5 conseils pour créer une formation efficace d’hygiène numérique en entreprise

63% des attaques sur les systèmes informatiques utilisent des mots de passe par défaut, faibles, ou volés affirme un rapport 2016 de Verizon. Et comme 30% des messages de phishing ont été ouverts en 2015 et que 12% des cibles ont cliqué sur un lien malveillant (toujours selon la même étude) nul doute qu’il convient d’éduquer les employés tout comme les dirigeants à une bonne hygiène numérique. C’est la santé du système d’information qui est en jeu !

 

Que vous travaillez dans une petite ou grande entreprise, vous n’allez pas aller voir chaque employé pour le sermonner sur ce qu’il faut et ne pas faire en matière d’hygiène numérique. Pensez plan de formation.

1. Préparer un plan de formation et renforcer les défenses

Et pour le construire posez vous les questions utiles. Sur qui concentrer ses efforts ? Oui, tout le monde doit être concerné par l’hygiène numérique, mais certains profils (pensez âge, générations, usages) devront bénéficier en priorité de vos bons conseils. Cela devrait vous amener à classer les utilisateurs en catégories plus ou moins sensibles, et de revoir leurs privilèges d’accès aux informations en passant.

Dans ce processus, n’oubliez pas les périphériques. La logique de BYOD modifie en profondeur l’appréhension de la sécurité d’entreprise. Les appareils mobiles sont ils gérés ou non par l’entreprise ? Voilà un bon point de départ pour investiguer.

2. Montrer l’exemple

Pour créer un programme de formation à la sécurité numérique, il faut impliquer les chefs. Pas seulement dans le rôle de management, mais également en tant qu’utilisateurs. C’est clairement le seul moyen de donner l’impulsion. Car justifier des avantages d’une bonne politique de sécurité est simple. Obtenir le soutien et l’adhésion du top staff est bien que plus difficile.

Ensuite, passer à la prise de conscience. Les intervenants des formations peuvent commencer par citer les nombreuses études disponibles pour sensibiliser et justifier de l’utilité de la formation. Les 158 dollars perdus en moyenne par enregistrement sensible dérobé, selon le Ponemon Institute, peuvent ici être un bon point de départ. Sans compter que ce chiffre ne prend en compte ni l’image de la société ni les opportunités d’affaires manquées de ce fait.

3. Mettre la pression dans la durée

Une session annuelle de formation est une bonne idée pour commencer. Mais l’hygiène numérique c’est comme le secourisme : les leçons apprises sont très souvent oubliées au plus tôt. Pour les transformer en bonnes habitudes, il faut autre chose. Sans aller jusqu’à de la formation continue, la formation doit être suffisamment flexible pour intégrer les nouveautés (nouvelles techniques de phishing et d’attaque par exemple).

Quels outils alors ? Les webinaires actualisés, les affiches de sensibilisation, les exercices en situation réelle sont de bons outils. Penser aussi à un référent en cas de question, qui puisse également être proactif sur les sujets de sécurité numérique. Bien sûr, il faut que cette personne ait suffisamment de crédibilité pour favoriser la confiance et le dialogue. Et que sa pratique soit exemplaire.

Pour les grandes organisations, cela passe éventuellement par la nomination de champions de la cybersécurité. A un niveau plus modeste, exiger la présence d’écrans de confidentialité pour toute personne manipulant des données sensibles est un bon moyen de sensibiliser et d’encourager les employés à s’éduquer les uns les autres sur les meilleures pratiques.

4. Oui, une formation peut être obligatoire

Pour de nombreux employés, la formation en ligne est un investissement en temps peu valorisé. Ils estiment que les priorités sont ailleurs. Faire la formation doit donc devenir une exigence professionnelle au même titre que les autres priorités.

Communiquer chaque mois sur le nombre de personnes formées dans chaque direction est un bon moyen de bouger les consciences et de susciter des vocations. C’est aussi un excellent moyen pour mesurer l’avancement de votre formation en hygiène numérique au regard des autres formations réalisées dans l’entreprise.

5. Rester simple

Si un programme de formation complet n’est pas à portée de main immédiatement, vous pouvez néanmoins faire des miracles en concentrant les premières formations sur les trois principaux risques de sécurité. Les mots de passe faibles, le hameçonnage et le clic irréfléchi sur les pièces jointes restent les principaux moyens d’attaque.

Pour aller plus loin sur ce sujet