Une formation de sensibilisation à la sécurité sans connaissance technique peut laisser les employés dans le noir

Une formation de sensibilisation à la sécurité sans connaissance technique peut laisser les employés dans le noir

La formation à la sensibilisation à la sécurité est un élément nécessaire de tout plan de cybersécurité. C’est aussi généralement l’un des points faibles d’un plan car l’éducation à la sécurité ne tient pas. Les raisons en sont multiples: le programme de formation n’est pas assez attrayant, le cadre pédagogique n’est pas bien défini, ou cela se produit trop rarement ou de manière incohérente. Quelle que soit la raison, l’échec de la sensibilisation à la sécurité entraîne des pannes de cybersécurité. Il n’est pas surprenant que les responsables de la sécurité de l’information (RSSI) et les autres décideurs informatiques recherchent des programmes plus efficaces.

Le problème ne réside peut-être pas dans votre programme de formation, mais plutôt dans le fait que vos employés ne comprennent pas la technologie d’entreprise qu’ils utilisent.

Plus que des clouds moelleux dans le ciel

On s’attend à ce que, parce que nous utilisons tous la technologie, nous comprenons tous la technologie. Pour certains, c’est vrai. Ils aiment se plonger dans les logiciels et le matériel qu’ils utiliseront quotidiennement, leur permettant ainsi de reconnaître plus facilement les dysfonctionnements ou les vulnérabilités. Ces personnes se retrouvent souvent dans les départements informatiques ou de sécurité.

Mais pour la plupart des entreprises, nos interactions avec la technologie ne vont pas au-delà de notre utilisation réelle. Par exemple, chaque personne qui lit cet article utilise l’informatique en cloud. Pourtant, un sondage Lastline de la RSA Conference 2019 a révélé qu’un nombre surprenant d’utilisateurs pensaient que le cloud était «littéralement dans le ciel». Certains répondants ont peut-être eu du plaisir, Il est devenu de plus en plus difficile de souligner l’importance des meilleures pratiques en matière de sécurité dans le cloud quand une partie des utilisateurs ne pense qu’aux objets gonflés de blanc.

Avec l’avènement de la transformation numérique, il devient encore plus important – et urgent – de mettre l’accent sur la sensibilisation aux technologies d’entreprise, ainsi que sur la formation à la sécurité. Au fur et à mesure que l’Internet des objets (IoT) devient omniprésent sur le lieu de travail, nous devons comprendre comment il peut être bénéfique pour l’organisation et accroître les risques pour les réseaux et les données.

Une étude réalisée par le Ponemon Institute et le groupe Santa Fe a révélé qu’il existait un sérieux manque de sensibilisation concernant l’IoT – ce que c’est, où il se trouve sur le réseau, et tout le monde auquel il est connecté. Si vos employés ne peuvent pas identifier ces informations de base, vous êtes sujet à une cyberattaque basée sur l’IoT.

Vos utilisateurs ne peuvent pas sécuriser ce qu’ils ne comprennent pas

La formation à la sensibilisation à la sécurité est censée apprendre aux employés à reconnaître les menaces potentielles et à prévenir ou atténuer les cyber incidents. Mais si vous ne comprenez pas la technologie que vous protégez, il est difficile de mettre cette formation en sécurité en pratique. Cela conduit à des failles dans les meilleures pratiques en matière de cybersécurité, qui peuvent entraîner des violations de données, des attaques par ransomware ou même le partage d’informations d’accès privilégié. En d’autres termes, si vos utilisateurs ne savent pas ce qu’ils protègent, il est extrêmement difficile de le garder en sécurité.

Comprendre la technologie va aussi au-delà des avantages de la sécurité. Lorsqu’un employé connaît la technologie qu’il utilise, sa productivité et son efficacité s’améliorent. Leurs appels à l’assistance devraient diminuer, et comme ils maîtrisent mieux les logiciels et le matériel, ils peuvent non seulement résoudre leurs problèmes, mais aussi trouver de nouveaux raccourcis.

L’ajout d’une partie de sensibilisation aux technologies commerciales à toute formation de sensibilisation à la sécurité toucherait d’une pierre deux coups. Les employés découvriraient à la fois les outils professionnels qu’ils utilisent chaque jour et l’impact des comportements de cybersécurité sur la production de la technologie. Lorsqu’ils verront comment la technologie et la sécurité doivent fonctionner en parallèle, vous vous attendez à ce que les efforts globaux en matière de cybersécurité au sein de l’organisation s’améliorent et que la formation à la sécurité soit plus pertinente. Sur papier, c’est clairement gagnant-gagnant pour tout le monde dans l’organisation.

Surmontez vos problèmes de formation à la sensibilisation à la sécurité

Cependant, dans la pratique, il est difficile d’intégrer le savoir-faire technologique dans la formation à la sensibilisation. La transformation numérique a fait naître des attentes selon lesquelles nous sommes tous au même niveau de compétence ou, à tout le moins, que nous savons que le cloud computing ne signifie pas travailler sur votre ordinateur portable sous la pluie. Et nous avons tous des sentiments personnels différents sur notre compréhension de la technologie. Pour certaines personnes, être appelé Luddite est un signe d’honneur. Pour d’autres, le fait de ne pas être familiarisé avec des technologies spécifiques ou même avec les termes utilisés les fait se sentir ostracisés et réticents à admettre qu’ils ne comprennent pas quelque chose.

Par conséquent, vous ne souhaitez pas minimiser l’aspect technologique de la formation à la sensibilisation à la sécurité, mais vous ne voulez pas non plus présumer que tous les employés possèdent la même base de connaissances. Les RSSI et les décideurs informatiques doivent développer une base de référence pour chaque employé de l’organisation afin de voir ce qu’ils savent et ce dont ils ont besoin. Il peut s’agir d’un élément incorporé directement dans chaque module de formation à la sécurité, comportant des questions directement liées à une technologie spécifique, ou d’un simple questionnaire conçu pour des services spécifiques en fonction des outils qu’ils utilisent et de la manière dont chaque employé sait les utiliser.

L’éducation à la sécurité met l’accent sur les risques inhérents et les comportements humains entourant ces risques. Mais vous ne pouvez pas savoir si votre comportement augmente les risques si vous ne comprenez pas vraiment le fonctionnement de l’application ou du matériel. Les notions élémentaires de base sur ce qu’est le cloud computing et sur la manière dont sa sécurité peut être compromise, ou sur les périphériques qui constituent l’IoT et ce qui fait de l’IoT un problème de sécurité, peuvent largement contribuer à la formation d’un personnel plus soucieux de la sécurité et de la technologie.

Sécurisez votre environnement cloud hybride avec visibilité, contrôle et flexibilité SandBlast Mobile Protect 3.4