A travers cet article, découvrez comment acculturer vos collaborateurs grâce à un programme de formation pour sensibiliser à la cybersécurité.
Introduction
A l’ère de la révolution numérique, la cybersécurité est devenue un enjeu central pour les organisations de toutes tailles, publiques et privées – il s’agit même du risque premier pour les entreprises en 2023 selon le Baromètre des risques Allianz.
Les risques et menaces liées aux cyberattaques, de plus en plus sophistiquées, peuvent être la cause de dommages importants qu’ils s’agissent de dommages financiers, juridiques ou réputationnels. Et bien que l’aspect technologique soit parfois impliqué dans la réussite de cyberattaques, dans 90% la faille de sécurité provient avant tout d’une erreur humaine, on parle alors de brain hacking.
C’est pour cette raison que la sensibilisation à la cybersécurité pour une maîtrise réelle des bonnes pratiques en cybersécurité s’adressant aux collaborateurs est devenue essentielle pour protéger les organisations des menaces en ligne.
Pourquoi la Formation à la Sensibilisation Cybersécurité est importante ?
Beaucoup d’entreprises sous-estiment l’importance des connaissances de base en matière de cybersécurité. Les conséquences importantes et les impacts financiers en découlant rendent indispensable une formation en sensibilisation des collaborateurs en cybersécurité. Erium vous propose d’ailleurs son Serious Game efficace, ludique et utilisable en ligne permettant d’éviter les erreurs de base pouvant coûter très cher à votre entreprise.
Les conséquences des failles de sécurité informatique
Une cyberattaque réussie peut avoir des retombées désastreuses pour une organisation. Parmi ces conséquences on retrouve la fuite de données confidentielles concernant les clients ou partenaires. Ces pertes peuvent entraîner des litiges d’ordre judiciaire, des pertes financières et une détérioration de l’image de l’entreprise (perte de confiance, baisse de réputation).
En outre, les attaques par ransomware qui utilisent des logiciels malveillants cryptent l’accès aux systèmes informatiques moyennant le paiement d’une rançon. Ces attaques perturbent les opérations quotidiennes et entraînent un arrêt des activités, des pertes de revenus et une baisse de la productivité.
Mais les cyberattaques ne se limitent pas aux violation des données et ransomwares ; elles sont multiples et les cyber attaquants ne cessent de redoubler d’effort pour nuire aux organisations et faire du profit. Parmi les attaques les plus communes, on retrouve également l’usurpation d’identité pour accéder à des données confidentielles et abuser de la confiance des collaborateurs pour commettre des fraudes. Ces attaques causent, elles aussi, des dommages financiers et réputationnels aux entreprises.
Les impacts financiers des attaques cyber
Les cyberattaques ont un coût financier important pour les entreprises, qu’il s’agisse de coûts directs (perte voire arrêt de productivité) ou indirects (remédiation, récupération, réputation, nouvelles mesures de sécurité). En France en 2022, le coût total des cyberattaques est estimé à 2 milliards d’euros et les tentatives de cyberattaques concernent plus de 50% des entreprises.
Que doit contenir un programme de sensibilisation à la Cybersécurité ?
Face aux limites d’une formation en sensibilisation à la cyber sécurité théorique, même efficace, un programme pour aller plus loin est essentiel.
Sensibilisation cyber : s’adapter aux différents secteurs
Un programme de formation en sensibilisation à la cybersécurité efficace doit être concret et permettre d’éviter les attaques habituelles de la vie d’une entreprise : attaques par IA, espionnage, fraude au président.
Pour cela, le contenu du programme doit être pensé en fonction des destinataires, et s’adapter aux risques métiers inhérents à chaque activité.
Par exemple, le secteur industriel sera plus soumis aux risques OT avec des arrêts d’activité, tandis que le secteur bancaire aurait des risques plus importants si le hacker tente de réaliser un effacement de données (wipping) ou un vol de données (data leak).
Sensibilisation cyber : s’adapter aux métiers
Afin d’accompagner au mieux les collaborateurs, des outils pratiques doivent leur être fournis pour toujours savoir comment agir face à une situation de cyberattaque ou de tentative de cyberattaque (grâce à des tests d’évaluation réels et théoriques, des fiches pratiques à mémoriser).
Vous l’avez compris, pour une formation en sensibilisation à la cybersécurité réussie, il faut fournir des angles d’approche et thématiques adaptées au secteur de l’entreprise, ou même aux filiales/branches. Evitez les formations trop généralistes qui nuiront à l’imprégnation et à la mémorisation des bonnes pratiques à adopter au quotidien. Pensez plutôt à dresser des personas selon les risques, et ensuite développer un module d’apprentissage selon ces personas.
Sensibilisation cyber : adapter sa communication
Le choix des canaux de communications et des supports de sensibilisation est également central pour rendre l’apprentissage impactant.
Erium vous recommande une communication multicanale : rédiger des mails de communication internes, mettre en place des affiches dans les locaux avec des messages simples, diffuser des vidéos sur des écrans vidéo dans les locaux, créer des screen-locker (écran de verrouillage) avec des messages de sensibilisation. Une communication multicanale permet d’éviter la lassitude et continue à développer l’intérêt et la vigilance des collaborateurs.
Sensibilisation cyber : engager ses collaborateurs
Enfin, le programme doit être promu par une personne capable de mobiliser les collaborateurs et de développer leur implication.
Un responsable ou un dirigeant en capacité d’être sponsor du projet par exemple (RSSI ou directeur).
Afin d’impliquer au mieux les participants, nous vous recommandons des temps de prises de paroles s’adressant à tous les collaborateurs. L’objectif est simple : rassurer, impliquer, sécuriser.
La plateforme Cyber Investigation propose des scénarios réalistes simulant des situations de vie réelles (phishing, fraude au président, ingénierie sociale). Les collaborateurs ont des challenges avec des enquêtes à résoudre où ils sont mis dans la peau d’un hacker.
Les challenges sont complétés par des vidéos et des fiches réflexes et des quizz qui permettent aux managers des systèmes de sécurité informatique de mesurer leur degré de maturité aux bons gestes cyber et de piloter par la suite les mesures de sécurité à mettre en place.
Sensibilisation cyber : s’adapter aux risques
En ciblant des scénarios par risques, les collaborateurs apprennent à repérer les signes d’une tentative de cyberattaque et à prendre les mesures pour se protéger. Les bonnes pratiques comme l’utilisation d’un gestionnaire de mot de passe sécurisé, le signalement de contenu suspect à un correspondant cyber, le respect des procédures de sécurité, l’utilisation d’une authentification à double facteurs sont alors intégrées.
C’est simple : sensibiliser à la cybersécurité est une évidence, passer à l’action et engager les réflexes est l’objectif réel à atteindre !
Est-ce suffisant de faire une formation pour sensibiliser les collaborateurs ?
Au vu de l’ensemble de ces données, une formation en sensibilisation à la cybersécurité pour protéger les organisations semble essentielle pour se protéger des risques cyber.
Mais avec la révolution numérique et les nouveaux codes et usages, les actions de sensibilisation traditionnelles semblent désuètes. De plus, capter l’attention et maintenir les bons gestes cyber dans la durée chez les collaborateurs est un exercice difficile. Les formations classiques, trop théoriques, sont perçues comme ennuyeuses et leur impact sur le comportement des salariés est limité comme le montre le livre blanc « Sensibilisation cyber : rêve ou réalité ? » effectué par Erium en collaboration avec le Forum des Compétences.
Une sensibilisation interactive, accrocheuse et efficace
Changer l’approche théorique des formations de sensibilisation traditionnelles pour une approche interactive et immersive peut faire la différence. Une plateforme comme Cyber Investigation, permet aux collaborateurs de changer de point de vue en se mettant dans la peau d’un hacker et donc d’intégrer autrement les bonnes pratiques. Une approche ludique et interactive implique davantage les participants et leur permet d’apprendre en s’amusant.
Thomas Fillaud, Responsable Sécurité des Systèmes Informatiques au sein de Mirakl, vous partage son témoignage après avoir utiliser la plateforme dans le cadre du Cybermois 2023.
Comment impliquer les collaborateurs pour avoir des habitudes cyber durables ?
Pour tirer des bénéfices concrets de la sensibilisation à la cybersécurité et passer de la sensibilisation à l’acculturation cyber, il faut réussir à capter et maintenir l’attention des employés de l’organisation.
Pour maximiser la mémorisation des collaborateurs, la learning pyramid nous apprend que la lecture d’un cours théorique permet de retenir jusqu’à 5% des informations quand un entraînement pratique permet d’en retenir près de 75%.
Ce constat pousse à créer un jeu immersif plutôt qu’une simple formation théorique dispensée par un consultant cyber.
Pour impliquer les collaborateurs dans leur sensibilisation en cybersécurité, Erium dans son travail avec le Forum des compétences, a également mis en lumière les points clés permettant un contenu à l’engagement optimal. Ce dernier doit être :
- Humoristique, ludique
- Court
- Concret
- Utile, autant dans la vie professionnelle que personnelle
- Réaliste, avec des mises en situation pratique
- Multimédia
- Récurrent
Les étapes pour commencer à former ses collaborateurs
Pour une formation en sensibilisation à la cybersécurité réussie, il est important de suivre quelques étapes clés.
- Tout d’abord, l’organisation doit évaluer ses besoins en matière de cybersécurité et identifier ses risques. La plateforme Cyber Investigation permet aux responsables de cibler les parcours utilisateurs selon les risques auxquels ces derniers sont le plus susceptibles d’être exposés.
- L’organisation doit ensuite définir des personas (internes et externes) et les différencier selon leurs expositions, leurs comportements et leurs enjeux cyber communs.
- En troisième lieu, l’entreprise doit fixer des objectifs avec des actions adaptées au niveau de maturité de l’utilisateur (exemple : faire connaître les risques cyber en les ciblant spécifiquement et renforcés les réflexes associés).
- Pour finir, l’organisation doit planifier la mise en œuvre de la formation, une formation obligatoire obtient de meilleurs résultats qu’une formation facultative, puis piloter la formation selon les résultats obtenus.
Surveiller la progression, mesurer le niveau de maturité cyber de ses collaborateurs, écouter les retours d’expérience et piloter de nouvelles actions se sensibilisation cyber sont des actions à mettre œuvre pour une véritable acculturation cyber au sein des organisations.
Cyber Investigation – Le Serious Game pour sensibiliser à la cybersécurité puis entrer dans un véritable parcours de formation
Première plateforme d’acculturation cyber, Cyber Investigation est une plateforme interactive et immersive conçue pour sensibiliser les collaborateurs aux bonnes pratiques en matière de cybersécurité.
Son approche gamifiée permet quatre fois plus de mémorisation cyber qu’une formation classique car les collaborateurs passent à l’action et exercent leurs réflexes cyber sur Internet en se mettant dans la peau d’un hacker (par exemple, ils doivent retrouver les identifiants et le mot de passe grâce à des informations disponibles en ligne).
Disponible en 8 langues, Cyber Investigation est adapté à tous les niveaux de maturité cyber et son programme s’adapte aux différents objectifs et risques cyber et est également personnalisable pour les entreprises.
8 risques majeurs sont mesurés (phishing, compromission des accès, fraude au président, fuite des données, ransomware, etc.) et les KPIs permettent d’améliorer la maturité cyber sur le long terme.
Les bénéfices de la plateforme combinée de sensibilisation et d’acculturation cyber sont multiples :
- Une plateforme qui stimule l’énergie collective, avec une compétition positive et un classement par équipe
- Une plateforme qui permet une meilleure mémorisation des réflexes cyber grâce à l’immersion et l’apprentissage par la pratique
- Une sensibilisation à la sécurité adaptée aux différents profils et à leurs rôles au sein de l’organisation
- Une mesure précise du niveau de maturité et de la persistance des réflexes cyber dans le temps (après 1 mois, 6 mois, 2 ans) grâce à des KPIs définis
- Une expérience personnalisable grâce aux kits de communication 100% personnalisable
Réserver une démo
Nous contacterExemple de bonnes pratiques qui sont respectées après la sensibilisation
Éducation et formation des employés sur les bonnes pratiques de sécurité
A la suite d’une formation en sensibilisation à la cybersécurité prolongée par un vrai parcours de formation, les employés doivent avoir compris et mesuré l’importance de connaître et maintenir les bons réflexes cyber dans la durée.
Ils doivent être sensibilisés aux techniques d’ingénierie sociale comme le phishing ou la fraude au président pour détecter les tentatives de cyberattaques. De plus, ils doivent avoir intégré les procédures de sécurité à respecter en cas de tentative d’attaque cyber (réagir, informer son correspondant cyber, ne pas cliquer).
Enfin, ils doivent être formés aux bons gestes cyber quotidiens qui permettent de renforcer la sécurité en ligne : utilisation d’un gestionnaire de mot de passe, authentification à double facteurs, connexion à des réseaux internet sécurisés, séparation des espaces de stockage professionnels et personnels notamment.
La création d’une culture de la cybersécurité au sein des organisations
Passer de la sensibilisation à la cybersécurité à l’acculturation cyber c’est créer une culture cyber solide, capable de prévenir les incidents et de réagir de manière proactive face aux menaces émergentes.
Florent Skrabacz – Président du groupe Erium
Mais créer une culture cyber ne se limite pas à la mise en place des formations de sensibilisation cybersécurité, c’est également encourager la culture du signalement avec la déclaration des incidents de sécurité et comportements suspects sans crainte de sanctions afin de permettre une réponse rapide. Il s’agit aussi de mettre en place une communication interne régulière sur les politiques de sécurité mises en place et leurs évolutions, d’impliquer la direction dans la promotion de la cybersécurité en temps que priorité stratégique ou encore de créer des évènements à fort impact par exemple lors du mois de la cyber.
Questions – réponses utiles
Quel est le prix d’un parcours combiné de sensibilisation et de formation à la cyber sécurité ?
Pour une formation de sensibilisation à la cybersécurité avec la plateforme Cyber Investigation, plusieurs formules d’abonnement sont disponibles, comptez entre 60 et 20 euros par utilisateur et par an.
Combien de temps dure une formation de sensibilisation à la cybersécurité ?
Les abonnements sont conçus pour durer un an mais il n’y a pas de durée limitée dans la sensibilisation à la cybersécurité, l’important c’est qu’à chaque nouvelle personne engagée c’est une formation continue qui se met en place pour contrer les nouvelles menaces émergentes et les nouveaux modes d’attaque en évolution constante.
Quels avantages d’une sensibilisation à la cybersécurité pour les équipes ?
Les bénéfices d’une formation en cybersécurité sont multiples pour les équipes d’une organisation.
- Tout d’abord, avec une meilleure compréhension des menaces et risques liés à la sécurité informatique, les équipes renforcent leur capacité à protéger leur informations et données sensibles, autant dans le cadre professionnel que personnel.
- Ensuite, chaque membre se sent impliqué dans la culture cyber de l’entreprise et prend part à la sécurisation de cette dernière, augmentant de facto son engagement dans l’entreprise de façon plus générale.
- Cyber Investigation qui met en avant une compétition positive inter-équipes renforce les liens et permet d’accroître le goût du challenge au sein de l’entreprise.
- Enfin, l’acculturation cyber permet d’accroître la confiance des clients et partenaires envers les équipes, démontrant leur engagement à protéger l’entreprise et ses données.
Qui organise et monitore la formation ?
La formation est dirigée par les RSSI directement depuis la plateforme à laquelle ils ont accès aux progressions par équipes par risques et depuis laquelle ils peuvent piloter les équipes selon les résultats et mettre en place de nouvelles mesures en matière de cyber.