E-learning sécurité informatique : pourquoi choisir un spécialiste ?
Identifier et restituer, sous forme de contenus, les risques informatiques qui peuvent naître d’un comportement utilisateur nécessite une maîtrise technique avérée. Le mariage des expertises de la cybersécurité et de la pédagogie est la clé pour impacter durablement la culture SSI d’une entreprise.
C’est presque un oxymore, quand la notion de sensibilisation sonne avec introduction et découverte, celle de cybersécurité révèle tout un champ de complexité inexplorée.
Comme en cuisine, la clé c’est la recherche d’un juste équilibre entre la complexité des arômes, des textures et du rendu pour une association réussie.
En somme, un cocktail de complexité dans son plus simple apparat. Less is more …
Atteindre ce niveau de minimalisme implique une parfaite maîtrise du sujet afin de restituer toute la force de son message.
Voilà pourquoi nous pensons qu’en matière de sensibilisation à la cybersécurité, il n’y a pas de compromis possible, le contenu du spécialiste est la clé.
1 – Sensibilisation cybersécurité : Le mariage de l’expertise et de la pédagogie
Comme en cuisine, le monde de l’IT et des systèmes d’information est foisonnant. Architecture réseaux et système, progiciel de gestion, application dédiée métier, système de gestion des données techniques … autant de composantes classiques du système d’information. Cependant, la carte n’est pas le territoire, enfin pas pour tout le monde.
Dans la pratique, cette catégorisation du SI n’existe probablement pas dans l’esprit de vos collaborateurs, qui n’arpentent pas les couloirs du département IT. Et c’est parfaitement normal, à chacun ses lubies. Pour autant, chacun de vos dits collaborateurs interagit tous les jours de manière concrète et directe avec tout ce qui compose le système d’information de votre entreprise.
Cartographier pour chaque composante SI, les risques qui peuvent naître d’un comportement utilisateur nécessite donc une maîtrise technique avérée.
C’est généralement l’expertise que développe un pure player de la cybersécurité. À travers la variété des secteurs d’activité et des infrastructures IT rencontrées, un expert cyber est en effet capable de cumuler énormément de connaissance au sujet du management de la sécurité des systèmes d’information.
Cette connaissance est une matière brute qui subit des transformations avant de se présenter sous la forme d’une campagne de sensibilisation à la cybersécurité.
En pratique la première étape consiste à identifier l’ensemble des vulnérabilités systèmes, réseaux, logiciels et matériels d’un environnement. Un score, modélisant l’impact du risque de sécurité pour l’entreprise, est attribué à chaque vulnérabilité. Ce score peut être pondéré par d’autres facteurs comme la récurrence de comportements humain perfectibles.
Cette classification par niveau de criticité permet de trier la matière première sur laquelle l’équipe pédagogique travaille. Notez bien que le processus est continu, il intègre régulièrement de nouveaux risques SI identifiés sur le terrain.
Dans ce cadre, la démarche collaborative entre l’ingénierie technique et pédagogique est un facteur clé de succès déterminant pour concevoir un véritable plan de sensibilisation à la cybersécurité.
Le rôle de la pédagogie est de rendre digeste, attrayante et actionnable la matière première sécrétée par les spécialistes cybersécurité. Tout un programme, c’est le cas de le dire.
Les principes fondamentaux de la Pédagogie, comme l’apprentissage par l’engagement, l’ancrage et l’application des connaissances, sont ici essentiels pour construire une connaissance qui reste.
Sur ces questions de forme, il est possible de combiner des procédés comme :
◼︎La gamification pour favoriser l’engagement, grâce un apprentissage ludique
◼︎Les piqures de rappel plus ou moins espacés dans le temps, pour lutter contre l’oubli
Naturellement ces principes pédagogiques, pour s’appliquer correctement ont besoin d’un contenant. C’est alors que se pose la question de la plateforme de sensibilisation, plus communément appelée LMS. Et les enjeux sont multiples :
◼︎Comment s’assurer d’offrir des contenus adaptés à chacun ?
◼︎Comment intégrer les spécificités et la criticité de chaque métier ?
◼︎Comment évaluer le succès d’une campagne de sensibilisation cybersécurité ?
◼︎Comment mesurer l’impact d’un programme de formation aux risques SI sur la culture interne ?
2 – De la Sensibilisation à la Formation cybersécurité : Maîtriser le risque SI de bout en bout
Plus encore que la question du contenant, l’enjeu est finalement de mettre sur pied un véritable plan de maîtrise du risque SI. De couvrir son organisation de bout en bout. Le premier niveau de votre plan de sensibilisation devrait être celui de l’acculturation aux différents terrains de vulnérabilités, qui concerne absolument chaque collaborateur. Mot de passe, périphérique externe, ingénierie sociale, phishing etc, autant de sujets essentiels sur lesquels une première couche de sensibilisation devrait améliorer les réflexes du quotidien.
Pour s’assurer que chaque collaborateur soit acteur et moteur de sa formation, il est essentiel de proposer un parcours qui lui apporte une valeur tangible au quotidien. Ainsi, il est possible de proposer des séquences spécifiques de sensibilisation selon les directions métiers visées. Ici, la variété des formats est un formidable levier pédagogique pour sensibiliser aux risques fondamentaux.
Un exemple concret, vous envisagez de former le département Relation Client qui reçoit un grand nombre d’email par jour.
Premier scénario possible et classique:
◼︎ En semaine 0, vous proposez deux modules e-learning sur les risques liés au phishing email.
◼︎ En semaine 3, vous lancez un quiz pour vous assurer que les notions de base sont intégrées.
◼︎ En semaine 6, c’est une campagne de simulation d’hameçonnage, dite faux phishing, qui vous permettra d’évaluer les comportements en situation réelle.
Vous l’aurez compris cette séquence est modulable, il est possible de l’enrichir, de l’affiner etc. Plus encore, votre séquence est personnalisée, celle que vous préparez pour le département Marketing sera probablement différente.
Quid de l’application des obligations RGPD chez vos collègues du Marketing ?
Dans un second temps pour aller plus loin, vous pourrez compléter l’approche sensibilisation cybersécurité par de la formation.
La logique de construction des parcours sera la même avec un ajustement plus fin selon les métiers.
Les enjeux de sécurité de l’administration des systèmes et des réseaux impliquent des connaissances avancées en matière de normes de management de la sécurité des systèmes d’information. Les enjeux en matière de sécurité des développements touchent des sujets complétement différents. Qu’en est-il du respect du référentiel OWASP sur le protocole d’authentification de l’application web que vous vendez ?
Pour certaines de ces formations, la certification est également un vecteur de valorisation des compétences qui ne manquera pas de motiver les apprenants.
C’est également l’occasion pour le RSSI de contribuer à la politique GPEC et d’amorcer un partenariat RH-RSSI-DSI transverse et bénéfique pour chaque partie prenante.
Pour conclure, impacter durablement la culture cybersécurité de votre organisation c’est proposer une approche personnalisée et inclusive de la sensibilisation-formation aux risques informatiques.
Pour modifier les comportements et protéger son SI, quoi de mieux qu’un spécialiste capable d’identifier les principales vulnérabilités … et de les restituer dans un cheminement pédagogique clé en main ?