Plongez aux confins de la sécurité de l’information et des sciences comportementales, et découvrez tout ce que apporter la mesure des changements comportementales.
Dans notre monde actuel, les menaces cyber changent constamment de visage, au grand dam des entreprises. L’essor fulgurant de l’intelligence artificielle (IA), l’ingénierie sociale, la professionnalisation croissante de la cybercriminalité et les crises géopolitiques mondiales forment un terreau favorable aux projets des hackers. Ces différentes menaces augmentent de manière exponentielle le risque de violations de la sécurité. Elles nécessitent une réponse ferme et dynamique de la part des sociétés qui sont sans cesse contraintes d’adapter leur défense en conséquence.
Pour contrer efficacement ces menaces, les entreprises mettent en place des solutions technologiques de pointe comme l’authentification multifacteur, le chiffrement de bout en bout, une protection perfectionnée au niveau des terminaux et des stratégies d’accès conditionnel. Il ne faut pourtant pas perdre de vue que, quelles que soient les multiples précautions prises par les entreprises sur le plan technique, le principal levier des cyberattaques reste l’ingénierie sociale. De récentes études ayant montré que 74 % des violations de données étaient liées au facteur humain, les sociétés commencent à prendre conscience de l’importance d’instaurer une solide culture de la sécurité qui place l’humain au cœur de leur stratégie de défense. Cet article s’inscrit dans cette dynamique en mettant en lumière les différentes dimensions à prendre en compte dans l’instauration d’une telle culture au sein de nos entreprises.
Le modèle de sécurité comportementale : une approche proactive du facteur humain dans le contexte de la cybersécurité
Chez SoSafe, nous avons développé le modèle de sécurité comportementale pour dépasser les méthodes traditionnelles en plaçant les employés au centre de la stratégie de cybersécurité. Cette approche part du principe que, pour protéger durablement une structure, il faut cesser de considérer les employés comme une source de danger potentiel ou comme le maillon faible et en faire, au contraire, les principaux défenseurs de l’entreprise.
Le modèle de sécurité comportementale s’appuie sur quatre piliers : le savoir, le contexte, la motivation et le comportement. Ceux-ci ne doivent cependant pas être compris comme des entités indépendantes, mais comme des éléments qui s’imbriquent les uns aux autres pour former un tout harmonieux où les employés sont encouragés à agir de manière proactive. Ce modèle adopte une approche holistique dont l’objectif est de consolider les interactions des employés avec la cybersécurité à tous les niveaux. Ces quatre piliers se coordonnent pour former une solide ligne de défense qui soutient les efforts individuels et collectifs en matière de sécurité. Étudions chacun d’eux en détail :
Savoir : responsabiliser les employés pour renforcer la cybersécurité
La mise en place d’une bonne défense au niveau de l’entreprise passe, pour une part importante, par la transmission de connaissances adaptées aux collaboratrices et collaborateurs. Les méthodes classiques de formation à la cybersécurité, telles que les programmes standardisés ou les cursus fixes, ne suffisent plus. On constate, en effet, une baisse rapide de l’engagement chez les participants et une perte importante de l’information qui suit la courbe de l’oubli d’Ebbinghaus. Le graphique ci-dessous montre que les apprenants oublient 90 % de ce qu’on leur a enseigné dans les sept premiers jours et que ce pourcentage augmente encore s’ils interrompent leur routine de formation ou espacent les sessions.
La bonne nouvelle est qu’il existe aujourd’hui des méthodes inspirées des sciences comportementales pour motiver les employés à rester assidus aux formations à la cybersécurité, maintenir leur intérêt en éveil et les aider à mémoriser plus durablement les connaissances acquises :
- Répétition espacée : il s’agit de remplacer des sessions de formation longues et ponctuelles en modules plus courts et plus réguliers qui exploitent les leviers psychologiques de la répétition et de l’engagement.
- Éléments interactifs : en intégrant des quiz et d’autres éléments interactifs, on implique l’employé dans le processus d’apprentissage, ce qui permet d’améliorer l’engagement et la rétention des informations.
- Rappels automatisés : l’envoi régulier de messages et de rappels favorise la régularité de l’apprentissage et stimule activement la vigilance. Notre Analyse du risque humain 2022 l’a confirmé : « Les rappels automatisés réguliers augmentent le taux d’engagement de 30 %, parfois même jusqu’à 90 % pendant la phase de lancement. »
Dans un monde où nous sommes saturés d’informations et où le temps nous est souvent compté, la simplification de l’expérience d’apprentissage et le recours à des micromodules de formation envoyés à des moments critiques est gage d’efficacité. De manière générale, les employés qui ont bien saisi les rouages de l’auto-défense numérique et disposent de solides connaissances sont des atouts pour aider les entreprises à limiter les risques d’incidents. Un programme de formation bien pensé, avec un apport continu de connaissances contextualisées est un outil efficace pour y parvenir.
Contexte : une formation personnalisée pour atteindre l’excellence en matière de cybersécurité
Pour instaurer une culture de la sécurité, il est également essentiel de mettre en place des programmes personnalisés qui abordent les risques et les besoins propres aux différents postes au sein de l’entreprise. Tous les employés rencontrent des difficultés qui leur sont propres en matière de menaces cyber : par exemple, les cadres et les collaborateurs qui utilisent des téléphones portables appartenant à l’entreprise courent de plus grands dangers que les stagiaires. Le secteur d’activité de la société aura lui aussi un impact important sur le type de risques qu’il faut anticiper. Ainsi, les établissements de santé, les banques et le secteur public sont particulièrement vulnérables.
La formation personnalisée constitue une stratégie efficace, car elle tient compte des fonctions de chaque employé. Les cadres, par exemple, qui sont souvent amenés à utiliser leurs téléphones portables professionnels, auront besoin d’être sensibilisés aux risques qui peuvent toucher les mobiles pour savoir comment les gérer. Les stagiaires, quant à eux, devront être simplement initiés aux principes fondamentaux de la cybersécurité. En proposant du contenu sur mesure en fonction des problématiques de chacun et de son degré de sensibilisation, on assure une formation plus efficace, mais aussi plus intéressante pour l’utilisateur. Selon le Baromètre de la formation professionnelle édité par le centre Inffo, 89 % des actifs pensent qu’une formation doit leur permettre de mieux faire leur métier. Il faut donc une approche comportementale qui se concentre sur les collaborateurs, répond aux problèmes qu’ils rencontrent personnellement et leur propose du contenu en rapport avec leur fonction, leur profil et leur degré de sensibilisation.
La personnalisation de la formation n’est cependant qu’une pièce du puzzle. Pour inciter davantage le personnel à adopter un comportement vigilant, il est essentiel de lui fournir les outils dont il a besoin à cet effet. C’est ici qu’interviennent des solutions pratiques comme celles qui permettent le signalement : il a été prouvé qu’elles réduisent considérablement les clics sur les messages de phishing et contribuent ainsi à renforcer la cybersécurité sur le long terme au sein de l’entreprise. Les statistiques montrent, par exemple, que les collaborateurs ayant à leur disposition le bouton d’alerte phishing de SoSafe sont 30 % moins nombreux à cliquer sur les e-mails de phishing que ceux qui n’ont pas accès à cette fonctionnalité. Celle-ci limite ainsi les chances de succès d’éventuelles attaques. D’autres avantages de ce bouton d’alerte ont également été prouvés :
Motivation : impliquer l’apprenant pour mieux sensibiliser à la cybersécurité
Il ne suffit pas d’utiliser les bons outils et la bonne technologie pour assurer la solidité de sa cybersécurité. Il faut instaurer une culture, une atmosphère où chaque employé s’implique activement, souhaite contribuer à protéger l’entreprise et désire progresser pour participer à sa défense. Bien qu’elle ne soit pas facile à mesurer, la motivation est un élément essentiel pour développer une telle culture de la sécurité. De fait, elle se décline en plusieurs couches, et se manifeste par les progrès, les efforts et les performances des employés.
Or, ceux-ci se montrent davantage désireux de s’impliquer dans les mesures de défense, lorsque les cadres dirigeants eux-mêmes donnent l’exemple et considèrent la sécurité comme une valeur fondamentale. Cette façon de diriger par l’exemple permet de poser de solides fondements sur lesquels va s’édifier une culture globale de la sécurité. Elle insuffle à chacun l’envie de contribuer à la protection de la société. C’est une manière de montrer à tous que la sécurité est une priorité et qu’il faut la prendre très au sérieux.
La gamification s’est elle aussi être avérée être un puissant outil, capable de métamorphoser des formations classiques, souvent fastidieuses, en un parcours passionnant. Dans le domaine de la formation en ligne, elle offre de nombreuses retombées positives :
- Intérêt et participation : les modules interactifs comportant des éléments de gamification rendent le processus d’apprentissage plus captivant et plus percutant que les formats traditionnels. L’ajout d’un système de points, de badges ou d’un tableau de classement, par exemple, encourage les apprenants à s’investir dans la formation en ligne. Cette approche exploite des tendances qui nous sont naturelles comme le sens de la compétition et le système de récompense pour rendre le contenu plus intéressant et favoriser un engagement sur le long terme.
- Détermination : parce qu’elle définit des objectifs clairs et pose des jalons que les apprenants doivent franchir, la gamification renforce la détermination des utilisateurs. Elle matérialise les progrès et les rend visibles, ce qui motive les employés à poursuivre leurs efforts pour atteindre le prochain niveau ou relever le défi suivant. Ce sentiment de progresser et de réussir encourage les apprenants à persévérer et à se donner les moyens d’atteindre les buts fixés.
- Adhésion plus forte au support de formation : la gamification améliore l’adhésion au support de formation via des scénarios interactifs qui permettent aux apprenants de mettre en pratique ce qu’ils ont appris. Au fur et à mesure qu’ils sont amenés à résoudre des problèmes et à prendre des décisions dans le cadre de simulations inspirées de faits réels, les employés s’approprient davantage le contenu et retiennent mieux les informations. Cette interaction ludique avec la formation permet une compréhension plus approfondie du sujet et une meilleure mise en pratique.
Grâce à l’ajout d’éléments empruntés aux jeux vidéo, le processus d’apprentissage rend donc les questions de cybersécurité plus accessibles. Apprendre devient un plaisir ce qui favorise l’assiduité sur la durée. De plus, cette expérience immersive permet aux employés de bénéficier d’un retour immédiat. Ils peuvent se corriger rapidement, tirer des leçons de leurs erreurs tout en restant motivés par les récompenses qu’ils reçoivent. En résumé, pour entretenir une bonne culture de la cybersécurité, il est essentiel de proposer une formation à la fois pédagogique et divertissante, qui sensibilise tout en alimentant la motivation. Les données recueillies dans le cadre de notre produit le confirment : une pédagogie narrative et immersive doublée d’une gamification intense augmente l’engagement des utilisateurs de 54 %.
Comportement : développez de bons cyber réflexes
Nous en arrivons à ce qui fait l’essence même d’une bonne culture de la sécurité : des comportements vigilants. Les bonnes habitudes garantissent la protection de votre structure : qu’il s’agisse de verrouiller les écrans avant de quitter un bureau, de signaler les incidents au service informatique ou de traquer les éventuels e-mails suspects. Mais l’adoption de ces réflexes au quotidien repose grandement sur les trois autres dimensions que nous avons évoquées plus haut.
Les employés ne seront en mesure de prendre des habitudes saines et de les garder que s’ils ont des connaissances en matière de sécurité de l’information, s’ils les apprennent dans un contexte adapté et s’ils sont profondément motivés. Dans un environnement où les menaces évoluent constamment, il est indispensable d’adopter une approche holistique ; les mesures ponctuelles sont insuffisantes. Se contenter de cibler l’un de ces aspects ou de cocher les cases des exigences réglementaires en organisant une présentation ponctuelle sur site autour de la cybersécurité ne permet plus de relever efficacement les défis que pose l’évolution constante des menaces aujourd’hui.
Il faut au contraire que les décisionnaires jouent sur tous les tableaux de ce modèle de sécurité comportementale afin de mettre en place un programme de sensibilisation adapté qui fera de la cybersécurité, une seconde nature chez leurs employés. Pour en savoir plus sur chacune de ces dimensions et comprendre pourquoi la mesure des comportements est une pratique qui porte ses fruits en cybersécurité, nous vous invitons à lire notre livre blanc sur la sécurité comportementale.
Sécurité comporte-mentale
Engagement de la direction en matière de résilience cyber
Toutes les mesures et les dimensions évoquées ci-dessus vont perdre de leur impact s’il n’y a pas, à la tête de l’entreprise, de grande impulsion donnée pour accompagner le changement. Les données recueillies dans le cadre d’une enquête révèlent que le niveau de sensibilisation à la cybersécurité varie du tout au tout d’une entreprise à l’autre, selon l’attention que la direction accorde aux risques cyber : 71 % des professionnels de la sécurité informatique estimant que leur direction est bien au fait des risques cyber pensent que leur société est très vigilante à ce sujet, contre 48 % chez les professionnels qui ressentent des lacunes en la matière parmi leurs cadres dirigeants. Cette disparité souligne la nécessité d’une communication efficace pour alerter les cadres sur les risques cyber et les inciter à assumer la responsabilité de la culture de la sécurité au sein de leur entreprise.
Il devient donc essentiel d’aborder ce problème avec un regard neuf, à la fois en formant les hauts responsables en continu, mais aussi en modifiant la composition des comités pour intégrer, par exemple, des personnes dotées de compétences spécifiques en cybersécurité.
Cependant, une gestion sérieuse de la cybersécurité va bien au-delà d’une bonne connaissance des risques. Elle nécessite d’intégrer ces mesures dans la trame même de la stratégie de l’entreprise. Pour y parvenir, le dialogue autour de la cybersécurité doit s’inviter aux conseils d’administration. Il faut proposer aux professionnels de la cybersécurité de participer au débat et convenir ensemble d’une ligne de conduite qui aligne les mécanismes de cyberdéfense avec les objectifs commerciaux généraux, prévoit les ressources nécessaires et définit des responsabilités claires.
Cultiver la cyberrésilience grâce à la sécurité comportementale selon SoSafe
Nous avons vu combien il était essentiel de bâtir une solide culture de la sécurité au sein des entreprises à une époque où les menaces cyber s’intensifient. Mais pour ce faire, il faut que les collaborateurs possèdent des connaissances adaptées, bénéficient de formations pertinentes pour leur contexte, soient motivés à s’impliquer et adoptent de bons réflexes de sécurité au quotidien. Ces éléments assureront la solidité de la cybersécurité en tant que culture d’entreprise. L’engagement des instances dirigeantes est, lui aussi, essentiel pour renforcer la cyberrésilience de la société et donner l’exemple à l’ensemble du personnel.
SoSafe accompagne les entreprises dans la mise en place pratique des quatre piliers fondamentaux qui forment le modèle de sécurité comportementale, en proposant une formation en ligne à la cybersécurité gamifiée et personnalisée qui renforce les compétences de chacun. Nos simulations de phishing sont inspirées de faits réels et s’accompagnent d’explications pas-à-pas conçues par des spécialistes pour renforcer l’efficacité de la formation. Associées aux sessions régulières de formation, elles permettent aux employés d’acquérir de bons réflexes en matière de sécurité, au quotidien. Au fil du temps, ces habitudes deviennent une seconde nature et réduisent les risques auxquels est exposée la société en augmentant sa réactivité en cas d’incidents.
SoSafe propose également des outils comme le bouton d’alerte phishing qui offrent aux équipes l’occasion de mettre en pratique leurs acquis et de contribuer activement à la défense de l’entreprise. L’outil de pilotage des risques cyber et des alertes complète l’ensemble en simplifiant la communication grâce à un tableau de bord interactif qui traduit les données complexes en informations directement exploitables.
La plateforme de SoSafe est plus qu’une simple application de sensibilisation : c’est une solution intégrale pour établir une solide culture de la sécurité. Elle vise à bâtir une cybersécurité forte et proactive afin de limiter les risques liés aux erreurs humaines.