On Oz
Du collaborateur à l’individu… Comment la façon de sensibiliser et de former à la sécurité numérique a complètement muté ?
17/01/2018

Du collaborateur à l’individu… Comment la façon de sensibiliser et de former à la sécurité numérique a complètement muté ?

Il y a encore une dizaine d’années, former ses collaborateurs à la cybersécurité, revenait pour l’entreprise à faire une présentation Powerpoint des normes ISO 27001 et 27002. Cela a bien changé - fort heureusement - même si des efforts restent à faire, surtout pour l’éducation du grand public, à commencer par les plus jeunes.

Le paysage de la formation s’est considérablement étendu et étoffé, alors que celui de la sensibilisation a littéralement émergé, avec des contenus plus adaptés, sous des registres plus légers voire ludiques et très diverses, puisque sans qu’il n’y ait aucune agrégation de contenus à l’heure actuelle, on trouve des sources tant livresques, vidéos, qu’infographiques. Ces dernières années ont vu dans quelques grandes entreprises françaises des ouvertures de poste dédiées à la sensibilisation interne des collaborateurs. Ces personnes à la manœuvre ont développé des stratégies pluridisciplinaires, en s’intéressant tant à la pertinence des contenus, à la façon de les dispenser, qu’à leur marketing et aux leviers mentaux nécessaires pour engager les intéressées, tant la matière est par essence anxiogène et difficile à rendre attractive.

Le présentiel reste évidemment la méthode la plus efficiente. Mais pour sensibiliser, la recette unique n’existe pas, car tous les cerveaux raisonnent, mémorisent ou réagissent différemment. Grâce aux technologies et pour être au plus près de chaque typologie de cibles, ce sont bien d’autres façons de convaincre qui ont été permises, à l’instar de sessions de e-learning, de serious games et autres MOOC. Le plus marquant restant celui de l’ANSSI, en lice d’ailleurs au concours du meilleur MOOC de l’année 2017.

Malheureusement, cette implication n’est pas commune à toutes les entreprises, qui ont parfois bien du mal à s’y mettre et à décliner ses bonnes pratiques depuis le haut de la hiérarchie jusqu’à tous les collaborateurs. C’était sans compter les dernières attaques de masse très médiatisées notamment ces 3 dernières années. Elles ont déclenché une vague de prise de conscience de la part des dirigeants d’entreprises, groupes comme PME, et notamment les interrogations sur leur part de responsabilité en cas d’incident et niveau réel de protection. La médiatisation de certains témoignages de victimes françaises comme celui du patron de TV5 monde ou du gérant de l’entreprise de service Clermont Pièces y sont surement pour quelque chose.

Cette implication - certes un peu contrainte et forcée des dirigeants et des métiers est concomitante d’une autre tendance à noter : celle de la prise de conscience cette fois, des experts de la cybersécurité, d’avoir surévalué le niveau de connaissances des citoyens et des salariés, non seulement à la sécurité mais avant tout et simplement à la chose informatique, s’expliquant davantage par une incompréhension de l’univers et de son jargon plus que un manque d’intérêt réel. Longtemps domaine réservé du geek qui ne laisse personne approcher ses joujoux informatiques, comme un Chef n’accepte aucun intrus dans sa cuisine, cette prise de conscience a fait sauter un verrou et a permis au marché de comprendre l’importance de l’entraînement, de l’intégration par l’exemple, de décortiquer l’informatique et les attaques, en somme de faire de la pédagogie et ainsi, développer des offres de training concrets.

Institutionnellement, si les OIV et administrations ont été les premiers à bénéficier de référentiels pour se sécuriser, car il fallait bien parer au plus urgent, le grand public et les PME ont besoin de cette éducation, à commencer par les plus jeunes.

Nés pour certains après la naissance du smartphone, les jeunes gens ont tendance à avoir une confiance chevillée au corps en leur prothèse numérique dont ils peuvent difficilement s’extraire. On mélange souvent la facilité de se débrouiller avec une interface et la réelle maîtrise du terminal. Tous les enfants à l’aise avec leurs applications ne sont pas pour autant des hackers nés. La différence est grande et beaucoup ne mesurent en rien le niveau de vulnérabilités et de menaces au sein du cyberespace.

Si Cybermalveillance.gouv.fr et des associations ont pris le sujet à bras le corps, comment s’assurer de façon pérenne que l’éducation apportera le bagage minimum à tous les enfants et futurs acteurs économiques connectés de demain ?

Nos autres billets d'humeur...
04/11/2018

La sécurité comme un accélérateur de business

Les systèmes d’authentification modernes simplifient la fusion informatique lors d’un rachat. La nouvelle génération de firewall virtualisés rend possible le déploiement d’appli...

04/11/2018

RSSI : le challenge de mieux anticiper pour moins subir

Le périmètre à sécuriser s’étend au-delà de l’IT et nécessite de travailler avec des partenaires qui connaissent mieux les métiers de l’entreprise. Les SOAR sont de nouveaux log...

04/11/2018

Multi-Cloud : le défi de rester protégé quand les données s’éparpillent

Les données et les applications migrées en Cloud ne bénéficiant plus des remparts physiques des serveurs, les entreprises doivent déployer des règles de sécurité plus élaborées....

04/11/2018

Intelligence artificielle : le nouveau moyen de détecter l’indétectable

Les dispositifs de protection classiques, reposant sur la reconnaissance d’empreintes connues, sont inopérants face aux nouvelles générations de malwares. Grâce à leur moteur de...

04/11/2018

Ransomwares, cryptojacking : les malwares atteignent une efficacité inédite

Les pirates ne frappent plus au hasard mais visent les meilleurs gains et les attaques qui peuvent rester discrètes le plus longtemps possible. Face à la sophistication des mena...

04/11/2018

Fuites de données : comment y faire face ?

Les DSI et les RSSI naviguent en plein brouillard en ce qui concerne la sécurité intérieure, à cause d’un périmètre utilisateur de plus en plus complexe. Fouiner sur les espaces...

04/11/2018

Espionnage : les nouveaux moyens des hackers pour infiltrer les entreprises

Les hackers privilégient désormais l’usage des protocoles et des commandes disponibles dans les systèmes ciblés, plus discrets que l’infection par un malware espion. Ils n’attaq...

04/11/2018

Phishing : vers un ciblage sophistiqué des victimes

Cibler une victime permet de gagner plus et de passer sous les radars des dispositifs de sécurité. Dans ce contexte, les cybercriminels préfèrent s’en prendre aux entreprises pl...

19/01/2018

L’Europe, le nouvel échiquier de la sécurité numérique

L’action cyber sécurité européenne sur un plan opérationnel a longtemps consisté en la tenue d’exercices et de simulations de crise cyber. Aujourd’hui, portée par les politiques...