Formez votre équipe de cyber héros
Imaginez que votre entreprise est la cible d’une attaque d’hameçonnage, l’une des menaces de cybersécurité les plus communes actuellement. Dans une organisation où la culture de cybersécurité est faible, les utilisateurs ont tendance à remarquer les tentatives d’hameçonnage, mais à les mettre rapidement de côté, ne se sentant pas interpelés par le problème.
« Ils cliquent sur le lien, mais ils ne sentent pas que c’est à eux de régler le problème » indique Theo Zafirakos, chef de la sécurité de l’information et coach CISO chez Terranova Security.
Dans les organisations qui commencent à développer une culture de sécurité, les utilisateurs reconnaissent les tentatives d’hameçonnage et les suppriment. Toutefois, ils ne se sentent toujours pas suffisamment concernés pour signaler l’incident.
Dans les entreprises les plus avancées, où la sécurité fait partie intégrante de la culture organisationnelle, l’utilisateur détecte la tentative d’hameçonnage, puis s’assure d’en informer la bonne personne à la sécurité de l’information. « En agissant de la sorte, cette personne non seulement se protège elle-même, mais elle protège également l’organisation, précise Zafirakos. En signalant l’incident, elle fait partie de la solution et aide à protéger l’organisation. La reconnaissance de ce bon comportement contribue à créer une culture de sécurité ».
Malgré la croissance des cybermenaces, de nombreuses multinationales embauchant des milliers de personnes à travers le monde ne disposent souvent que d’une poignée d’employés dédiés à la cybersécurité. Dans ce contexte, comment former et récompenser tout le monde afin de développer une culture de sécurité?
Créez un programme d’ambassadeurs de sensibilisation à la sécurité
Un programme d’ambassadeurs de sensibilisation à la sécurité permet d’augmenter efficacement la sensibilisation à la sécurité au sein des organisations puisqu’une part de la responsabilité revient aux employés – les utilisateurs.
Ces ambassadeurs ne sont pas nécessairement des professionnels de la sécurité. En fait, ils ne le sont pas dans la plupart des cas. Les ambassadeurs sont des représentants autorisés sur le terrain des responsables de la sécurité. Ils aident à vulgariser les exigences en matière de sécurité afin que leurs collègues comprennent l’importance de la sécurité dans leur rôle. Les ambassadeurs de la sécurité sont idéalement des employés qui sont à l’aise avec les risques associés à la technologie. Ce sont les représentants locaux de la sécurité de l’information.
Un programme d’ambassadeurs contribue à fournir un aperçu et des connaissances sur les cybermenaces auxquelles font face les employés et les consommateurs dans un monde de plus en plus numérique. Il permet également d’établir des points de contact locaux pour la sensibilisation à la sécurité.
« La mise en place d’un programme d’ambassadeurs n’est pas compliquée, mais pour être efficace, il faut y investir un peu de temps et d’efforts, explique Zafirakos. Un programme efficace, qui contribue à prévenir les cyberattaques, peut faire sauver des centaines de milliers de dollars à votre organisation. »
Par où commencer?
Étape 1 – Nommez les premiers ambassadeurs
Commencez par identifier les paramètres du programme : durée d’engagement, responsabilités spécifiques et autres exigences, ainsi que les avantages ou incitatifs offerts. Puis publiez un appel de candidatures ou de nominations.
Expliquez les objectifs du programme d’ambassadeurs de sensibilisation à la sécurité et précisez comment les employés et les membres de l’équipe peuvent déposer leur candidature. Encouragez-les à obtenir l’autorisation de leur supérieur immédiat.
Les ambassadeurs ne devraient pas faire partie de l’équipe de sécurité de l’information ni de la direction, précise Zafirakos. En choisissant des ambassadeurs de l’équipe de terrain plutôt que des gestionnaires, la culture de sécurité est plus susceptible de s’infiltrer dans l’organisation puisque les conseils circulent entre pairs plutôt que de haut en bas.
Étape 2 – Évaluer et sélectionner les candidats
Au moment d’évaluer les candidatures et les nominations, assurez-vous de sélectionner un échantillon représentatif d’ambassadeurs qui représentent l’ensemble des localisations, rôles et services au sein de votre organisation.
« Les connaissances techniques ne sont pas importantes, précise Zafirakos. On recherche une certaine attitude et un désir d’apprendre et de prendre des responsabilités. Idéalement, le candidat doit avoir une bonne connaissance de la région et du département dans lequel il travaille ainsi que des défis auxquels font face ses collègues. »
Étape 3 – Lancer un programme de formation et de mentorat
Les ambassadeurs auront besoin d’un programme de formation et de mentorat. En planifiant une période d’au moins trois mois pour préparer vos premiers ambassadeurs, vous assurez un bon positionnement de votre organisation.
Avant d’accorder à vos ambassadeurs leur accréditation interne, demandez leur de compléter l’ensemble des modules de formation en sensibilisation à la sécurité de l’information proposés par votre organisation et de participer aux ateliers offerts par les membres de l’équipe de sécurité. Ils devraient également compléter toute lecture suggérée et effectuer une présentation à leur unité commerciale afin de se pratiquer à devenir leur représentant en cybersécurité.
L’objectif final est que les ambassadeurs soient en mesure de former la relève du programme.
Étape 4 – Organiser une cérémonie de certification et d’intronisation
Il est important de reconnaître publiquement non seulement votre premier groupe d’ambassadeurs, mais également ceux qui viennent après.
Pensez à organiser une cérémonie ou à présenter publiquement les ambassadeurs à l’équipe de direction de l’organisation. Après tout, ils sont le point de contact au sein de leur équipe pour accroître la sensibilisation à la cybersécurité.
Étape 5 – Gérer et évaluer le programme d’ambassadeurs
Une fois le programme lancé, assurez-vous que votre équipe de sécurité de l’information maintienne la communication avec les ambassadeurs et leur fournisse les ressources nécessaires. Vous pourriez créer un forum où les ambassadeurs peuvent échanger des idées. Dans l’optique où le défi serait trop grand pour certains d’entre eux, développez un mécanisme qui permettra d’ajouter de nouveaux ambassadeurs au programme.
« Si le programme d’ambassadeurs de sensibilisation à la sécurité est important pour vous, il devrait être officialisé, précise Zafirakos. Même si les coûts reliés au programme sont plutôt faibles, son succès nécessite du temps et des efforts. Une ressource du service de sécurité devra probablement être allouée au programme et elle devra y consacrer environ 50 % de son temps pour une gestion efficace. »
En plus de gérer le programme, assurez-vous de mesurer son efficacité. Suivez le nombre et le type de demandes ou d’incidents soumis ou rapportés aux ambassadeurs par les utilisateurs. Examinez le nombre de demandes soumises par les ambassadeurs à l’équipe de sécurité de l’information.
Le suivi de ces incidents et rapports peut se faire via des formulaires en ligne, indique Zafirakos, « ou par l’entremise des outils existants de communications ou d’assistance technique déjà utilisés pour suivre ce type d’activités. Certaines organisations possèdent même des médias sociaux internes où les utilisateurs peuvent soumettre des questions. »
Si possible, demandez à vos ambassadeurs d’évaluer le temps consacré aux formations en sensibilisation à la cybersécurité, aux présentations et au traitement des déclarations d’incidents.
Enfin, vérifiez, après une période de temps prédéterminée, si le programme entraîne des améliorations de comportement. Vous pourriez faire une simulation d’hameçonnage ou un quiz avant le lancement du programme d’ambassadeurs de sensibilisation à la sécurité et le refaire quelques mois après.
« Une culture ne se change pas du jour au lendemain, souligne Zafirakos. Les employés ont besoin de temps pour modifier leur façon de penser et comprendre les conséquences de leurs actions ou inactions. Une fois que c’est fait, ils appliquent leurs apprentissages au travail, puis à la maison, avec leurs enfants, et ils deviennent partie intégrante de la solution en matière de sécurité ».
La formation en sensibilisation à la sécurité réduit le risque de cyberattaque
Pour en apprendre davantage sur la façon d’établir un programme de sensibilisation à la sécurité et informer vos employés sur les bonnes pratiques en matière de cybersécurité, téléchargez ce document infographie sur notre démarche de sensibilisation à la sécurité en cinq étapes.