Formation de sensibilisation à la sécurité
Formation de sensibilisation à la sécurité
La formation de sensibilisation à la sécurité explique aux employés comment éviter les cyberattaques et en limiter la portée.
Elle se compose généralement d’une formation continue et de sessions animées par du personnel du service informatique. Elle insiste sur l’importance des bonnes pratiques de cybersécurité et le rôle de chaque employé dans la limitation de la vulnérabilité aux cyberattaques.
Réalisée efficacement, la formation de sensibilisation à la sécurité permet à chaque employé de comprendre, repérer et signaler les risques de sécurité avant qu’ils ne se matérialisent.
Types de formations de sensibilisation à la sécurité
La formation de sensibilisation à la sécurité prend différentes formes. Les sessions destinées à présenter les bonnes pratiques de cybersécurité et les menaces fréquentes peuvent se dérouler en présentiel, en ligne ou de manière asynchrone. Les deux premières modalités correspondent à des cours magistraux, tandis que la méthode asynchrone se déroule à la demande, souvent sous la forme de vidéos enregistrées, de diaporamas et de quiz. Il est également possible d’utiliser des simulations, qui s’appuient sur des exemples très concrets pour faire passer leurs messages. Les utilisateurs reçoivent par exemple de faux emails de phishing issus de modèles créés par le service informatique. S’ils cliquent sur un lien de phishing ou téléchargent une pièce jointe, ils reçoivent une alerte pour éviter de refaire la même erreur à l’avenir.
La formation de sensibilisation à la sécurité varie également en fréquence. Plusieurs options sont ainsi possibles :
Formation annuelle. La formation annuelle est très courante et souvent réservée aux séances en classe et en ligne, car elles entraînent des dépenses et contraintes logistiques élevées. Ce type de formation ne permet pas à ses bénéficiaires d’appliquer facilement ce qu’ils ont appris dans le monde réel, car ils risquent de ne rencontrer une menace que plusieurs semaines ou mois après leur séance.
Formation périodique. Une formation périodique est répétée plus souvent que les programmes annuels, par exemple tous les trimestres ou tous les mois. Cette fréquence accrue permet de raccourcir le temps s’écoulant entre la formation et son application face à une véritable cybermenace.
Formation à la volée. Ce type de formation plus sophistiqué a vu le jour récemment. Les formations en temps réel essaient de fournir des explications aux utilisateurs au moment d’un incident, par exemple lorsqu’ils cliquent sur un lien ce phishing ou une pièce jointe. Ces explications sont personnalisées en fonction du contenu et du contexte de leurs activités, et des menaces avec lesquelles ils interagissent. La formation à la volée implique de recourir à l’IA et offre de meilleurs résultats.
Sujet de formation de sensibilisation à la sécurité
La formation de sensibilisation à la sécurité existe depuis de nombreuses années déjà et se focalise sur des sujets toujours d’actualité, comme la protection du poste de travail et la création de mots de passe sûrs et efficaces. Avec la montée en puissance du télétravail, de nouveaux sujets sont désormais abordés pour faire face à de nouvelles vulnérabilités. Les sujets de sécurité couramment abordés sont les suivants :
- Attaques de phishing
- Attaques de malwares.
- Sécurité de l’email
- Utilisation d’Internet
- Mots de passe
- Supports amovibles
- Sécurité des appareils mobiles et physique
- Réseaux Wi-Fi publics
- Sécurité du cloud
- Utilisation des médias sociaux