Fermez les yeux et repensez à la dernière formation en cybersécurité que vous avez suivie. Allez-y, faites le, elle remonte à quand déjà ? C’est la page blanche n’est ce pas ? Soyez honnête, nous ne vous jugerons pas !
En réalité, il faudrait un miracle pour que vous vous souveniez de votre formation en cybersécurité. En effet, les cours génériques sur le cryptage des données et les meilleures pratiques en matière de mots de passe ne sont pas vraiment passionnants. Malheureusement, toutes ces formations inintéressantes n'aident qu'un seul groupe : les hackers.
Dans cet article, nous examinerons les raisons pour lesquelles la plupart des formations de cybersécurité ne nous préparent pas à faire face à la liste toujours plus longue des menaces auxquelles nous sommes confrontés en ligne. Retrouvez en fin d’article nos 4 étapes pour une formation concrète et attrayante qui non seulement assure la sécurité des employés, mais suscite également leur intérêt.
Commençons par examiner les raisons pour lesquelles la cybersécurité est plus importante que jamais.
La cybersécurité est essentielle - alors pourquoi la formation est-elle si ennuyeuse ?
La riposte contre le virus COVID-19 a donné lieu à un essor considérable de l'activité numérique puisque 30 % des entreprises ont développé leurs services en ligne pendant la pandémie. Compte tenu de cette tendance, il n'est pas étonnant que les cyberattaques visant les entreprises se soient multipliées. Après tout, les hackers et escrocs vont là où sont les gens.
Et c'est ce qu'ils ont fait. 83 % des entreprises américaines ont déclaré avoir subi plus d'une brèche dans leurs données, chacune d'entre elles coûtant en moyenne 9,44 millions de dollars. Pour les entreprises cotées en bourse, ces brèches entraînent également une perte moyenne de 7,5 % de la valeur des actions. La statistique la plus inquiétante de toutes ? Les trois quarts des brèches de données de 2023 sont liées à une faille humaine.
Heureusement, la plupart des entreprises ont mis en place des programmes de formation pour renforcer la sensibilisation aux cybermenaces et réduire le risque de faux pas en matière de cybersécurité. C'est bien, non ? Oui et non. Si 85 % des employés déclarent avoir suivi une formation de sensibilisation à la sécurité, 64 % d'entre eux affirment ne pas vraiment y prêter attention. Pire encore, 36 % déclarent que leur formation à la cybersécurité est en fait ennuyeuse.
Alors, pourquoi tant de formations à la cybersécurité ne parviennent-elles pas à retenir notre attention ?
En savoir plus : 3 façons de contrôler votre empreinte numérique et d'arrêter les hackers
5 raisons pour lesquelles la plupart des formations à la cybersécurité manquent leur cible
Il y a cinq raisons majeures pour lesquelles la plupart des formations à la cybersécurité ne préparent pas les gens aux menaces bien réelles auxquelles ils sont confrontés.
1. La majorité des formations cyber ressemble à Windows 95
Aujourd'hui, les gens s'attendent à ce que les formations soient efficaces, interactives et courtes. Malheureusement, la plupart des formations en cybersécurité sont restées bloquées dans les années 90, avec des interfaces peu intuitives, des diapositives maladroites et des gros pavés d’information texte.
Vous ne me croyez pas ? Voici ce que vous obtenez lorsque vous tapez "formation en cybersécurité" sur Google :
Beaucoup de contenus de formation ressemblent à cela parce qu'ils sont élaborés par des experts en la matière, qui possèdent une grande expertise technique, mais qui sont peu conscients de la manière dont les gens retiennent et appliquent réellement les informations. Ce n'est pas leur faute, mais cela conduit à des expériences d'apprentissage inintéressantes.
Nous pouvons faire mieux en proposant des formations à la cybersécurité qui répondent aux attentes, qui maintiennent l'intérêt des participants et qui permettent de faire passer rapidement les bonnes pratiques et les techniques essentielles.
2. La majorité des formations cyber ne reflète pas les niveaux d'expérience ou les besoins en apprentissage de chacun
Pour de nombreuses entreprises, l'offre de formation en cybersécurité est la même, quels que soient les antécédents ou le niveau d'expérience de l’employé. Cela signifie qu'un stagiaire d'été peut suivre la même formation de sensibilisation au phishing qu'un responsable informatique ayant plus de 30 ans d'expérience.
Cette formation générique et commune pour tous est une occasion manquée. Nous devons adapter la formation aux différents niveaux d'expérience et de compétences techniques, ainsi qu'aux risques spécifiques auxquels chaque personne est confrontée. De cette manière, nous offrons aux collaborateurs la formation dont ils ont réellement besoin.
3. La majorité des formations cyber est traitée comme n'importe quelle autre formation de conformité
Trop souvent, la sensibilisation à la cybersécurité est traitée comme n'importe quelle autre formation de conformité, comme la santé et la sécurité au travail, la confidentialité des données ou les meilleures pratiques d'archivage. Les participants reçoivent un rappel annuel, lisent quelques diapositives et cochent une case pour indiquer qu'ils ont compris. C'est tout.
En réalité, les cybermenaces évoluent chaque jour, les hackers inventant de nouvelles façons d'exploiter nos systèmes. Au lieu de traiter la cybersécurité comme une simple exigence de conformité, nous avons besoin d'une formation qui soit aussi innovante et réactive que le sont les escrocs.
4. La majorité des formations cyber est axée sur les systèmes et non sur les personnes
Les formations à la cybersécurité sont souvent axées sur les systèmes et les technologies, ce qui laisse entendre qu'avec un ensemble de protocoles adéquats, nous serons tous en sécurité. Bien que des outils tels que l'authentification multifacteur et les gestionnaires de mots de passe soient essentiels, ils ne suffisent pas à se protéger de toutes les menaces.
En effet, la cybersécurité est un défi humain. Les hackers réussissent surtout leurs attaques en raison de la faille humaine : les gens font trop confiance à des inconnus et partagent des informations sensibles. Construire notre formation cyber sur la base d’histoires vraies et avoir un ambassadeur de confiance pour notre culture de la cybersécurité (c'est-à-dire notre Chef de la Sécurité, notre RSSI, ou toute autre personne désignée) peut nous aider à assurer notre sécurité.
5 : La majorité des formations cyber demande trop de temps aux employés
Pour la plupart des gens, les formations en cybersécurité prennent tout simplement plus de temps qu'ils n'en ont. Nous sommes tous très occupés et nous ne pouvons pas passer des heures à parcourir des guides et des ressources génériques.
Si l'on additionne toutes ces lacunes, on obtient le scenario idéal pour les hackers. Ils savent que la majorité d'entre nous est trop occupée ou trop ennuyée pour s'informer sur les meilleures pratiques en matière de cybersécurité - c'est ainsi qu'ils gagnent. Nous devons à nos équipes - et à nous-mêmes - de faire mieux.
Un guide en 4 étapes pour une meilleure formation à la cybersécurité
Il est temps de mettre fin aux formations inintéressantes dans le domaine de la cybersécurité et de donner aux gens ce qu'ils méritent vraiment. Voici quatre mesures à suivre pour y parvenir.
1 : Proposer des histoires convaincantes sur les raisons pour lesquelles la cybersécurité importe réellement
Il est facile pour les gens de se détourner de la formation à la cybersécurité s'ils n’en mesure pas facilement l’importance. Phishing, mots de passe, réseaux sécurisés... qui s'en soucie ?
C'est pourquoi il est essentiel d'ancrer votre formation à la cybersécurité dans des histoires vraies et de montrer aux gens comment les choses peuvent mal tourner. Par exemple, au lieu d'expliquer les risques hypothétiques de la fraude à la facture, vous pouvez montrer comment Evaldas Rimasauskas a escroqué Google et Facebook de plus de 120 millions de dollars entre 2013 et 2015 en utilisant de fausses factures.
Ensuite, il est temps de mettre en pratique toute cette nouvelle formation. Ainsi, vous pouvez faire appuyer votre formation sur le phishing de campagnes de mails conçues pour tester la prise de conscience des participants. Vous aurez ainsi un aperçu clair des personnes qui ont intégré la formation et de celles qui ont besoin de plus d’efforts.
2 : Personnalisez votre formation en fonction de l’employé
Pour être efficace, une formation à la cybersécurité doit être adaptée aux différents niveaux d'expérience, ainsi qu'aux défis et exigences spécifiques auxquels un collaborateur est confrontée. De cette manière, vous pouvez susciter un plus grand engagement, renforcer la mémorisation et la sensibilisation.
Supposons qu'une personne soit promue manager. Elle devrait recevoir une formation sur la manière d’insuffler une bonne culture de cybersécurité au sein de son équipe, et sur la façon dont elle peut offrir les conseils et les ressources nécessaires pour assurer la sécurité des projets essentiels.
Cette approche personnalisée nécessite un niveau plus élevé de collaboration et de coopération entre les RH, la L&D et l'IT, mais elle est payante à long terme.
3 : Intégrer des formations de courte durée dans les routines quotidiennes
Au lieu de considérer la formation à la cybersécurité comme un exercice annuel pour cocher des cases, vous devez en faire une habitude régulière. C'est pourquoi il est essentiel d'intégrer des formations et des rappels rapides et concis dans les routines de l'équipe - et de les rendre disponibles là où les gens travaillent déjà, comme Slack ou Teams.
Ces conversations doivent être suffisamment rapides pour que les gens puissent les intégrer entre les autres éléments de leur liste de tâches, et suffisamment engageantes pour être mémorisées.
4 : Rendez la formation ludique - vraiment !
Nous ne plaisantons pas : vous devriez vraiment essayer de rendre la formation à la cybersécurité amusante. Après tout, si vous supprimez l'ennui et la lourdeur de la formation, vos équipes seront beaucoup plus motivées pour garder une longueur d'avance sur les hackers et les escrocs. Croyez-nous, ils vous remercieront plus tard !
En parlant d'amusement, à quand remonte la dernière fois que vous avez fait une pause ? Découvrez comment partir en vacances sans stress grâce à notre checklist gratuite.
Vous vous souciez de formation à la cybersécurité - donnez la meilleure à vos employés !
La cybersécurité nous tient tous à cœur, n'est-ce pas ? Offrons donc à nos équipes une formation de sensibilisation qui soit plus qu'un simple exercice de conformité ennuyeux. Nous devons enrichir leur cyber formation d’histoires véridiques de cyber attaques, des dernières tendances en cybermenaces et le tout via un format qui les engage réellement.
Avec Albert, nous proposons une formation à la cybersécurité qui rend chaque employé ambassadeur des sujets cyber. Nous y parvenons grâce à notre chatbot Albert, coach en cybersécurité, à des simulations de phishing convaincantes, à une surveillance en temps réel des brèches de données et grâce à un tableau de bord de sensibilisation clair et simple.
Pour savoir comment Albert peut assurer la sécurité de votre équipe en proposant des formations amusantes et personnalisées sur les deepfakes, le spear phishing et bien plus encore, contactez l'un de nos experts dès aujourd'hui.