Sensibiliser à la cybersécurité pour intégrer des comportements sûrs dans le quotidien
Pour que vos collaborateurs adoptent les bonnes pratiques en matière de cybersécurité, vous devez mettre en place un programme solide de sensibilisation à la cybersécurité, axé sur vos problématiques clés. Par le biais d’actions positives, concrètes et variées, il doit susciter leur engagement tout en respectant leurs particularités. Concrètement, il s’agit de mettre en place un programme qui répond à vos ambitions et qui vise à la fois :
- Un changement de comportement efficace
- Le développement d’une culture de la sécurité dans votre organisation
Pour vous aider à construire de la meilleure manière votre programme, nous avons développé une méthodologie : TAMAM.
TARGET : fixer des objectifs concrets et mesurables
AUDIENCE : adapter l'approche en fonction des personnes ciblées
MESSAGE : choisir un message concis, positif, qui appelle à l'action
ACTIONS : mettre en place des actions efficaces, concrètes et variées
MESURES : évaluer l'impact du programme sur les comportements
Cet article vous expose les principes, les enjeux et le rôle que TAMAM joue pour vous accompagner !
Mais posons tout d’abord quelques éléments de contexte quant à la sensibilisation à la cybersécurité…
Pourquoi cliquent-ils toujours sur ces e-mails de phishing ?!
- Notre parcours de sensibilisation à la cybersécurité a commencé il y a plus de 15 ans. À l'époque, les choses étaient bien différentes. C'était l'époque des nouveaux programmes de sensibilisation, menés par des responsables de la cybersécurité nouvellement nommés, avec peu de moyens et pourtant un objectif clé : dire aux gens ce qu'ils doivent faire pour protéger les systèmes d'information. Rien de plus, rien de moins. C'était l'époque des 10 meilleures pratiques, des choses à faire et à ne pas faire, des formations de masse, etc.
- Une fois énoncés, ces messages étaient considérés comme des connaissances communes et appliqués par tout le monde ; et c'est ainsi que la sensibilisation a été reléguée au second plan et n'était plus une priorité pour les responsables de la cybersécurité. C'était la période difficile de l'insuffisance et des coupes budgétaires.
- Puis sont arrivés le nombre croissant de cyberattaques et le RGPD. Avec de nouveaux risques est apparu un nouvel appétit pour la sensibilisation et l'éducation des utilisateurs. La sensibilisation à la cybersécurité était de nouveau à l'ordre du jour, mais avec des moyens et des intérêts variables. Au fil des années, elle est restée parmi les sujets de cybersécurité, mais avec une grande variabilité entre les organisations en matière d'efficacité et d'efficience.
- Et nous voici maintenant en 2023, et les mêmes questions demeurent : "J'ai tout essayé mais il y a encore des gens qui ne perçoivent pas les risques - que puis-je faire ?" ; "J'ai besoin de garder mes collaborateurs intéressés par le sujet, que pouvez-vous proposer de nouveau ?". Au fond, ce que l'on constate, c'est simplement un manque de considération de l'efficacité du programme de sensibilisation : il semblait atteindre un plafond de verre. Des efforts ont été faits, des investissements ont été réalisés, mais peu de changements ont eu lieu. Pourquoi ? Parce que les efforts et les investissements sont vains s'ils ne visent pas à modifier efficacement les comportements et, en fin de compte, à instaurer une culture de la cybersécurité. Mais comment y parvenir ? C'est l'objet de cet article.
Comment impliquer tous vos collaborateurs dans la cybersécurité ?
Sur la base de ces éléments de contexte, nous avons élaboré une méthode pour construire un programme efficace de sensibilisation à la cybersécurité. Nous voulions que ce modèle soit personnalisable afin qu’il puisse être appliqué à chaque organisation, quels que soient sa taille, sa maturité, son budget ou sa culture. Il ne s’agit pas d’un modèle unique, mais d’une structure de base à adapter à chaque organisation.
Comme pour tout, vous devez commencer par le “pourquoi”. Cela sert à définir les objectifs : une cible à atteindre, une vision de l’endroit où aller et un chemin pour y parvenir, ce qui est essentiel pour avoir une chance de réussir.
Ces objectifs doivent être ciblés sur vos batailles prioritaires, c’est-à-dire sur le changement que vous voulez voir dans votre organisation. Ils ne représentent pas seulement de bonnes intentions comme “sensibiliser mes employés”. Il s’agit de comportements précis que vous voulez voir tous les jours. Par exemple, si le phishing est l’une de vos principales préoccupations : “Comment éduquer mes employés à signaler les tentatives et les incidents de phishing ?”. Ainsi, vous voyez votre cible et le moyen de l’atteindre.
Des objectifs précis permettent également d’obtenir des résultats mesurables. Lorsque vous les définissez, vous retenez généralement les indicateurs clés de performance et les mesures que vous utiliserez pour évaluer leur succès. En règle générale, si vous êtes incapables de trouver une mesure pour votre objectif, cela signifie qu’il est plus illusoire que réalisable.
Enfin, vous vous devez de partager ces objectifs avec vos employés. De cette façon, vous les faites participer activement au changement de comportement que vous attendez d’eux. En leur donnant les règles du jeu, vous leur permettez de jouer et de gagner la partie avec vous, car la cybersécurité est un gain collectif.
Cette première étape est largement survolée, et rares sont les organisations qui prennent le temps nécessaire pour réfléchir à leur véritable cible en matière de sensibilisation à la cybersécurité. Pourtant, elle est le point de départ essentiel. Comme pour tout voyage : on ne peut atteindre la maison d’un ami que si l’on connaît son adresse.
Qui voulez-vous atteindre exactement ? Votre public, ce sont les personnes qui ont besoin de sensibilisation, de formation et d’éducation. Une identification claire de ce public vous aidera à définir une approche adéquate. Pour connaître leurs besoins, vous devez commencer par répartir les personnes en groupes – principalement en fonction de leur place dans l’organisation, de leur proximité avec le sujet, de leur exposition aux risques que vous voulez prévenir, de leur rôle, etc. Ces clusters peuvent regrouper les nouveaux arrivants, le personnel externe, les ambassadeurs locaux, le personnel informatique, etc.
Pour chacun de ces groupes, votre rôle sera d’évaluer leur niveau actuel de maîtrise des différents objectifs définis. Il s’agit en fait de réaliser un gap de compétences pour savoir quels sujets nécessitent plus d’attention. Ces informations seront essentielles pour adapter le programme aux besoins de ces personnes et à leur niveau actuel de maîtrise.
C’est le moment de trouver cette phrase d’accroche qui restera dans la tête ! Les personnes à qui vous allez communiquer vos messages reçoivent de nombreuses autres sollicitations pour diverses causes (RSE, règles, valeurs, etc.). D’où l’importance de sélectionner judicieusement vos messages et de rester concis. Le temps et l’attention disponibles sont limités, c’est pourquoi il est préférable de sélectionner quelques messages qui abordent les risques clés et les objectifs importants.
Le ton utilisé est aussi crucial car il doit être adapté à la culture organisationnelle : les messages drôles fonctionnent dans certains environnements, tandis que les messages sérieux fonctionnent mieux dans d’autres. Quel que soit le ton utilisé, les messages devront être positifs et appeler à l’action. Oubliez les injonctions négatives (“ne pas”) et adoptez les actions positives (“agir”).
Avec ces trois premières étapes en tête (Target, Audience et Message), vous avez la base de votre programme de sensibilisation à la cybersécurité : vous savez ce que vous voulez dire, à qui, afin d’atteindre des comportements définis.
Il est temps d’identifier les actions que vous allez pouvoir mettre en place dans ce cadre. Ici, il faut rester concentrés et pragmatiques, et penser à l’efficacité de l’action choisie pour atteindre vos objectifs. La créativité et l’innovation sont sûrement importantes pour maintenir une certaine motivation, mais elles ne constituent pas le seul facteur de réussite. Pour que les collaborateurs soient impliqués dans leur apprentissage, la cybersécurité doit être concrète : cela passe par des activités ou cas d’application qui les rapprochent de leur vie quotidienne.
Une fois les actions identifiées, la manière dont elles sont mises en œuvre est également essentielle. Les ressources, les personnes et l’organisation doivent être adéquates pour faire passer les messages sélectionnés.
- Qui en est le porteur ? Interne ou externe ?
- Comment peuvent-ils être répétés de manière différente (stimulus pratique, visuel, oral, etc.) ?
- Sous quels angles et avec quelles activités aborder ces questions pour sensibiliser les collaborateurs de la manière la plus adéquate ?
En bref, avec quelques messages, il vous faut construire différentes activités, à différents moments, avec différentes approches, pour ancrer ces comportements dans leur vie quotidienne.
Enfin, l’ensemble de ce programme doit être évalué : a-t-il réellement permis de changer les comportements des collaborateurs ? C’est nécessaire pour la Direction qui demandera de voir la valeur apportée à son investissement, mais aussi pour l’équipe de sensibilisation qui voudra montrer les résultats tangibles de ses efforts.
Dans votre démarche de sensibilisation, vous devez vous concentrer sur son efficacité, au-delà de la mise en œuvre elle-même. Trop souvent, les organisations se concentrent sur le nombre d’activités réalisées ou le nombre de personnes touchées par le programme. Mais ces chiffres permettent rarement de comprendre le changement de comportement qui s’opère (ou non).
Pour élaborer votre plan d’évaluation, et afin d’obtenir une compréhension globale de la réalisation de vos objectifs, il est pertinent d’utiliser à la fois des mesures quantitatives et des retours qualitatifs de la part des collaborateurs. Cela nécessitera peut-être de nouvelles méthodes de collecte de ces informations – comme l’implication du service d’assistance, ou même l’obtention de nouvelles données du SOC (Security Operations Center) – mais le résultat apportera une valeur considérable à votre programme. En effet, cette évaluation vous permettra de le revoir et de le maintenir continuellement adapté à vos objectifs, qui peuvent également faire l’objet d’adaptations si le contexte organisationnel change.
Une dernière chose. Si vous voulez créez de l’engouement autour de la sensibilisation à la cybersécurité : communiquez vos réalisations et célébrez les victoires ! Vous le méritez.
Prenez la première lettre de ces 5 principes et vous obtenez TAMAM. Ce n’est pas un hasard si ce mot se traduit par “tout va bien” en turc. TAMAM, c’est ce que vous attendez de vos collaborateurs : qu’ils soient alignés avec vos objectifs et partants pour vous suivre vers de bonnes pratiques cyber et des comportements plus sûrs.
Par où commencer ?
Maintenant que vous avez une meilleure compréhension des différentes étapes pour construire un programme solide de sensibilisation à la cybersécurité, vous vous posez peut-être les questions suivantes : où en suis-je et comment parvenir à mettre en place un tel programme au sein de mon organisation ?
Pour commencer, il faut probablement prendre du recul pour examiner votre niveau de maturité actuel en matière de sensibilisation à la cybersécurité. Pour gagner en maturité, vous devrez avoir une compréhension claire et honnête de la manière dont votre organisation aborde ce sujet.
Quoiqu’il en soit, la puissance du TAMAM réside dans sa capacité à être utilisé quel que soit votre niveau de maturité, car ses principes sont adaptables à de nombreuses situations.
Conclusion | TAMAM : vous vous lancez ?
Quand vous utilisez TAMAM, vous :
- Posez un objectif clair et précis à atteindre
- Adaptez l’approche en fonction des besoins des différents publics
- Définissez les quelques messages à communiquer sur ces objectifs
- Sélectionnez la meilleure façon de communiquer ces messages par des activités efficaces
- Évaluez cette efficacité afin d’adapter l’approche et affiner le programme
Cet article n’est qu’un aperçu de ce que TAMAM peut apporter à votre programme de sensibilisation à la cybersécurité. Contactez-nous pour comprendre comment notre méthode peut vous aider à renforcer vos efforts de sensibilisation !