Le Guide de la

Sensibilisation à la sécurité centrée

sur les personnes
Cinq éléments pour réussir vos simulations d’hameçonnage (phishing) et formations
en sensibilisation à la sécurité
TABLE DES MATIÈRES
3 Qu’est-ce que la sensibilisation à la sécurité?
5 Faire face au risque humain
6 5 éléments centrés sur les personnes pour la cybersécurité
7 Contenu de haute qualité
9 Campagnes personnalisées
10 Partenaire par excellence
11 5 étapes de la sensibilisation à la sécurité
17 Services gérés en sensibilisation à la sécurité
19 Conclusion

© Terranova Security, 2019. Tous droits réservés.

 CONTACTEZ-NOUS

CHAPITRE 1

Qu’est-ce que la sensibilisation à la sécurité?

Commençons par une définition
Dans son Magic Quadrant for Security Awareness Computer-Based Training, Gartner, Inc. précise que
: « Le terme sensibilisation à la sécurité est fréquemment utilisé pour désigner une vaste gamme
d’activités d’éducation, de communication et de gestion du comportement ainsi que des résultats
d’apprentissage. Voici certains des résultats attendus :
• Se conformer à la règlementation qui rend la formation sur la sécurité obligatoire;
• Établir des lignes directrices claires sur le comportement afin d’appuyer les processus disciplinaires
habituellement décrits dans les politiques d’utilisation acceptable et/ou de sécurité;
• Améliorer les connaissances des employés sur la sécurité et les risques;
• Encourager des comportements de sécurité adaptés au contexte. »

Avec l’adoption de nouvelles règlementations comme

le California Consumer Privacy Act (CCPA) et le
Règlement général sur la protection des données
(RGPD), il est possible que votre entreprise doive
prouver sa conformité en démontrant qu’elle possède
un programme de sensibilisation à la sécurité.

Tout en réduisant les risques de violation de données,

les programmes de sensibilisation à la sécurité
contribuent également à prévenir les impacts négatifs
sur les entreprises, comme les coûts financiers ou les
problèmes liés aux opérations et à la réputation. Une
étude réalisée en 2018 par le Ponemon Institute a révélé
qu’une violation des données coûte en moyenne 40
millions de dollars pour 1 million de dossiers. Ce chiffre
monte à 350 millions de dollars pour 50 millions de
dossiers violés, sans compter les coûts associés aux
Au final, la sécurité est l’affaire de
règlements judiciaires.
tous. Il suffit qu’un employé non
formé, inconscient des enjeux de
sécurité, reçoive un seul courriel
ou appel convaincant – mais frauduleux – pour ouvrir la porte aux cybercriminels. L’étendue de la
formation en sensibilisation à la sécurité dépend du rôle de l’employé. Par exemple, les employés des
secteurs des TI, du développement des applications et des ressources humaines pourraient suivre
davantage de modules de formation spécifiques qu’une personne qui travaille en marketing ou en
administration. Mais chacun est responsable de la sécurité et personne n’est dispensé de la formation
en sensibilisation à la sécurité.

Les programmes de sensibilisation à la sécurité inculquent aux employés les bonnes pratiques en
matière de sécurité. Ils permettent de changer les comportements pour les rendre plus sécuritaires. Ils
créent une culture de sécurité. Et ils réduisent le nombre d’incidents causés par l’humain.

© Terranova Security, 2019. Tous droits réservés. 3

 CONTACTEZ-NOUS

Mais tout cela prend du temps.

Il faut du temps avant que les employés passent du maillon faible au maillon fort dans la chaîne de la
cybersécurité et développent une culture axée sur la sécurité.

Dans les sections suivantes, vous verrez pourquoi l’utilisation d’une approche en sensibilisation à la
sécurité centrée sur les personnes est la seule façon de réduire le risque humain, de provoquer un
changement de comportement durable et de bâtir une culture de cybersécurité.

Ne perdez plus votre temps avec un programme à « taille unique ».

C’est le moment de lancer un programme de sensibilisation centré
sur les personnes!

Le Guide de la sensibilisation à la sécurité centrée sur les personnes a été rédigé pour aider les
responsables en sécurité à réduire le risque humain au sein de leur organisation. La stratégie consiste
à appliquer les cinq éléments centrés sur les personnes aux simulations d’hameçonnage (phishing)
et formations en sensibilisation à la sécurité. Nous aborderons chacun de ces éléments en détail et
expliquerons comment ils jouent un rôle clé pour éduquer les utilisateurs, contribuant ainsi à changer les
comportements et à bâtir une culture de sécurité.

4 © Terranova Security, 2019. Tous droits réservés.

 CONTACTEZ-NOUS

CHAPITRE 2
Faire face au risque humain
Les organisations tentent de faire face au risque humain
en utilisant des technologies et des processus de
sécurité, mais ce n’est pas suffisant. La technologie ne
peut empêcher quelqu’un de cliquer sur un lien et les
processus peuvent être ignorés. Si elle n’est pas centrée
sur les personnes, votre stratégie de sécurité repose sur
un tabouret à deux pattes.
Le risque humain nécessite un correctif humain qui a
un impact sur les gens, qui modifie le comportement
des employés afin qu’ils soient plus sensibilisés à la
sécurité et qui engendre un esprit de sécurité dans les
activités quotidiennes. Un programme de sensibilisation
à la sécurité centré sur les personnes tient compte de
l’aspect humain et permet de remettre la troisième patte
« Ce sont les gens, plus que la technologie ou
les politiques et processus, qui influencent la
sécurité. Le marché de la formation assistée
par ordinateur (FAO) sur la sensibilisation à
la sécurité repose sur l’idée qu’à défaut d’un
système de cybersécurité parfait, les gens
jouent un rôle essentiel sur le plan de la sécurité
et de la tolérance au risque globales d’une
organisation. Ce rôle est défini par des forces
et faiblesses inhérentes chez l’être humain :
d’une part, la capacité à apprendre et d’autre
part, la vulnérabilité à l’erreur, à l’exploitation et
à la manipulation. Le marché de la formation
sur la sécurité axée sur l’utilisateur est en
pleine croissance. La demande provient des
besoins des responsables de la sécurité et de
la gestion du risque, qui cherchent à améliorer
les comportements touchant la sécurité des
employés, des citoyens et des consommateurs. »
(Gartner Magic Quadrant for Security Awareness Computer-Based
Training, Joanna Huisman, 18 July 2019)

au tabouret qui supporte votre stratégie de sécurité.

En prenant une approche de sensibilisation à la sécurité centrée sur les personnes, vous entraînez vos
employés à repérer les messages frauduleux et à réagir de la bonne façon s’ils en reçoivent un. Une
approche de sensibilisation à la sécurité centrée sur les personnes informe les employés des raisons
pour lesquelles les technologies et processus de sécurité sont en place et doivent être suivis.

Dans un programme de sensibilisation à la sécurité centré sur les personnes, la formation et

l’enseignement sont conçus pour réduire le risque humain. Ils entraînent chez les employés un
changement de comportement durable qui met la sécurité au cœur des préoccupations et cela se
reflète sur la culture générale de l’organisation.

« La sensibilisation à la sécurité
mobilise des gens, des processus et des
technologies – l’art d’un programme de
sécurité réussi est de combiner les trois
dans les bonnes proportions. »
CISO – Entreprise chef de file en télécommunications mobiles

On dit que les gens changent leur comportement lorsque le désagrément causé par le statu quo
surpasse celui créé par le changement. Personne ne souhaite vivre une pénible expérience de violation
de données avant que les employés ne changent leurs comportements. À ce stade, il est trop tard.

Dans la prochaine section, nous aborderons l’approche de sensibilisation à la sécurité centrée sur les
personnes et comment ces cinq éléments interagissent pour changer le comportement des employés
et rendre la culture de l’organisation proactive en matière de sécurité.

© Terranova Security, 2019. Tous droits réservés. 5

 CONTACTEZ-NOUS

CHAPITRE 3

5 éléments centrés sur les personnes

pour la sensibilisation à la cybersécurité
Nous avons établi que l’humain est le maillon faible de la chaîne
de la cybersécurité. Nous devons changer le comportement 3,4 Milliards
humain (les employés) pour sécuriser l’organisation. de faux courriels sont envoyés chaque jour

Nous avons également discuté des raisons pour lesquelles

la technologie et les processus ne suffisent pas à protéger une organisation. Il doit y avoir une
composante axée sur les gens dans toute stratégie de cybersécurité.

93 % des professionnels en cybersécurité

conviennent que les humains doivent
travailler de pair avec la technologie pour
détecter les menaces (comme les attaques
d’hameçonnage (phishing)) et y réagir.
Source: Ironscales Email Security Report 2017

Cinq éléments centrés sur les personnes constituent le fondement de la réussite de la sensibilisation à
la sécurité pour changer le comportement des employés et construire une culture de sécurité.

6 © Terranova Security, 2019. Tous droits réservés.

 CONTACTEZ-NOUS

Un contenu pertinent et de grande qualité est au centre de tout programme de sensibilisation à la

sécurité. Cela permet de mobiliser les utilisateurs et d’offrir un programme de formation amusant, qui
suscite l’intérêt et qui permet de modifier les comportements.

Voici les cinq facteurs clés qui influencent la qualité du contenu et ultimement l’expérience
d’apprentissage de l’apprenant moderne :

1. Le contenu devrait être créé par une équipe

d’experts du domaine
Les experts devraient maîtriser la formation des adultes, la
psychologie du changement de comportement à long terme,
le transfert de connaissances, les tendances et brèches
les plus actuelles en matière de cybersécurité ainsi que
les exigences de conformité en matière de gouvernance
et de vie privée. Le contenu devrait être créé à l’interne par
le fournisseur sélectionné afin qu’il soit uniforme tout en
conservant la flexibilité de le personnaliser. Plus d’information
sur la personnalisation des campagnes à la page 9.

2. Une approche pédagogique et une méthodologie

éprouvées pour la formation des adultes
Du contenu développé à l’aide d’une approche pédagogique éprouvée pour la formation des adultes
permettra aux utilisateurs d’atteindre un degré élevé de succès. Une telle approche se caractérise par
les éléments suivants :
• Du contenu pertinent et significatif axé sur le « pourquoi »
• Des instructions orientées sur les tâches plutôt que sur la mémorisation
• L’apprentissage est autodirigé par l’apprenant et des indications sont données au besoin
• Une navigation verrouillée, majoritairement linéaire, oblige l’utilisateur à passer à travers tous les
sujets et une interaction est nécessaire pour avancer
• Le contenu est partagé de façon auditive et visuelle (sous-titre codé) afin de répondre aux besoins
de tous les types d’apprenants
• Les cours peuvent être adaptés pour répondre à des exigences culturelles uniques
• Des vidéos « teaser » sont inclus au début de chaque module pour motiver l’utilisateur et introduire
le sujet
• Des évaluations personnalisables – le nombre de questions, la séléction aléatoire et le pointage –
peuvent être modifiés pour s’adapter aux exigences de chaque organisation

© Terranova Security, 2019. Tous droits réservés. 7

 CONTACTEZ-NOUS

3. Les microlearnings présentent un contenu spécifique au risque et encouragent la

sensibilisation à la sécurité
Pendant votre programme de sensibilisation, votre fournisseur devrait mettre à votre disposition
une bibliothèque complète d’outils. Les caractéristiques suivantes sont propres aux modules de
microlearnings :
• Courte vidéo 2D avec son
• Axé sur un seul risque, petites bouchées de contenu facilement consommables
• Scénarios conçus en ramification
• Permet à l’utilisateur de voir immédiatement l’impact d’un bon ou d’un mauvais choix en matière
de sécurité
• D’une durée maximale de 3 minutes

4. Gamification pour accroître la mobilisation et la motivation des utilisateurs

Des résultats récents soulignent l’intérêt d’adopter des méthodes modernes, comme la ludification,
pour transférer de nouvelles connaissances et informations aux utilisateurs. La ludification de la
formation peut améliorer la motivation et la mobilisation. Les caractéristiques suivantes devraient être
considérées pour inclure la ludification dans le contenu.
• Approche pédagogique pour accroître la mobilisation et la motivation
• Évaluations et expérience d’apprentissage plus positives
• Accumulation de points en temps réel sur des tableaux de classement (évaluation par les pairs)
• Stratégie de compétition entre les pays, les départements et les fonctions
• Opportunité de développer des mesures incitatives

5. Contenu axé sur les fonctions

Les activités d’apprentissage sont conçues en fonction des rôles et responsabilités du public cible
au sein de l’organisation de façon à accroître l’importance et l’impact de la formation. Les catégories
suivantes d’employés peuvent bénéficier d’un contenu spécifique à leur rôle en raison du type et du
niveau de sensibilité des données auxquelles ils ont accès :
• Gestionnaires
• Administrateurs TI
• Développeurs TI
• Ressources humaines
• Marketing

8 © Terranova Security, 2019. Tous droits réservés.

 CONTACTEZ-NOUS

Il est important de personnaliser les composantes de votre programme de sensibilisation à la sécurité

et les éléments de votre campagne. Cela permettra de changer les comportements des employés en
stimulant leur motivation et en augmentant leur taux de rétention des connaissances. Si les employés
peuvent s’identifier au contenu, que ce soit au niveau de leur fonction, de la marque ou de l’image, leur
mobilisation sera plus grande et ils retiendront l’information plus efficacement.

Dans un programme de sensibilisation à la sécurité centré sur les personnes, la personnalisation

touche une grande variété d’aspects et comprend les éléments suivants :

Le contenu
Les fonctions et responsabilités des employés au sein de l’organisation influencent leurs besoins de
formation en sensibilisation à la sécurité. Même si tous les employés doivent suivre des programmes
de formation en sécurité de base, les postes en finance, affaires juridiques, ressources humaines,
développement d’applications, TI et marketing nécessitent des cours de sensibilisation à la sécurité
spécialisés axés sur des problèmes spécifiques liés à leur fonction. Par exemple, les employés en
RH pourraient profiter d’une formation spécialisée sur la gestion des dossiers d’employés tandis que
le besoin des ingénieurs en logiciel se situerait davantage du côté d’une formation supplémentaire
sur la sécurité en développement. En intégrant des modules de formation spécifiques à la fonction,
vous personnalisez le contenu ce qui permet d’accroître la motivation et l’apprentissage. Vous pouvez
également personnaliser le contenu par format – quiz, textes, vidéos, narration, etc. – selon l’évaluation
de la motivation des employés.

Valorisation de la marque Outils de communication

L’utilisation de l’image de marque de l’organisation,
par exemple les logos, ainsi que des photos des
employés, des bureaux et des produits ajoute un
niveau de connexion personnelle aux campagnes de
sensibilisation à la sécurité.
Plateforme de sensibilisation à la sécurité
Les partenaires avec lesquels vous choisissez de
travailler pour votre programme de sensibilisation à
la sécurité centré sur les personnes devraient être
en mesure de fournir des plateformes qui peuvent
être personnalisées et adaptées à votre organisation.
Elles devraient comprendre une interface utilisateur
familière, des modèles d’hameçonnage (phishing)
qui ressemblent au visuel de votre entreprise et des
scénarios pertinents et personnalisés en fonction de
votre organisation.
Un programme de sensibilisation à la sécurité
centré sur l’humain comporte une variété d’outils de
communication comme des courriels, des vidéos,
des infolettres et des affiches. Ceux-ci peuvent être
personnalisés afin de susciter plus d’intérêt et pour une
meilleure rétention du message.
Langue
Cet élément de personnalisation est particulièrement
important pour les organisations multinationales.
La capacité d’offrir une formation complète en
sensibilisation à la sécurité dans la langue du pays où
vous opérez est un élément important pour susciter
la motivation et la rétention des connaissances. Il faut
également tenir compte des nuances culturelles. Enfin,
il est avantageux d’être en mesure d’accompagner
plusieurs fuseaux horaires via un hébergement régional.

© Terranova Security, 2019. Tous droits réservés. 9

 CONTACTEZ-NOUS

Un prestataire de formation en sensibilisation à la cybersécurité devrait être plus qu’un simple

fournisseur, il devrait être un collaborateur. Recherchez une entreprise qui s’investit dans une approche
consultative et qui sera prête à prendre le temps de comprendre votre situation unique. Le bon
partenaire possède l’expérience et l’expertise spécialisée pour vous aider à planifier et exécuter un
programme de sensibilisation à la sécurité conçu spécifiquement pour votre organisation.

Introduire un partenaire vous permet d’accéder à une équipe d’experts qui a les connaissances pour
évaluer et analyser les données et ainsi mesurer et optimiser votre programme de sensibilisation à la
sécurité. Vous n’êtes pas seul!

Voici ce que doit faire un partenaire collaboratif en sensibilisation à la sécurité :

• Offrir un avis d’expert et de l’accompagnement pendant la planification et la mise en œuvre de votre
programme de sensibilisation à la sécurité. Votre partenaire devrait posséder une feuille de route
impressionnante dans le domaine de la sensibilisation
à la sécurité et avoir implanté une grande variété de
programmes. Un partenaire comprendra également les
obstacles potentiels, anticipera les défis et sera disponible
pendant toutes vos campagnes.
• Fournir l’expertise et le transfert de connaissances
nécessaires pour s’assurer que vos programmes sont
optimisés pour motiver les utilisateurs et entraîner un
changement de comportement.
• Travailler avec vous pour recueillir les données et évaluer
les résultats, identifier les forces, les succès et les points à
améliorer.
• Appliquer une approche pédagogique et une méthodologie
éprouvées pour la formation en ligne des adultes.

Meilleures pratiques
• Planifier les campagnes et concevoir les cours à l’aide de l’apprentissage automatisé axé
sur les résultats qui comprend de la formation de base, des microlearnings, des simulations
d’hameçonnage (phishing) et de la formation juste-à-temps.
• Définir une stratégie de sensibilisation sur mesure pour répondre aux besoins des différents
groupes d’apprentissage, c.-à-d. les débutants, les champions, les gens qui cliquent à répétition, etc.
• Identifier les objectifs de sensibilisation à la sécurité qui inciteront vos gestionnaires à approuver et
soutenir votre programme.
• Déterminer les paramètres et les indicateurs clés de performance qui permettront de mesurer
le succès de votre programme et ajuster les objectifs pour soutenir la stratégie et la mission
corporative de votre entreprise.
10 © Terranova Security, 2019. Tous droits réservés.
 CONTACTEZ-NOUS

Pour atteindre n’importe quel objectif dans la vie, il peut être utile de suivre une démarche ou une voie
éprouvée. Si l’on souhaite courir un marathon, on ne se présente pas à la ligne de départ sans aucune
préparation. L’entraînement commence longtemps à l’avance et l’on suit un programme – ou une forme
de démarche - qui s’adapte à notre horaire et nous guide dans notre parcours vers le succès.
Il en va de même pour la sensibilisation à la sécurité. Pour efficacement changer le comportement
des employés et construire une culture de sécurité, vous avez besoin d’un programme complet planifié
avec attention en fonction des besoins et objectifs de votre organisation. Pour ce faire, vous pouvez
utiliser une démarche éprouvée – une approche méthodologique en continu qui comprend les cinq
étapes suivantes :

Étape 1 - Analyser
L’étape d’analyse est essentielle dans tout programme de
sensibilisation à la sécurité. Une analyse complète de la
situation vous donnera toute l’information nécessaire pour
construire un plan de sensibilisation à la sécurité avec des
chances solides de réussite. Il est particulièrement clair à l’étape
de l’analyse qu’une approche centrée sur les personnes est la
bonne voie à prendre. Presque toutes les catégories de cette
étape touchent les gens. Que ce soit pour identifier le public
cible ou évaluer la motivation, il est essentiel de se concentrer
sur les personnes – vos employés.

En effectuant votre analyse et évaluation préalable, il est particulièrement important de recueillir

des informations dans les neuf catégories suivantes :

1. Objectifs du programme. Vos objectifs – ce que
vous souhaitez accomplir avec votre programme
de sensibilisation à la sécurité – doivent être définis
afin que vous soyez en mesure de planifier toutes les
étapes pour les atteindre. Des objectifs clairement
définis permettront également de recueillir des
appuis pour la mise en œuvre du programme qui
se traduiront par du financement, du temps de la
part des employés et du soutien de la direction. Vos
objectifs peuvent correspondre à l’une des catégories
suivantes : risques et comportements, culture de
sécurité et obligations de conformité.
2. Conformité. En rassemblant toutes des obligations
de conformité de votre organisation, vous serez en
mesure de concevoir un programme de formation
en sensibilisation complet qui couvrira l’ensemble de
vos règlements. Vous serez également en mesure
d’identifier les groupes cibles pour ces sujets et
de déterminer s’ils ont besoin de formation autant
en matière de conformité qu’en sensibilisation à
la sécurité.

© Terranova Security, 2019. Tous droits réservés. 11


3. Public cible. La communication fait partie des
fondements de tout programme de sensibilisation
à la sécurité. Il est essentiel d’identifier le public
cible dont vous souhaitez changer le comportement
puisque c’est avec lui que vous communiquerez. Il est
également important de comprendre votre public afin
de bien définir les sujets et le contenu qui sera abordé
dans votre programme de sensibilisation à la sécurité.
Vous serez mieux équipé pour adapter vos messages
et moyens de communication et ainsi amplifier
l’impact et l’efficacité de votre programme. Votre
public comprend des dirigeants, des gestionnaires, du
personnel régulier et du personnel TI. Il sera ensuite
pertinent de segmenter ces employés en fonction de
groupes spécialisés comme les ingénieurs logiciels,
le personnel des ressources humaines ou de la
finance qui pourraient avoir besoin de formations
supplémentaires spécifiques à leur rôle. Il sera
également important de tenir compte des ressources
externes comme les entrepreneurs et les fournisseurs.
5. Niveau de connaissance. Une fois que vous avez
identifié votre public cible et délimité le contenu de
votre programme, la prochaine étape est d’évaluer le
niveau de connaissance et de compréhension de la
sécurité de votre public. De cette façon, vous serez
en mesure de concevoir un programme qui apportera
des informations nouvelles à vos employés et qui
permettra de combler un manque de connaissances
et encourager le changement de comportement. Vous
pouvez déterminer l’actuel niveau de connaissance de
votre public à l’aide de sondages, de simulations, de
rapports sur l’analyse et l’évaluation du risque et de
rapports sur l’état de conformité.
7. Ressources de soutien. Lors du choix de vos activités
de sensibilisation, vous devez tenir compte de
votre budget et de vos ressources de soutien. Trois
ressources de soutien clés sont : la haute direction,
qui vous permettra de légitimer votre programme et
d’obtenir le financement nécessaire; les champions en
sensibilisation à la sécurité, ou les employés qui sont
intrinsèquement motivés et qui agissent comme des
ambassadeurs pour votre programme; et le soutien
opérationnel, qui provient de différents départements,
comme les TI ou les RH, pour vous aider à débuter
votre programme de sensibilisation à la sécurité.
12 © Terranova Security, 2019. Tous droits réservés.
CONTACTEZ-NOUS
4. Étendue (sujets et contenu). Votre public cible ainsi
que vos besoins en matière de conformité vous
aideront à définir l’étendue de votre programme de
sensibilisation à la sécurité. Une partie de la formation
sera commune à tous tandis que d’autres parties
seront spécifiques à certains types d’utilisateurs. Par
exemple, les dirigeants et les gestionnaires pourraient
avoir besoin de contenu sur la manipulation sécuritaire
d’information sensible ou sur les types d’attaques qui
les visent spécifiquement. Les employés occupant des
fonctions spécialisées, comme les RH, pourraient être
intéressés par du contenu qui souligne les meilleures
pratiques en matière de confidentialité tandis que le
personnel des TI pourrait avoir besoin d’information
sur les attaques d’ingénierie sociale.
6. Motivation et culture. La motivation est la clé pour
entraîner un changement de comportement. Vous
devez amener votre public cible à participer et à agir
en fonction des messages et des apprentissages.
Les activités de sensibilisation sont destinées aux
humains. Vous devez tenir compte de leurs besoins
et de leur état d’esprit lorsque vous planifiez des
activités. La motivation peut être classée selon trois
catégories : intrinsèque, où les employés participent
de bonne foi au programme de sensibilisation à la
sécurité et appliquent ce qu’ils apprennent parce
qu’ils comprennent leur rôle dans la protection des
actifs informationnels; extrinsèque, où les employés
sont motivés par des facteurs externes, comme
des récompenses et des exigences, plutôt que de
ressentir l’engagement et le besoin de façon inhérente;
et l’amotivation, où les employés ne souhaitent pas
participer et ne comprennent pas l’impact de leurs
actions. Votre défi est que vos employés qui manquent
de motivation passent à un statut de motivation
extrinsèque ou intrinsèque. Vous pouvez évaluer la
motivation à l’aide de simples sondages.
8. Mondialisation. Si plus d’une langue est utilisée
au sein de votre organisation et que vous avez
des bureaux dans plusieurs pays, vous devez
évaluer la pertinence d’adapter votre programme
de sensibilisation à la sécurité pour satisfaire à des
besoins globaux.
9. Coûts (ressources). Avant de commencer la
planification, vous devriez avoir une idée du coût de
votre programme de sensibilisation à la sécurité.
Plusieurs aspects doivent être considérés dans
l’évaluation du coût comme le nombre d’employés (ou
personnes ciblées) et les frais associés au contenu.
 CONTACTEZ-NOUS

Étape 2 – Planifier
Une fois l’analyse et l’évaluation complétées, vous êtes prêt
à planifier votre programme de sensibilisation à la sécurité.
La planification vous permet d’anticiper et d’affronter
les obstacles, de demeurer aligné sur vos objectifs, de
respecter votre échéancier et votre budget et ultimement,
d’augmenter vos chances de succès.

Si vous vous plongez simplement dans un programme

de sensibilisation à la sécurité en espérant pour le
mieux, vos résultats seront aléatoires et vous passerez
probablement à côté de ce que vous espériez accomplir.

Pendant le processus de planification, vous aurez à prendre des décisions dans

les six domaines suivants :
1. Équipe. Identifiez les personnes qui feront partie de votre équipe de sensibilisation à la sécurité.
Vous devrez recruter au-delà des équipes de TI et de sécurité puisque vous aurez besoin de
gestionnaires de projet et de conseillers en communication. Par exemple, un cadre supérieur est
requis pour jouer le rôle de parrain. Les membres de l’équipe peuvent occuper différents postes
au sein de l’organisation. Les départements où les enjeux de sensibilisation à la sécurité sont
élevés, comme la formation, les RH, les communications, les affaires juridiques et le contrôle de la
conformité, devraient également être impliqués.
2. Feuille de route. Votre programme de sensibilisation à la sécurité est votre plan général défini par les
objectifs stratégiques. Il comprend une série de petites campagnes qui sont conçues pour répondre
chacune à leurs objectifs propres. Pendant l’élaboration de la feuille de route, vous établirez la durée
du programme, la fréquence des campagnes ainsi que la durée des campagnes et des cours. Les
aspects clés à considérer pour la planification de la feuille de route sont la maturité en matière de
sensibilisation à la sécurité de votre organisation, les dates où il est plus difficile d’atteindre votre
public et de prévoir du temps pour faire des tests avant le lancement, y compris pour personnaliser
le contenu, au besoin.
3. Produit. Vous devrez prendre des décisions quant au produit choisi pour votre programme de
sensibilisation à la sécurité. Cela touche le type de contenu, son mode de livraison ainsi que les
outils utilisés pour mesurer son efficacité. Assurez-vous d’utiliser les données tirées de votre analyse
pour vous guider dans votre sélection de produits et pour choisir vos sujets de base. Ces données
orienteront également la durée des cours et vous aideront à déterminer si la formation est obligatoire
ou si une note spécifique est exigée pour réussir. Plusieurs outils de mesure peuvent être utilisés
comme les systèmes de gestion de l’apprentissage, les tests, les simulations et les évaluations.
4. Indicateurs clés de performance et paramètres. Les indicateurs clés de performance et les
paramètres de vos campagnes, et de votre programme dans son ensemble, vous permettront de
mesurer les progrès et la performance de votre programme pour avoir une meilleure idée de son
efficacité. Vos paramètres devraient s’arrimer à vos objectifs de programme et de campagne et
vous devriez être en mesure de les saisir et de vous assurer qu’ils sont bien compris lorsque vous
présenterez vos résultats. Voici des catégories de paramètres communément mesurés : taux de
participation aux formations, nombre d’attaques d’hameçonnage (phishing) rapportées, diminution
du taux de clic, statistiques de formation, taux de satisfaction des participants, efficacité de la
formation et retour sur investissement.
© Terranova Security, 2019. Tous droits réservés. 13
 CONTACTEZ-NOUS

5. Communications. Pour créer votre plan de communication, vous aurez besoin des deux éléments
suivants : une stratégie et un calendrier de communication. Votre stratégie vous permettra
d’identifier un responsable du développement du contenu et du matériel. Elle comprendra
également les messages clés, les langues, les canaux de communication privilégiés ainsi que les
meilleurs moments pour communiquer. Votre calendrier de communication établit l’échéancier de
toutes vos communications pour le programme et les campagnes.
6. Dossier de décision. À un certain moment, probablement assez tôt dans la planification de votre
initiative, vous devrez présenter votre programme de sensibilisation à la sécurité à l’une des équipes
de direction, de gestion de la sécurité ou de sensibilisation à la sécurité. Le dossier de décision
devrait inclure une brève description de l’état de la situation en matière de cybersécurité et du
niveau actuel de sensibilisation de votre organisation. Il devrait également présenter toutes les
exigences légales et règlementaires liées à la sensibilisation à la sécurité et couvrir l’ensemble des
éléments de votre programme : le public cible, l’étendue (sujets), le contenu, les indicateurs clés de
performance, la feuille de route, l’évaluation et l’équipe.

Étape 3 – Déployer
Toute campagne de sensibilisation à la sécurité comporte trois étapes :
tester, lancer et renforcer. La phase test est essentielle et devrait être
considérée dans le processus de planification. Elle permet d’éviter
l’échec complet d’un programme entier de sensibilisation à la sécurité.
Si vous consacrez du temps à l’élaboration de modules de formation
et qu’ils ne fonctionnent pas bien ou que les crédits d’un cours ne
s’enregistrent pas lorsque complétés, les chances sont minces que
vous souhaitiez réessayer.

Nous recommandons trois principaux types de tests pré-lancement.

1. Révision du contenu. Avant le déploiement, il est conseillé de faire réviser le contenu de chacune
de vos campagnes par des personnes clés afin de vous assurer qu’elles s’arriment aux besoins,
objectifs et exigences de conformité de votre organisation.
2. Essais de compatibilité et de performance. Il est important d’effectuer quelques essais de
compatibilité et de performance avec l’aide de votre département des TI et/ou des RH pour vous
assurer que tout est prêt pour le déploiement.
3. Essai pilote. Un essai pilote est un déploiement en situation réelle de votre campagne complète, y
compris les envois courriel, mais à un auditoire très restreint. Cet essai vous permet de régler les
derniers problèmes avant le déploiement réel et complet.

Les essais vous permettent d’identifier les problèmes et de valider la circulation et la personnalisation
du contenu. Ils contribuent également à améliorer les chances de succès. Une fois les essais
complétés avec succès, vous êtes prêt pour le lancement. La clarté et la communication sont des
éléments très importants tandis que vous déployez votre campagne. De cette façon, chacun sait ce
qu’il a à faire et aide à maintenir le dynamisme de la campagne. L’envoi d’un courriel ou d’une vidéo
par le promotteur du programme de sensibilisation à la sécurité précisant l’importance du programme
ou de la campagne pour l’organisation est une bonne façon de lancer les communications. La
diffusion de « teasers » portant sur la campagne à venir sur l’intranet est un autre moyen efficace
de susciter l’intérêt. Des affiches pourraient même être créees pour promouvoir le lancement d’un
programme spécial.
14 © Terranova Security, 2019. Tous droits réservés.
 CONTACTEZ-NOUS

Le renforcement de la campagne à l’aide d’outils de communication complémentaires au courriel

permettra de maintenir la sensibilisation à la sécurité au sommet des préoccupations, d’aider les
employés à retenir leurs apprentissages et de susciter un réel changement de comportement. Les
outils de renforcement sont en fait des outils de marketing et comprennent des affiches, des infolettres,
des vidéos et des bannières web. Ils sont conçus pour attirer l’attention, sensibiliser et favoriser un
changement de comportement.

Étape 4 - Mesurer
Prendre le temps d’évaluer la performance de vos
activités de sensibilisation à la sécurité vous permet de
recueillir des informations précieuses qui peuvent être
utilisées pour améliorer votre programme. De plus, cela
vous permet de démontrer l’efficacité de vos initiatives
de sensibilisation à la sécurité aux décideurs.

À cette étape, vous devriez mesurer la performance, la

satisfaction des participants et la conformité. Voici les
données que vous devriez récolter :

Statistiques sur la formation Retour sur investissement (RI)

Même si elles sont intéressantes à présenter dans
les rapports de conformité, les statistiques sur
la formation, comme les taux de participation,
fournissent de l’information sur les progrès
effectués en matière de changements
comportementaux et culturels. Elles peuvent
être suivies en temps réel grâce à la plupart des
systèmes de gestion de l’apprentissage (p. ex.
taux de participation, temps pour compléter la
formation, taux de réussite/échec, etc.).
Satisfaction des participants
Utilisez des sondages de « satisfaction et
appréciation du contenu » ou des quiz pour
recueillir de l’information sur la perception des
participants quant à l’importance de la sécurité
et les connaissances qu’ils ont acquises pendant
la formation. Envisagez la création d’une
adresse courriel dédiée à votre programme de
sensibilisation à la sécurité pour récupérer la
rétroaction des employés. Cette rétroaction vous
permettra d’améliorer la campagne en cours ainsi
que les activités de sensibilisation à venir.
Les paramètres associés au RI sont plutôt simples.
Si vous enregistrez une diminution du nombre de
demandes de réinitialisation des mots de passe,
du nombre d’appareils perdus ou volés, des coûts
liés à la fraude et des interruptions causés par des
comportements risqués, votre RI augmente.
En effectuant un suivi du progrès, vous serez en
mesure de gérer efficacement vos campagnes et
votre programme. Vous pourrez ensuite rapporter
les progrès aux différents départements de votre
organisation en communiquant de l’information
sur la performance de la campagne et démontrer
le respect des exigences en matière de conformité.
Efficacité de la formation
Les demandes au service de dépannage, les
rapports d’incidents de sécurité, l’évaluation de la
sensibilisation et les simulations d’hameçonnage
(phishing) constituent de bons points de
départ pour évaluer l’efficacité du programme
et déterminer si les employés appliquent les
comportements de sécurité désirés.

© Terranova Security, 2019. Tous droits réservés. 15

 CONTACTEZ-NOUS

Étape 5 - Optimiser
L’un des principaux avantages de mesurer la performance,
la satisfaction des participants et la conformité est que
vous aurez le contexte nécessaire pour identifier des pistes
d’amélioration et commencer à élaborer un plan d’action
pour les mettre en œuvre. Vous trouverez des opportunités
d’amélioration dans des campagnes spécifiques ou dans
votre programme général. Les aspects suivants doivent être
considérés pour identifier les éléments à optimiser :

• Analysez les paramètres de l’étape 4 : Mesurer. Examinez

les statistiques, interprétez les données, validez les
hypothèses et prenez toute mesure corrective nécessaire.
• Comparez vos résultats avec vos objectifs de campagne et
de programme. Évaluez la situation actuelle et les lacunes
de votre programme de sensibilisation à la sécurité.
• Identifiez les opportunités d’amélioration. Optimisez vos campagnes en fonctions des indicateurs
de performance clés et des paramètres.
• Définissez de nouveaux objectifs. Apportez des changements aux objectifs de formation et en
matière de comportement pour vos campagnes de suivi.
• Planifiez une rencontre bilan. Partagez ces informations avec les intervenants et votre équipe pour
identifier les pistes d’amélioration.

Sans cadre méthodologique de sensibilisation à la sécurité, il sera difficile d’amener les gens à
changer leurs comportements à risque. Un cadre est conçu pour tenir compte de l’ensemble des
éléments, en particulier les façons qu’ont les gens d’apprendre, d’adopter et de maintenir de nouvelles
habitudes. Ultimement, il permet d’implanter une culture de sensibilisation à la sécurité et de réduire
considérablement les brèches de sécurité causées par l’humain.

POUR EN APPRENDRE DAVANTAGE SUR LE CADRE

DE SENSIBILISATION À LA SÉCURITÉ EN CINQ
ÉTAPES, TÉLÉCHARGEZ LE LIVRE NUMÉRIQUE :

THE HUMAN FIX TO HUMAN RISK™

TÉLÉCHARGER LE LIVRE

16 © Terranova Security, 2019. Tous droits réservés.

 CONTACTEZ-NOUS

Choisissez le meilleur modèle de sensibilisation à la sécurité pour votre organisation

La structure et les besoins de votre organisation dicteront le modèle d’intégration que vous choisirez
pour votre programme de sensibilisation à la sécurité. Plusieurs facteurs entrent en jeu pour déterminer
le mode de gestion du programme. Allez-vous le gérer vous-même, confier le mandat à un partenaire
ou choisir une formule hybride?

Le service géré de sensibilisation à la sécurité

Le service géré de sensibilisation à la sécurité offre la flexibilité et le soutien nécessaire pour déployer
efficacement vos simulations d’hameçonnage (phishing), vos formations en sensibilisation ou les deux,
ainsi que pour mesurer et communiquer des résultats. Voici certains des éléments clés à considérer
lorsque vous évaluez cette option :

• Un gestionnaire dédié à la réussite de ses clients

- Il travaille avec votre organisation pour s’assurer du succès de votre programme de
sensibilisation à la sécurité
• Importation des listes d’usagers dans la plateforme de sensibilisation à la sécurité
• Lancement de formations de sensibilisation à la sécurité comprenant :
 - Personnalisation du contenu
 - Groupe pilote
 - Soutien d’un administrateur
• • Lancement de simulation d’hameçonnage (phishing) comprenant :
 - Personnalisation des modèles
 - Groupe pilote
 - Gestion des courriels
 - Soutien d’un administrateur
• Évaluation après campagne
• Réalisation de rapports suite aux simulations d’hameçonnage (phishing) et aux formations de
sensibilisation à la sécurité
• Flexibilité de choisir le nombre de campagnes de formation en sensibilisation à la sécurité et de
simulations d’hameçonnage (phishing) par année

© Terranova Security, 2019. Tous droits réservés. 17

 CONTACTEZ-NOUS

Le tableau suivant présente les options qui s’offrent aux organisations en fonction de différents
scénarios. Par exemple, si vous avez suffisamment de personnel et possédez une expertise de formation
en sensibilisation à la sécurité et hameçonnage (phishing), vous pourriez simplement choisir les produits.
Mais si vous manquez de personnel et que votre expertise est limitée, il serait intéressant de choisir
l’option qui implique fortement votre partenaire et un coaching supplémentaire fourni par un CISO.*

Choisir votre modèle Expertise en Expertise limitée en sensibilisation et

de prestation de sensibilisation et hameçonnage (phishing)
la plateforme de hameçonnage (phishing)
sensibilisation à la
sécurité

Personnel disponible Produits Produits

pour gérer le - Cours - Livre électronique
programme - Plateformes The Human Fix to Human Risk
- Séance de coaching par un CISO

Personnel limité pour Produits Produits

gérer le programme - Service géré de - Séance de coaching par un CISO
sensibilisation à la sécurité - Service géré de sensibilisation à la sécurité

Peu importe le modèle choisi, vous tirerez avantage d’une approche consultative, appuyée par du
coaching CISO, un gestionnaire de projet dédié et de la formation personnalisée. Tandis que les besoins
de votre entreprise évoluent et que vos budgets changent, conservez la flexibilité de changer d’un
modèle à un autre.

*Chief Information Security Officer

(Responsable de la sensibilisation à la sécurité de l’information (RSSI))

18 © Terranova Security, 2019. Tous droits réservés.

 CONTACTEZ-NOUS

Conclusion
Pendant les plus ou moins 30 minutes que cela vous aura pris pour lire ce guide, près de 400 000
dossiers auront fait l’objet d’une violation dans le monde. Même si la plupart des organisations
disposent d’une technologie de sécurité pour protéger leurs données ainsi que les données
personnelles de leurs clients et employés, elles ne réussissent pas toutes à contrôler le risque humain
posé par leurs propres employés. Les employés sont des êtres humains. Ils n’ont pas toujours la
sécurité en tête et peuvent faire des erreurs. C’est pour ces raisons qu’ils sont le maillon faible de la
chaîne de la cybersécurité.

Les simulations d’hameçonnage (phishing) et les formations en sensibilisation à la sécurité peuvent

faire une différence. Gregory Touhill, ancien CISO à la Maison-Blanche, a indiqué en entrevue que s’il
avait des sommes supplémentaires à investir en cybersécurité, il miserait sur une meilleure formation
des employés.

Des programmes efficaces de sensibilisation à la sécurité peuvent réduire les risques pour une
organisation en contribuant à changer le comportement des employés, créer ou renforcer la culture
de sécurité au sein de l’organisation et répondre aux exigences en matière de conformité. Le correctif
humain est essentiel pour réduire le risque humain.

Un programme de sensibilisation à la sécurité centré sur les personnes constitue le correctif

humain dont votre organisation a besoin pour motiver ses employés à adopter des changements
de comportement à long terme et transmettre les connaissances nécessaires pour fonctionner en
ayant à l’esprit les meilleures pratiques de cybersécurité.

Découvrez comment la sensibilisation à la sécurité centrée sur les personnes

contribue à former des millions de cyberhéros, à changer les comportements
et à créer une culture de sécurité à travers le monde

TerranovaSecurity.com

© Terranova Security, 2019. Tous droits réservés. 19