Académique Documents
Professionnel Documents
Culture Documents
CHAPITRE 1
Les programmes de sensibilisation à la sécurité inculquent aux employés les bonnes pratiques en
matière de sécurité. Ils permettent de changer les comportements pour les rendre plus sécuritaires. Ils
créent une culture de sécurité. Et ils réduisent le nombre d’incidents causés par l’humain.
Dans les sections suivantes, vous verrez pourquoi l’utilisation d’une approche en sensibilisation à la
sécurité centrée sur les personnes est la seule façon de réduire le risque humain, de provoquer un
changement de comportement durable et de bâtir une culture de cybersécurité.
Le Guide de la sensibilisation à la sécurité centrée sur les personnes a été rédigé pour aider les
responsables en sécurité à réduire le risque humain au sein de leur organisation. La stratégie consiste
à appliquer les cinq éléments centrés sur les personnes aux simulations d’hameçonnage (phishing)
et formations en sensibilisation à la sécurité. Nous aborderons chacun de ces éléments en détail et
expliquerons comment ils jouent un rôle clé pour éduquer les utilisateurs, contribuant ainsi à changer les
comportements et à bâtir une culture de sécurité.
CHAPITRE 2
« Ce sont les gens, plus que la technologie ou
Faire face au risque humain les politiques et processus, qui influencent la
sécurité. Le marché de la formation assistée
par ordinateur (FAO) sur la sensibilisation à
Les organisations tentent de faire face au risque humain la sécurité repose sur l’idée qu’à défaut d’un
en utilisant des technologies et des processus de système de cybersécurité parfait, les gens
sécurité, mais ce n’est pas suffisant. La technologie ne jouent un rôle essentiel sur le plan de la sécurité
et de la tolérance au risque globales d’une
peut empêcher quelqu’un de cliquer sur un lien et les
organisation. Ce rôle est défini par des forces
processus peuvent être ignorés. Si elle n’est pas centrée et faiblesses inhérentes chez l’être humain :
sur les personnes, votre stratégie de sécurité repose sur d’une part, la capacité à apprendre et d’autre
un tabouret à deux pattes. part, la vulnérabilité à l’erreur, à l’exploitation et
à la manipulation. Le marché de la formation
sur la sécurité axée sur l’utilisateur est en
Le risque humain nécessite un correctif humain qui a
pleine croissance. La demande provient des
un impact sur les gens, qui modifie le comportement besoins des responsables de la sécurité et de
des employés afin qu’ils soient plus sensibilisés à la la gestion du risque, qui cherchent à améliorer
sécurité et qui engendre un esprit de sécurité dans les les comportements touchant la sécurité des
activités quotidiennes. Un programme de sensibilisation employés, des citoyens et des consommateurs. »
à la sécurité centré sur les personnes tient compte de (Gartner Magic Quadrant for Security Awareness Computer-Based
l’aspect humain et permet de remettre la troisième patte Training, Joanna Huisman, 18 July 2019)
En prenant une approche de sensibilisation à la sécurité centrée sur les personnes, vous entraînez vos
employés à repérer les messages frauduleux et à réagir de la bonne façon s’ils en reçoivent un. Une
approche de sensibilisation à la sécurité centrée sur les personnes informe les employés des raisons
pour lesquelles les technologies et processus de sécurité sont en place et doivent être suivis.
« La sensibilisation à la sécurité
mobilise des gens, des processus et des
technologies – l’art d’un programme de
sécurité réussi est de combiner les trois
dans les bonnes proportions. »
CISO – Entreprise chef de file en télécommunications mobiles
On dit que les gens changent leur comportement lorsque le désagrément causé par le statu quo
surpasse celui créé par le changement. Personne ne souhaite vivre une pénible expérience de violation
de données avant que les employés ne changent leurs comportements. À ce stade, il est trop tard.
Dans la prochaine section, nous aborderons l’approche de sensibilisation à la sécurité centrée sur les
personnes et comment ces cinq éléments interagissent pour changer le comportement des employés
et rendre la culture de l’organisation proactive en matière de sécurité.
CHAPITRE 3
Cinq éléments centrés sur les personnes constituent le fondement de la réussite de la sensibilisation à
la sécurité pour changer le comportement des employés et construire une culture de sécurité.
Voici les cinq facteurs clés qui influencent la qualité du contenu et ultimement l’expérience
d’apprentissage de l’apprenant moderne :
Le contenu
Les fonctions et responsabilités des employés au sein de l’organisation influencent leurs besoins de
formation en sensibilisation à la sécurité. Même si tous les employés doivent suivre des programmes
de formation en sécurité de base, les postes en finance, affaires juridiques, ressources humaines,
développement d’applications, TI et marketing nécessitent des cours de sensibilisation à la sécurité
spécialisés axés sur des problèmes spécifiques liés à leur fonction. Par exemple, les employés en
RH pourraient profiter d’une formation spécialisée sur la gestion des dossiers d’employés tandis que
le besoin des ingénieurs en logiciel se situerait davantage du côté d’une formation supplémentaire
sur la sécurité en développement. En intégrant des modules de formation spécifiques à la fonction,
vous personnalisez le contenu ce qui permet d’accroître la motivation et l’apprentissage. Vous pouvez
également personnaliser le contenu par format – quiz, textes, vidéos, narration, etc. – selon l’évaluation
de la motivation des employés.
Introduire un partenaire vous permet d’accéder à une équipe d’experts qui a les connaissances pour
évaluer et analyser les données et ainsi mesurer et optimiser votre programme de sensibilisation à la
sécurité. Vous n’êtes pas seul!
Meilleures pratiques
• Planifier les campagnes et concevoir les cours à l’aide de l’apprentissage automatisé axé
sur les résultats qui comprend de la formation de base, des microlearnings, des simulations
d’hameçonnage (phishing) et de la formation juste-à-temps.
• Définir une stratégie de sensibilisation sur mesure pour répondre aux besoins des différents
groupes d’apprentissage, c.-à-d. les débutants, les champions, les gens qui cliquent à répétition, etc.
• Identifier les objectifs de sensibilisation à la sécurité qui inciteront vos gestionnaires à approuver et
soutenir votre programme.
• Déterminer les paramètres et les indicateurs clés de performance qui permettront de mesurer
le succès de votre programme et ajuster les objectifs pour soutenir la stratégie et la mission
corporative de votre entreprise.
10 © Terranova Security, 2019. Tous droits réservés.
CONTACTEZ-NOUS
Pour atteindre n’importe quel objectif dans la vie, il peut être utile de suivre une démarche ou une voie
éprouvée. Si l’on souhaite courir un marathon, on ne se présente pas à la ligne de départ sans aucune
préparation. L’entraînement commence longtemps à l’avance et l’on suit un programme – ou une forme
de démarche - qui s’adapte à notre horaire et nous guide dans notre parcours vers le succès.
Il en va de même pour la sensibilisation à la sécurité. Pour efficacement changer le comportement
des employés et construire une culture de sécurité, vous avez besoin d’un programme complet planifié
avec attention en fonction des besoins et objectifs de votre organisation. Pour ce faire, vous pouvez
utiliser une démarche éprouvée – une approche méthodologique en continu qui comprend les cinq
étapes suivantes :
Étape 1 - Analyser
L’étape d’analyse est essentielle dans tout programme de
sensibilisation à la sécurité. Une analyse complète de la
situation vous donnera toute l’information nécessaire pour
construire un plan de sensibilisation à la sécurité avec des
chances solides de réussite. Il est particulièrement clair à l’étape
de l’analyse qu’une approche centrée sur les personnes est la
bonne voie à prendre. Presque toutes les catégories de cette
étape touchent les gens. Que ce soit pour identifier le public
cible ou évaluer la motivation, il est essentiel de se concentrer
sur les personnes – vos employés.
1. Objectifs du programme. Vos objectifs – ce que 2. Conformité. En rassemblant toutes des obligations
vous souhaitez accomplir avec votre programme de conformité de votre organisation, vous serez en
de sensibilisation à la sécurité – doivent être définis mesure de concevoir un programme de formation
afin que vous soyez en mesure de planifier toutes les en sensibilisation complet qui couvrira l’ensemble de
étapes pour les atteindre. Des objectifs clairement vos règlements. Vous serez également en mesure
définis permettront également de recueillir des d’identifier les groupes cibles pour ces sujets et
appuis pour la mise en œuvre du programme qui de déterminer s’ils ont besoin de formation autant
se traduiront par du financement, du temps de la en matière de conformité qu’en sensibilisation à
part des employés et du soutien de la direction. Vos la sécurité.
objectifs peuvent correspondre à l’une des catégories
suivantes : risques et comportements, culture de
sécurité et obligations de conformité.
3. Public cible. La communication fait partie des 4. Étendue (sujets et contenu). Votre public cible ainsi
fondements de tout programme de sensibilisation que vos besoins en matière de conformité vous
à la sécurité. Il est essentiel d’identifier le public aideront à définir l’étendue de votre programme de
cible dont vous souhaitez changer le comportement sensibilisation à la sécurité. Une partie de la formation
puisque c’est avec lui que vous communiquerez. Il est sera commune à tous tandis que d’autres parties
également important de comprendre votre public afin seront spécifiques à certains types d’utilisateurs. Par
de bien définir les sujets et le contenu qui sera abordé exemple, les dirigeants et les gestionnaires pourraient
dans votre programme de sensibilisation à la sécurité. avoir besoin de contenu sur la manipulation sécuritaire
Vous serez mieux équipé pour adapter vos messages d’information sensible ou sur les types d’attaques qui
et moyens de communication et ainsi amplifier les visent spécifiquement. Les employés occupant des
l’impact et l’efficacité de votre programme. Votre fonctions spécialisées, comme les RH, pourraient être
public comprend des dirigeants, des gestionnaires, du intéressés par du contenu qui souligne les meilleures
personnel régulier et du personnel TI. Il sera ensuite pratiques en matière de confidentialité tandis que le
pertinent de segmenter ces employés en fonction de personnel des TI pourrait avoir besoin d’information
groupes spécialisés comme les ingénieurs logiciels, sur les attaques d’ingénierie sociale.
le personnel des ressources humaines ou de la
finance qui pourraient avoir besoin de formations
supplémentaires spécifiques à leur rôle. Il sera
également important de tenir compte des ressources 6. Motivation et culture. La motivation est la clé pour
externes comme les entrepreneurs et les fournisseurs. entraîner un changement de comportement. Vous
devez amener votre public cible à participer et à agir
en fonction des messages et des apprentissages.
Les activités de sensibilisation sont destinées aux
5. Niveau de connaissance. Une fois que vous avez humains. Vous devez tenir compte de leurs besoins
identifié votre public cible et délimité le contenu de et de leur état d’esprit lorsque vous planifiez des
votre programme, la prochaine étape est d’évaluer le activités. La motivation peut être classée selon trois
niveau de connaissance et de compréhension de la catégories : intrinsèque, où les employés participent
sécurité de votre public. De cette façon, vous serez de bonne foi au programme de sensibilisation à la
en mesure de concevoir un programme qui apportera sécurité et appliquent ce qu’ils apprennent parce
des informations nouvelles à vos employés et qui qu’ils comprennent leur rôle dans la protection des
permettra de combler un manque de connaissances actifs informationnels; extrinsèque, où les employés
et encourager le changement de comportement. Vous sont motivés par des facteurs externes, comme
pouvez déterminer l’actuel niveau de connaissance de des récompenses et des exigences, plutôt que de
votre public à l’aide de sondages, de simulations, de ressentir l’engagement et le besoin de façon inhérente;
rapports sur l’analyse et l’évaluation du risque et de et l’amotivation, où les employés ne souhaitent pas
rapports sur l’état de conformité. participer et ne comprennent pas l’impact de leurs
actions. Votre défi est que vos employés qui manquent
de motivation passent à un statut de motivation
7. Ressources de soutien. Lors du choix de vos activités extrinsèque ou intrinsèque. Vous pouvez évaluer la
de sensibilisation, vous devez tenir compte de motivation à l’aide de simples sondages.
votre budget et de vos ressources de soutien. Trois
ressources de soutien clés sont : la haute direction,
qui vous permettra de légitimer votre programme et 8. Mondialisation. Si plus d’une langue est utilisée
d’obtenir le financement nécessaire; les champions en au sein de votre organisation et que vous avez
sensibilisation à la sécurité, ou les employés qui sont des bureaux dans plusieurs pays, vous devez
intrinsèquement motivés et qui agissent comme des évaluer la pertinence d’adapter votre programme
ambassadeurs pour votre programme; et le soutien de sensibilisation à la sécurité pour satisfaire à des
opérationnel, qui provient de différents départements, besoins globaux.
comme les TI ou les RH, pour vous aider à débuter
votre programme de sensibilisation à la sécurité.
9. Coûts (ressources). Avant de commencer la
planification, vous devriez avoir une idée du coût de
votre programme de sensibilisation à la sécurité.
Plusieurs aspects doivent être considérés dans
l’évaluation du coût comme le nombre d’employés (ou
personnes ciblées) et les frais associés au contenu.
Étape 2 – Planifier
Une fois l’analyse et l’évaluation complétées, vous êtes prêt
à planifier votre programme de sensibilisation à la sécurité.
La planification vous permet d’anticiper et d’affronter
les obstacles, de demeurer aligné sur vos objectifs, de
respecter votre échéancier et votre budget et ultimement,
d’augmenter vos chances de succès.
5. Communications. Pour créer votre plan de communication, vous aurez besoin des deux éléments
suivants : une stratégie et un calendrier de communication. Votre stratégie vous permettra
d’identifier un responsable du développement du contenu et du matériel. Elle comprendra
également les messages clés, les langues, les canaux de communication privilégiés ainsi que les
meilleurs moments pour communiquer. Votre calendrier de communication établit l’échéancier de
toutes vos communications pour le programme et les campagnes.
6. Dossier de décision. À un certain moment, probablement assez tôt dans la planification de votre
initiative, vous devrez présenter votre programme de sensibilisation à la sécurité à l’une des équipes
de direction, de gestion de la sécurité ou de sensibilisation à la sécurité. Le dossier de décision
devrait inclure une brève description de l’état de la situation en matière de cybersécurité et du
niveau actuel de sensibilisation de votre organisation. Il devrait également présenter toutes les
exigences légales et règlementaires liées à la sensibilisation à la sécurité et couvrir l’ensemble des
éléments de votre programme : le public cible, l’étendue (sujets), le contenu, les indicateurs clés de
performance, la feuille de route, l’évaluation et l’équipe.
Étape 3 – Déployer
Toute campagne de sensibilisation à la sécurité comporte trois étapes :
tester, lancer et renforcer. La phase test est essentielle et devrait être
considérée dans le processus de planification. Elle permet d’éviter
l’échec complet d’un programme entier de sensibilisation à la sécurité.
Si vous consacrez du temps à l’élaboration de modules de formation
et qu’ils ne fonctionnent pas bien ou que les crédits d’un cours ne
s’enregistrent pas lorsque complétés, les chances sont minces que
vous souhaitiez réessayer.
1. Révision du contenu. Avant le déploiement, il est conseillé de faire réviser le contenu de chacune
de vos campagnes par des personnes clés afin de vous assurer qu’elles s’arriment aux besoins,
objectifs et exigences de conformité de votre organisation.
2. Essais de compatibilité et de performance. Il est important d’effectuer quelques essais de
compatibilité et de performance avec l’aide de votre département des TI et/ou des RH pour vous
assurer que tout est prêt pour le déploiement.
3. Essai pilote. Un essai pilote est un déploiement en situation réelle de votre campagne complète, y
compris les envois courriel, mais à un auditoire très restreint. Cet essai vous permet de régler les
derniers problèmes avant le déploiement réel et complet.
Les essais vous permettent d’identifier les problèmes et de valider la circulation et la personnalisation
du contenu. Ils contribuent également à améliorer les chances de succès. Une fois les essais
complétés avec succès, vous êtes prêt pour le lancement. La clarté et la communication sont des
éléments très importants tandis que vous déployez votre campagne. De cette façon, chacun sait ce
qu’il a à faire et aide à maintenir le dynamisme de la campagne. L’envoi d’un courriel ou d’une vidéo
par le promotteur du programme de sensibilisation à la sécurité précisant l’importance du programme
ou de la campagne pour l’organisation est une bonne façon de lancer les communications. La
diffusion de « teasers » portant sur la campagne à venir sur l’intranet est un autre moyen efficace
de susciter l’intérêt. Des affiches pourraient même être créees pour promouvoir le lancement d’un
programme spécial.
14 © Terranova Security, 2019. Tous droits réservés.
CONTACTEZ-NOUS
Étape 4 - Mesurer
Prendre le temps d’évaluer la performance de vos
activités de sensibilisation à la sécurité vous permet de
recueillir des informations précieuses qui peuvent être
utilisées pour améliorer votre programme. De plus, cela
vous permet de démontrer l’efficacité de vos initiatives
de sensibilisation à la sécurité aux décideurs.
Étape 5 - Optimiser
L’un des principaux avantages de mesurer la performance,
la satisfaction des participants et la conformité est que
vous aurez le contexte nécessaire pour identifier des pistes
d’amélioration et commencer à élaborer un plan d’action
pour les mettre en œuvre. Vous trouverez des opportunités
d’amélioration dans des campagnes spécifiques ou dans
votre programme général. Les aspects suivants doivent être
considérés pour identifier les éléments à optimiser :
Sans cadre méthodologique de sensibilisation à la sécurité, il sera difficile d’amener les gens à
changer leurs comportements à risque. Un cadre est conçu pour tenir compte de l’ensemble des
éléments, en particulier les façons qu’ont les gens d’apprendre, d’adopter et de maintenir de nouvelles
habitudes. Ultimement, il permet d’implanter une culture de sensibilisation à la sécurité et de réduire
considérablement les brèches de sécurité causées par l’humain.
TÉLÉCHARGER LE LIVRE
Le tableau suivant présente les options qui s’offrent aux organisations en fonction de différents
scénarios. Par exemple, si vous avez suffisamment de personnel et possédez une expertise de formation
en sensibilisation à la sécurité et hameçonnage (phishing), vous pourriez simplement choisir les produits.
Mais si vous manquez de personnel et que votre expertise est limitée, il serait intéressant de choisir
l’option qui implique fortement votre partenaire et un coaching supplémentaire fourni par un CISO.*
Peu importe le modèle choisi, vous tirerez avantage d’une approche consultative, appuyée par du
coaching CISO, un gestionnaire de projet dédié et de la formation personnalisée. Tandis que les besoins
de votre entreprise évoluent et que vos budgets changent, conservez la flexibilité de changer d’un
modèle à un autre.
Conclusion
Pendant les plus ou moins 30 minutes que cela vous aura pris pour lire ce guide, près de 400 000
dossiers auront fait l’objet d’une violation dans le monde. Même si la plupart des organisations
disposent d’une technologie de sécurité pour protéger leurs données ainsi que les données
personnelles de leurs clients et employés, elles ne réussissent pas toutes à contrôler le risque humain
posé par leurs propres employés. Les employés sont des êtres humains. Ils n’ont pas toujours la
sécurité en tête et peuvent faire des erreurs. C’est pour ces raisons qu’ils sont le maillon faible de la
chaîne de la cybersécurité.
Des programmes efficaces de sensibilisation à la sécurité peuvent réduire les risques pour une
organisation en contribuant à changer le comportement des employés, créer ou renforcer la culture
de sécurité au sein de l’organisation et répondre aux exigences en matière de conformité. Le correctif
humain est essentiel pour réduire le risque humain.
TerranovaSecurity.com