Cybersécurité : des connaissances et compétences cruciales aussi bien dans le cadre du travail que dans la vie quotidienne

0
109

Selon la direction des études et statistique du ministère du Travail, il existe plus de 60 000 formations et 32 milliards d’euros par an y sont consacrés. Malgré des améliorations, en sciences cognitives notamment, la lassitude des formations est une préoccupation qui touche les entreprises de toutes tailles et dans tous les secteurs d’activité.

Tribune par Vincent Merlin, Vice-Président, Marchés Internationaux, Proofpoint – Elle concerne en particulier les grands groupes cotés en bourse qui ont des obligations envers leurs employés en matière de formation professionnelle. A cela s’ajoutent d’autres aspects tels que les budgets serrés, les ressources limitées et la perception que de meilleures pratiques de cybersécurité ne génèrent pas forcément de revenus. Tout ceci conduit les entreprises à reléguer la sensibilisation à la sécurité au rang des formations optionnelles plutôt qu’obligatoires.

C’est ici, selon nous, que les organisations se trompent. Les données numériques sont si intrinsèquement liées aux processus et procédures d’entreprises – dans chaque fonction et chaque département – que vous ne pouvez pas vous permettre de faire l’économie des compétences en cybersécurité. Que vous ayez personnellement minimisé la nécessité d’une sensibilisation aux règles de cybersécurité à l’échelle de votre organisation ou que vous luttiez pour convaincre vos décideurs, voici trois raisons pour lesquelles vous devriez recadrer la conversation autour de la formation en cybersécurité :

#1: Les pirates se concentrent sur les employés… mais beaucoup d’organisations ne le font pas

Le rapport sur l’état du Phishing récemment publié, et d’autres travaux de recherche de Proofpoint, observent l’importance accrue accordée par les cybercriminels aux cibles humaines et à l’utilisation de techniques ingénieuses pour accéder aux données, aux dispositifs et aux systèmes. Selon ce rapport, ce type d’attaques qui s’appuient sur l’ingénierie sociale ont augmenté de 150% par rapport au trimestre précédent.

Les attaquants recherchent des organigrammes de haut en bas pour trouver des intrusions, il ne s’agit pas seulement de s’attaquer aux VAP (Very Attacked People, les personnes les plus ciblées par ces attaques). Les employés non cadres d’une entreprise peuvent être ciblés aussi fréquemment (voire plus fréquemment) que les cadres du top management.

Chaque collaborateur dans votre entreprise peut être un maillon faible ou un maillon fort. Mais tout comme les prouesses physiques, la force de la cybersécurité ne peut pas être maximisée avec une pratique irrégulière et une attention discontinue au développement des compétences.

Les attaques de phishing sporadiques simulées et les formations peu fréquentes ne permettront pas à vos employés de s’améliorer Vous devez donner aux employés la possibilité d’apprendre en continu et d’acquérir les compétences nécessaires pour mieux protéger les applications et les données.

#2 : Les utilisateurs finaux sont inextricablement liés à la sécurité des systèmes informatiques et à l’IT

Les équipes de sécurité informatiques et d’IT sont chargées de s’assurer que les appareils, les processus et les procédures informatiques fonctionnent de la manière la plus fluide et la plus efficace possible. Même lorsque les attaques de phishing, les virus par des logiciels malveillants et les brèches dans les données résultent d’erreurs de l’utilisateur final, ces équipes sont livrées à elles-mêmes pour expliquer la cause (et réparer les dégâts).

Bien que cela puisse engendrer de la frustration (des deux côtés), la réalité est que les utilisateurs finaux et les professionnels de la sécurité ont une relation symbiotique – et cette relation est minée par un état d’esprit de confrontation (« nous contre eux »). Un plus grand engagement envers la formation de sensibilisation à la sécurité peut améliorer les choses pour toutes les parties. Les utilisateurs finaux mieux informés sont plus prudents et créent moins d’incidents que les équipes de sécurité peuvent identifier et corriger.

#3: Vos collaborateurs apprécient les compétences transférables

Les utilisateurs finaux peuvent être l’un des obstacles au succès de la formation en cybersécurité. Mais dans ces cas, le problème peut souvent être imputable à un manque de communication et de pédagogie.

Les employés devraient être considérés comme des parties prenantes aux programmes d’éducation à la cybersécurité – ce qui échappe à de nombreuses organisations (à leurs risques et périls). Les employés qui estiment savoir ce qu’on leur demande – et pourquoi – ont tendance à s’investir davantage dans l’acquisition de nouvelles compétences. De plus, il est à votre avantage de rappeler aux personnes de votre entreprise que les compétences qu’ils apprennent sont transférables ; elles peuvent être utilisées à la maison (pour améliorer la protection des appareils personnels et des données) et partagées avec leurs amis et leur famille (ce que de nombreux utilisateurs finaux de nos clients sont désireux de faire).

Ne sous-estimez pas le désir de vos employés d’acquérir de nouvelles compétences pertinentes et utiles sur le plan personnel. La messagerie électronique, les services bancaires en ligne, les SMS et les médias sociaux ne sont que quelques-unes des façons dont les gens communiquent et partagent des données sur une base quotidienne. Ainsi, les compétences en matière de cybersécurité peuvent souvent être mises à profit au travail mais également dans leur vie personnelle.