sur les méthodes d’attaque d’ingénierie sociale, tandis que les personnalités les plus susceptibles de prendre des risques pourraient bénéficier d’une éducation à la sécurité axée sur centrée sur les dangers des comportements à risque. 

Il est possible que les types de personnalité vont au-delà de la formation à la sécurité et soient également utilisés pour renforcer les équipes de sécurité. Alors que, de manière réaliste, les équipes de sécurité vont être constituées sur la base des compétences, des connaissances et des antécédents des personnes choisies, John Hackston de The Myers-Briggs Company a dit dans une conversation par courrier électronique que les traits de personnalité pourraient être utiles pour aider. cette équipe travaille plus efficacement ensemble en renforçant la conscience de soi et la compréhension de ce qui fait vibrer les autres membres de l’équipe.

Nous avons constaté, par exemple, que les équipes qui ont traversé ce processus ont des conflits moins perturbants, voient leurs points de vue de manière plus positive et prennent ainsi de meilleures décisions,

a déclaré Hackston.

Personnalisez un peu plus votre éducation à la sécurité

De l’autre côté de la médaille, tout le monde n’est pas complètement d’accord avec l’idée d’utiliser des personnalités pour améliorer la formation à la sensibilisation à la sécurité. Chris Morales, responsable des analyses de sécurité chez Vectra, a déclaré à SecurityWeek qu’il ne pensait pas que vous pouviez vous connecter en cliquant sur un lien de phishing associé à un certain type de personnalité, car

lorsque le phishing a un succès incroyable, cela signifie que chaque type de personnalité est probablement à risque. 

Il a peut-être raison sur ce point; tout le monde va faire des erreurs, et l’erreur humaine va au-delà de ce qu’un type de personnalité indique. D’autres facteurs expliquent pourquoi une personne qui pourrait exceller un jour dans les pratiques optimales en matière de sécurité pourrait craindre une attaque par ransomware le lendemain. Vous ne pouvez pas ajouter de défis tels que lutter contre un rhume grave ou pleurer la perte d’un être cher dans le cadre d’une éducation à la sécurité; Vous ne pouvez pas non plus demander aux employés d’éviter un ordinateur quand ils ne sont pas au maximum de leurs performances.

Le comportement humain doit être pris en compte pour la formation de sensibilisation à la sécurité. Les personnes sont vulnérables aux bonnes pratiques en matière de cybersécurité. Nous savons cela. Nous savons également que la formation à la sécurité est un échec dans la plupart des entreprises. Pourquoi ne pas explorer en quoi sa personnalité affecte sa capacité à juger certains types de risques et adapter ses programmes d’éducation aux différents traits de sa personnalité? Ce sera sans aucun doute une amélioration par rapport aux approches utilisées aujourd’hui.

À quoi ressemble une bonne cyber-résilience en 2019? Comment savoir si vos outils de cybersécurité fonctionnent réellement?