Evaluer, oui. Mais, d’abord, bien comprendre de qui relève la responsabilité de la cybersécurité, de l’entreprise ou des individus ?
« Evaluer les collaborateurs sur leurs compétences en cybersécurité n’est que la finalité, le bout du chemin », prévient Stanislas Van Oost, Founder & MD, Easiance.
En décidant cet été d’intégrer la cybersécurité aux évaluations de performance de ses collaborateurs, Microsoft a envoyé un message fort. Comment l’entend-t-on en Belgique ? Solutions ouvre le dossier. Deuxième article sur trois : sensibilisation et formation.
« Le risque en matière de cybersécurité ne provient pas que des failles dans la technologie ou les applications, les comportements à risque comme cliquer sans réfléchir sur un lien arrivant par e-mail ou les mots de passe trop faibles et les post-its collés sous les claviers sont des réalités, rappelle Marc Mutelet, CEO, MGK Technologies. La meilleure façon de passer à l’offensive reste de former les personnels, d’expliquer les risques et les dangers et fournir les outils nécessaires, comme un gestionnaire de mots de passe par exemple. Aussi, évaluer les personnels permet de vérifier les acquis, de planifier les formations sur les points où cela pêche et d’améliorer la cyber-résilience globale. »
Multiplier les facilitateurs
Si la responsabilité de l’atteinte de l’objectif est du côté du collaborateur, encore faut-il que l’organisation ait mis en place des ‘facilitateurs’ qui permettent de l’atteindre, répond Stanislas Van Oost (Easiance).
Parmi les facilitateurs le plus souvent rencontrés, il y a les exercices de phishing. Ces exercices doivent être utilisés de manière éducative et non punitive. « L’objectif doit être de conscientiser, pas de sanctionner, insiste Stanislas Van Oost. Mais cela ne suffit pas, il faut aussi mettre en place d’autres facilitateurs, tels que des auto-formations, des ateliers, des e-mails, des posters, des quizz et, pourquoi pas, des petits exercices tels que fournir la date de la dernière signature de l’anti-virus. La gamification est certainement une bonne approche pour ce défi ! »
« Et si tout commençait dès l’école ? », questionne, un rien frondeur, Peter Braem, CEO, Cyber Security Management. Pour s’assurer que chacun dispose des bases en matière de cybersécurité et changer les (mauvaises) habitudes, ne faudrait-il pas commencer à sensibiliser le plus tôt possible ? Après tout, préparer les enfants au monde de demain, cela signifie aussi les éduquer au numérique. Tout comme il existe déjà des cours de codage et de sensibilisation au langage informatique dans certaines écoles, on pourrait envisager des cours d’hygiène numérique, pour inculquer aux enfants les bons réflexes de cybersécurité. « Apprendre les bases d’une bonne hygiène numérique ne devrait pas avoir de limite de statut ou d’âge. Je suis intimement persuadé que l’école a un rôle à jouer dans l’éducation à la cybersécurité, à la fois pour comprendre comment fonctionne Internet mais aussi pour découvrir de nouveaux métiers », défend Peter Braem.
Chacun a un rôle à jouer
Avant de penser à évaluer, pensons pédagogie, suggère Grégory Van Ass, CIO, Noshaq. « J’ai le sentiment que nos organisations ont encore beaucoup à faire en termes de sensibilisation et de formation. Chez Noshaq, nous avons misé sur la double approche via une solution spécifique : formation et testing. »
L’intérêt ? L’interactivité ! L’apprenant peut être pleinement acteur de son apprentissage. Et, ainsi, d’éviter la passivité devant un texte déroulant, trop long et peu captivant. L’incorporation d’un fil rouge, d’un ou de plusieurs personnages, et une histoire engageante accroît la motivation et donc l’efficacité de l’enseignement. Dernière tendance en date, le micro-learning : des sessions courtes et efficaces pour maximiser les apprentissages selon le temps de concentration de l’apprenant.
Comme le note un expert en cybersécurité, « chacun a son rôle à jouer pour ne pas mettre la communauté en danger. Maintenant, ici on parle plus d’un point de vue HR que cyber, les textes réglementaires européens -comme NIS2, voire le GDPR- parlent de la responsabilité des entreprises et de leurs dirigeants à informer, former, maintenir à jour leurs employés. C’est clair, c’est net. Côté employés, je ne recommanderais pas un indicateur personnel, mais plutôt une mesure de l’efficacité d’une formation s et les résultats de tests d’intrusion ou autres techniques d’OSINT. »
Evaluer… responsabilité partagée
Finalement, on revient toujours à la question originelle : la cybersécurité relève-t-elle de la responsabilité de l’entreprise ou des individus, interroge Maarten Keisers, Cyber Security Advisory Lead, Fujitsu. « La responsabilité est partagée. L’entreprise doit fournir les outils, la formation et la culture propices à la promotion de la sécurité, et mettre en place des politiques et des mesures de défense. Par ailleurs, les employés, en portent également la responsabilité. Les actions individuelles, telles que l’évitement des attaques de phishing ou le respect des meilleures pratiques en matière de gestion des mots de passe par exemple, ont une incidence directe sur la sécurité de l’entreprise. »
« Cela inclut les compétences et la formation dans les domaines du Machine Learning et de l’IA, par exemple, qui sont de plus en plus utilisés dans les outils de sécurité, complète Aurélie Couvreur, CEO, MIC. Cela peut augmenter la rétention et également montrer à votre équipe que vous vous investissez pour elle et que vous êtes prêt à l’aider à se développer. »