La sensibilisation à la cybersécurité donne-t-elle des résultats?

EXPERT INVITÉ. Le mois d’octobre, dédié à la sensibilisation à la cybersécurité, est l’occasion idéale pour repenser nos stratégies en matière de formation et de sensibilisation à la cybersécurité.

Avec l’évolution constante des cybermenaces, il est essentiel que les méthodes de sensibilisation s’adaptent pour protéger efficacement tant les organisations que les individus. Dans cet article, nous passerons en revue les méthodes actuelles, analyserons leur efficacité à l’aide de certaines statistiques pertinentes et présenterons des approches émergentes qui à l’aube d’Halloween, semblent plus que nécessaires face à un paysage numérique de plus en plus effrayant.

Des débuts motivés par la conformité

Les méthodes actuelles de sensibilisation à la cybersécurité ont gagné en popularité au cours de la dernière décennie. Initialement, le principal incitatif pour la mise en place des programmes de sensibilisation et de formation du personnel en cybersécurité était la conformité aux normes et régulations. Des cadres tels que SOC 2, ISO 27001, HIPAA et le RGPD exigent qu’un programme de sensibilisation et de formation soit en place et soit exécuté de manière systématique. Ces cadres imposent aux organisations de démontrer leur engagement à sécuriser les informations sensibles. Ainsi, les programmes de sensibilisation à la cybersécurité étaient d’abord perçus comme une exigence de conformité.  Dans leurs phases initiales, ils étaient principalement motivés par la nécessité de répondre aux audits et de se conformer aux régulations, plutôt que par l’objectif d’améliorer de manière proactive la culture de sécurité au sein des organisations.

Les méthodes de sensibilisation et de formation les plus fréquentes

1 – Module de formation en ligne:

Formation via de courts modules accessibles aux employés à leur propre rythme. C’est une méthode très courante, flexible et rentable, bien adaptée aux grandes organisations.

2 – Simulations d’hameçonnage et d’ingénierie sociale:

Utilisation de simulations d’attaques par hameçonnage pour tester la réaction des employés face à des menaces réelles. Cela permet de cibler les utilisateurs les plus vulnérables et leur offrir des formations plus spécifiques ou dans certains cas, révoquer leurs accès.

3 – Journées thématiques:

Les journées thématiques sur des sujets spécifiques, comme la protection des données ou la sensibilisation à l’hameçonnage, permettent de focaliser l’attention sur un thème clé pendant une période donnée. Elles peuvent inclure des webinaires, des activités interactives et des discussions pour mieux comprendre les risques. Les affiches et autres supports visuels, tels que les infographies et bannières, renforcent les messages de sécurité en servant de rappels réguliers des bonnes pratiques, comme éviter les courriels suspects, éviter de partager les mots de passe ou signaler une attaque.

Est-ce que ces méthodes donnent des résultats concrets ?

Plusieurs études et rapports montrent que, bien que les méthodes traditionnelles de sensibilisation à la cybersécurité – comme celles listées plus haut – soient largement utilisées, leur efficacité atteint rapidement un plateau. Malgré les efforts et les investissements dans ces méthodes de formation, de nombreux utilisateurs restent vulnérables aux cybermenaces. Les changements de comportement qu’elles induisent sont souvent très limités.

Selon un rapport de l’Institut SANS, même les organisations dotées de programmes de sensibilisation à la sécurité bien établis continuent de considérer les attaques d’ingénierie sociale comme une préoccupation majeure. Ce rapport souligne que, bien que la formation soit répandue, le taux d’erreurs humaines reste élevé.

Un rapport de l’ISACA, un peu moins récent, mais toujours pertinent, abonde dans le même sens.  Malgré un fort accent mis sur la formation et la sensibilisation, les organisations peinent à transformer la connaissance diffusée en changements de comportement concrets.

En résumé, ces résultats indiquent que, bien que les méthodes de formation traditionnelles soient nécessaires, elles ne suffisent pas toujours à induire des changements de comportement significatifs.

La mémoire est une faculté qui oublie

Plusieurs études démontrent pourquoi les méthodes traditionnelles de sensibilisation et de formation à la cybersécurité atteignent un plafond d’efficacité. Ces méthodes ont tendance à atteindre leurs limites en raison des facteurs suivants.

1 – Manque d’engagement des utilisateurs:

Lorsque les mêmes formations sont répétées chaque année, les employés perdent rapidement l’intérêt et considèrent ces sessions comme une simple formalité ennuyeuse, une corvée. Cela réduit l’impact positif de la formation, car les programmes deviennent routiniers et manquent de nouveauté pour maintenir l’engagement. Le rapport d’ISACA souligne que de nombreux programmes reposent sur des répétitions peu engageantes qui n’apportent pas l’engagement nécessaire pour provoquer des changements de comportement durables​.

2 – Oubli rapide des informations:

La courbe de l’oubli ou courbe d’Ebbinghaus est un phénomène bien connu dans l’apprentissage. Les utilisateurs oublient une grande partie de ce qu’ils ont appris dans les semaines suivant la formation, surtout s’il n’y a pas de renforcement constant. Les programmes de formation qui n’offrent pas de rappels réguliers ou de nouvelles façons de réengager les employés voient leur efficacité diminuer rapidement​.

3 – Faible suivi comportemental:

Il est également souligné que les programmes traditionnels ne sont pas suffisamment axés sur le suivi comportemental continu. Après la formation initiale, il n’y a souvent pas de mécanisme pour évaluer si les employés ont réellement modifié leur comportement en réponse aux menaces. Il n’y a pas d’indicateur de performance. L’indicateur est souvent binaire, est-ce que la formation a été suivie oui ou non.  On ne mesure pas si le comportement a changé.

4 – Déconnexion avec la réalité concrète:

Les méthodes purement théoriques ou abstraites, telles que les cours en ligne ou les affiches, ne parviennent pas à amener les utilisateurs à changer leur comportement, car elles ne se basent pas sur des expériences concrètes. Des études montrent que les gens apprennent mieux lorsqu’ils sont exposés à des scénarios réels qu’ils viennent de vivre.

En somme, bien que les méthodes traditionnelles soient essentielles, elles atteignent un plateau à cause de ces limitations, nécessitant une approche plus interactive et engageante pour assurer une adoption plus durable des bonnes pratiques en cybersécurité.

Les tendances émergentes dans le domaine de la sensibilisation

Bien que les méthodes traditionnelles de sensibilisation à la cybersécurité jouent un rôle important dans la formation des employés, elles atteignent aujourd’hui leurs limites. Le manque d’engagement des utilisateurs, l’oubli rapide des informations et l’absence d’indicateurs de suivi des comportements compromettent l’efficacité de ces méthodes et, par ricochet, la sécurité des organisations.

Pour aller au-delà de ces limites, il est essentiel d’adopter une approche plus interactive, proactive et collée au contexte des utilisateurs. Une tendance émergente consiste en la mise en place de programmes qui visent à induire des comportements cybersécuritaires.

Un programme de sensibilisation à la cybersécurité moderne («Security Behavior and Culture Program» ou SBCP) doit offrir des mécanismes d’apprentissage continus, des outils simples et ludiques pour aider les employés à gérer les risques au quotidien, ainsi qu’une visibilité en temps réel pour les équipes de sécurité afin de surveiller les comportements trop risqués.

Voici quelques éléments qu’un bon programme de modification des cybercomportements devrait mettre de l’avant.

1 – Approche basée sur la personnalisation et le contexte de l’utilisateur:

Le programme doit s’adapter au contexte spécifique de chaque employé incluant son rôle au sein de l’organisation. Des suggestions personnalisées et contextuelles rendent l’apprentissage plus pertinent, notamment dans la gestion des accès aux données sensibles en fonction des responsabilités des utilisateurs.

2 – Suivi comportemental et indicateurs de performance continus:

Plutôt que de se concentrer uniquement sur la participation aux formations, un programme SBCP moderne doit suivre les comportements des utilisateurs après la formation. Des indicateurs permettant de mesurer l’évolution des comportements en matière de cybersécurité sont essentiels.

3 – Automatisation de la gestion des accès et des risques:

La gestion des accès doit être automatisée, notamment pour les environnements comme Microsoft Teams, SharePoint et OneDrive. En intégrant des notifications proactives et des outils simples, le programme permet aux employés de gérer facilement leurs accès tout en assurant que les équipes de sécurité ont une vue d’ensemble en temps réel des comportements risqués.

4 – Renforcement continu via des rappels et des microapprentissages:

La répétition est un facteur clé pour consolider l’apprentissage. Un programme efficace doit inclure des rappels réguliers pour s’assurer que les employés n’oublient pas les concepts appris et continuent d’appliquer les bonnes pratiques de sécurité.

5 – Engagement et interaction:

Un programme SBCP moderne doit rendre la cybersécurité interactive et engageante à travers des formats ludiques, des jeux-questionnaires, des situations réalistes ainsi que d’approches inspirées de jeux vidéo. Cela aide à maintenir l’intérêt des employés et à rendre l’apprentissage plus agréable, favorisant ainsi un changement de comportement durable.

En conclusion, la sensibilisation à la cybersécurité est devenue de plus en plus cruciale dans un monde où les menaces numériques sont omniprésentes et en constante évolution. Il est de notre responsabilité de fournir aux employés et aux utilisateurs les outils nécessaires pour développer les bons réflexes face à ce fléau. En renforçant leurs connaissances et leur vigilance, nous contribuons à protéger l’organisation tout en favorisant une culture de sécurité solide et proactive.