#37 : Les sous-doués | La cybersécurité expliquée à ma grand-mère

Description

Cet épisode de "La cybersécurité expliquée à ma grand-mère" explore le standard NIST SP 800-50 (révisé en septembre 2024), qui fournit un cadre pour construire un programme de formation en cybersécurité et protection de la vie privée.

Les points clés :

Le document propose un cycle en 4 phases : planification stratégique, analyse des besoins et conception, développement et mise en œuvre, puis évaluation et amélioration continue.

Le programme distingue trois publics cibles : tous les utilisateurs (sensibilisation générale), les détenteurs de comptes à privilèges, et le personnel ayant des responsabilités significatives en cybersécurité.

L'objectif principal est de développer une culture organisationnelle où chaque collaborateur devient un acteur de la sécurité, plutôt qu'un "maillon faible". Le succès se mesure par des indicateurs quantitatifs (taux de participation, résultats aux tests) mais surtout qualitatifs (changement de comportement, réduction des incidents).

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y prennent rien. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Certaines œuvres artistiques sont porteuses d'un sens caché, parfois bien plus subtil que la première lecture qu'on puisse en faire. On pourra citer par exemple la célèbre chanson du groupe Eagles, Hotel California, sortie en 1976. Vous le savez peut-être déjà, mais cet hôtel n'existe pas en réalité, et fait plutôt référence, selon certaines interprétations, à un centre de désintoxication pour toxinomanes, symbolisant l'addiction et l'impossibilité d'échapper à ces démons. On pourra aussi citer la chanson de U2, Sunday Bloody Sunday, qui fait référence à la mort de 14 personnes tuées par les forces de l'ordre britanniques lors d'une manifestation pacifique le 30 janvier 1972 à Derry, en Irlande du Nord. Les manifestants réclamaient l'équité des droits entre catholiques et protestants dans un contexte de tensions communautaires exacerbées. Cette chanson protestataire est devenue une hymne contre la violence et l'injustice. On peut également faire référence au film de Milos Forman, « Vol au-dessus d'un nid de coucou » , sorti en 1975 et adapté du roman de Ken Kessé, qui offre de multiples axes de lecture. Certains y verront une réflexion profonde sur la démocratie et les libertés individuelles face à l'autorité institutionnelle, d'autres une critique voilée de la dictature communiste au travers du personnage autoritaire de Miss Ratched, infirmière tyrannique, incarnant le contrôle totalitaire sur les individus. Le film interroge ainsi les notions de normalité, de conformisme et de résistance face à l'oppression, thème ô combien d'actualité dans notre société contemporaine. Vous l'avez compris, certains films portent un sens très profond, tant d'un point de vue sociétal que politique. Ce sont des œuvres dont la vocation n'est pas simplement de trouver leur public, mais bien de changer le monde, de bousculer les consciences et de faire évoluer les mentalités. C'est le cas d'un film qui dénonce l'inégalité dans l'apprentissage, La lutte des classes au sein du système éducatif, et qui porte haut les couleurs de l'universalité de la connaissance, une sorte d'héritage moderne du siècle des Lumières, défendant l'idée que le savoir peut être accessible à tous, sans distinction d'origine sociale. Vous l'avez compris, je vous parle ici d'un film injustement qualifié de nanar, et dont je me demande encore aujourd'hui pourquoi il n'a pas reçu de César ou d'Oscar. Cette œuvre méritait une reconnaissance bien plus grande, pour son message universaliste et sa portée sociale. Je veux bien sûr parler des Soudoué passe le bac, un film réalisé en 1980 par Claude Zidi. Au-delà de cette boutade, la connaissance est un véritable enjeu en matière de cybersécurité. On entend souvent dire que l'humain est le maillon fab de la chaîne, mais personnellement je préfère dire que c'est plutôt la première ligne de défense de notre système d'information si les personnes concernées ont un bon niveau de connaissance en fonction de leur rôle dans l'entreprise. Et c'est là qu'est le plus grand challenge. Comment mettre en œuvre une stratégie de formation efficace et comment s'assurer de son efficacité ? Pour ce faire, je vous propose de parcourir l'un des standards du NIST, le CP 800-50. La protection des systèmes d'information et des données personnelles constitue aujourd'hui un enjeu stratégique majeur pour toute organisation. Face à l'évolution constante des menaces cyber et aux exigences réglementaires croissantes en matière de protection de la vie privée, mais aussi en matière de résilience, particulièrement dans le cadre de DORA. Les organisations doivent mettre en place des programmes de formation et de sensibilisation robustes et efficaces. Le NIST, NIST pour National Institute of Standards and Technology, a publié en septembre 2024 la révision 1 de sa publication spéciale SP 800-50 intitulée Building a Cybersecurity and Privacy Learning Program. Ce document remplace la version originelle datant de 2003 et pose une approche modernisée pour construire et maintenir un programme d'apprentissage en cybersécurité et la protection de la vie privée. L'objectif de ce guide est de fournir aux responsables de la sécurité, aux directeurs du système d'information et aux équipes de formation, les outils nécessaires pour développer un programme d'apprentissage efficace, adapté à leur contexte organisationnel. La version originale du SP 800-50, publiée en octobre 2003, se concentrait principalement sur la sensibilisation et la formation à la cybersécurité. Cette mise à jour majeure intègre plusieurs évolutions significatives pour répondre aux défis actuels. Tout d'abord, l'intégration de la protection de la vie privée avec la cybersécurité reflète la prise de conscience que ces deux disciplines, bien qu'indépendantes, partagent des objectifs communs. La cybersécurité protège les systèmes contre les accès non autorisés, tandis que la protection de la vie privée gère les risques liés au traitement des données personnelles tout au long de leur cycle de vie. Ensuite, L'adoption d'une approche basée sur le cycle de vie permet une amélioration continue du programme. Cette méthodologie itérative autorise des ajustements réguliers pour s'adapter aux événements spécifiques de l'organisation et aux nouvelles menaces. Un programme de formation efficace vise à atteindre plusieurs objectifs fondamentaux qui contribuent directement à la réduction des risques organisationnels. Premièrement, le changement de comportement. Le programme doit encourager l'adoption de comportements sécurisés au quotidien, transformant chaque collaborateur en un acteur. acteur de la sécurité. Deuxième point, le développement d'une culture. L'objectif est de créer une culture organisationnelle où la cybersécurité et la protection de la vie privée sont naturellement intégrées dans les pratiques professionnelles. Troisième point, la gestion des risques. Le programme contribue à la réduction des risques liés aux facteurs humains, qui représentent souvent le maillon faible de la chaîne de sécurité. Quatrième point, la conformité réglementaire. Le programme permet de satisfaire aux exigences légales et réglementaires. en matière de formation à la cybersécurité et à la protection des données. Le document du NIST propose une approche structurée basée sur un cycle de vie en quatre phases. Cette méthodologie permet une gestion dynamique et évolutive du programme garantissant son adéquation constante avec les besoins de l'organisation. Phase numéro 1, la planification et la stratégie. La première phase constitue le fondement de tout programme réussi. Elle implique la définition d'une vision claire et l'élaboration d'un plan stratégique aligné sur les objectifs organisationnels. Le plan stratégique du programme doit s'intégrer dans la stratégie globale du développement de compétences de l'organisation. Il est essentiel de comprendre la structure et la mission de l'organisation pour déterminer l'origine et la portée de cette stratégie. Un élément clé du plan stratégique comprend la vision et la mission du programme lui-même, qui doivent clairement articuler comment le programme soutient les objectifs de gestion des risques de l'organisation. Les objectifs stratégiques définissent les résultats attendus en termes de changement de comportement, de développement des compétences et de réduction des incidents. Les approches de formation décrivent les méthodes et les modalités d'apprentissage qui seront utilisées. Les tactiques opérationnelles détaillant les outils et les mécanismes spécifiques pour atteindre les objectifs. Enfin, les métriques et le reporting définissent comment le succès du programme sera mesuré et communiqué.
Speaker #1
Il faut dire, Merck, qu'avec les résultats que nous avons obtenus cette année,
Speaker #2
personne n'est au courant. Et maintenant, une information concernant les résultats du baccalauréat. La moyenne est de 59% de reçus sur l'ensemble du pays. C'est le cours Saint-Louis de Gonzague, dans le 16e arrondissement de Paris, qui détient le record avec 95% de reçus. Et en bas du tableau, nous trouvons le cours Louis XIV de Versailles avec 0% de reçus. J'ai bien dit 0% de reçus. Gageons que pour ce dernier, la situation ne peut que s'améliorer. Notre prochain journal est à 20h. Merci de votre attention.
Speaker #1
Oui, Léon.
Speaker #3
Léon ! Léon ! Léon !
Speaker #1
Depuis 20 ans, je dis amène à tout ce que vous dites, tout ce que vous faites. Je vous laisse agir à votre guise. Aujourd'hui, nous récoltons les fruits de vos méthodes pédagogiques permissives. 100% de recalé, vous m'entendez Léon ? 100% de recalé. J'imagine que vous réalisez sans peine ce que représente pour nous la publicité gratuite que nous a fait la télévision. 68%. Les parents réclament pour leurs enfants un système pédagogique répressif.
Speaker #0
Les politiques fournissent les principes directeurs pour la mise en œuvre du programme. Elles doivent être claires, simples et alignées avec la politique organisationnelle existante. Les procédures décrivent comment ces politiques sont appliquées, en précisant les responsabilités, les étapes de mise en œuvre et les critères de conformité. Parmi les exemples de politique, on peut citer l'obligation pour tous les utilisateurs de suivre une formation initiale et des formations de rappel régulière, la désignation de responsable de la formation en cybersécurité et de protection de la vie privée, ou encore les conséquences en cas de non-respect des exigences de formation. Phase numéro 2, l'analyse et la conception. Cette phase cruciale permet d'identifier les besoins d'apprentissage spécifique de l'organisation et de concevoir un programme adapté aux différents publics cibles. L'analyse des besoins constitue une étape fondamentale qui ne faut jamais négliger. Elle permet de déterminer l'écart entre l'état actuel des connaissances et les compétences à l'état souhaité. Les techniques d'analyse incluent les entretiens avec les parties prenantes clés, l'examen des analyses de postes existants, la revue des exigences réglementaires, l'analyse des risques cyber et de vie privée, ainsi que l'étude des retours d'expérience et de rapports d'incidents. Les conséquences d'une analyse négligée peuvent être significatives. Gaspillage de ressources sur les formations inadaptées, incompréhension des besoins réels des apprenants, utilisation de mauvais canaux de diffusion ou répétition des erreurs passées. Le standard du NIST identifie trois segments d'audience principaux pour le programme. Le premier segment comprend tous les utilisateurs. Ce groupe englobe l'ensemble du personnel de l'organisation, employés à temps plein et partiels, contractuels, consultants, visiteurs et partenaires accédant au système. Ils doivent comprendre et respecter les politiques de sécurité. connaître les règles d'utilisation acceptables et savoir comment signaler les incidents. Le deuxième segment concerne les détenteurs de comptes à privilèges. Ces individus disposent d'un accès étendu aux systèmes et aux données critiques. Leur formation doit couvrir la responsabilité spécifique liée à leur privilège et les risques associés à une mauvaise utilisation de ces accès. Le troisième segment rassemble le personnel ayant des responsabilités significatives en cybersécurité ou protection de la vie privée. Ce groupe nécessite une formation de base sur les rôles pour développer les compétences techniques et managériales nécessaires à leur fonction. La phase de conception transforme les résultats de l'analyse en objectifs d'apprentissage concret. Le document de conception constitue le plan directeur pour le développement et la mise en œuvre du programme. Il comprend typiquement l'objectif et le contexte du programme, l'identification du public cible, les objectifs d'apprentissage, le plan de contenu et les ressources disponibles, la stratégie pédagogique avec les médias et les activités, les modalités de diffusion, les méthodes d'évaluation ainsi que les métriques de suivi. Phase numéro 3, le développement et la mise en œuvre. Cette phase transforme la conception en matériel de formation concret et assure leur déploiement auprès des publics cibles. Le développement des matériels de formation peut être réalisé en interne ou externalisé. La décision dépend de plusieurs facteurs. Disponibilité des ressources internes, expertise requise, budget disponible, délai de réalisation et de sensibilisation du contenu. Pour le programme destiné à tous les utilisateurs, le contenu doit être accessible, engageant et indirectement applicable au quotidien professionnel. Les sujets typiques incluent la gestion des mots de passe et l'authentification multifacteur, la reconnaissance et le signalement des tentatives de phishing, la protection des données personnelles et sensibles, l'utilisation sécurisée des équipements et réseaux, ainsi que les procédures de signalement des incidents. Pour les détenteurs de comptes à privilèges, la formation doit aborder les responsabilités spécifiques liées aux accès privilégiés, les risques et conséquences d'une mauvaise utilisation, les procédures de gestion et de protection des identifiants, ainsi que la surveillance et l'audit des activités. Pour le personnel avec des responsabilités significatives, la formation basée sur les rôles s'appuie sur les NICE Framework pour identifier les connaissances, compétences et tâches spécifiques à chaque fonction. Le NIST SP800-50R1 distingue plusieurs types d'éléments dans un programme. Les activités de sensibilisation sont conduites tout au long de l'année pour maintenir la vigilance. Elle inclut les messages sur les écrans de connexion, les newsletters, les affiches physiques ou numériques, les événements thématiques, comme les mois de la cybersécurité, et les rappels par mail. L'apprentissage expérimental comprend des exercices pratiques simulant des situations réelles. Cela englobe les campagnes de phishing simulées, les jeux de rôle et mise en situation, les exercices sur table pour les scénarios d'incidents et les exercices en environnement virtuel pour les experts en cybersécurité.
Speaker #4
Attention, une phrase a défilé sur cet écran. Répétez-la. Une organisation des Nations Unies fondée en 1942. Attention, répétez. Vous ne pouvez toujours pas répéter.
Speaker #3
Si, si, si, si. L'ONU a été fondée en 1942.
Speaker #4
Dans quelle année ?
Speaker #3
Euh... en 1942... Répétez plus vite. L'ONU a été fondée en 1942...
Speaker #4
Répétez 42 plusieurs fois.
Speaker #3
42, 42, 42, 42...
Speaker #4
Attention, nouvelle question. Choisissez la bonne réponse.
Speaker #3
Si c'est New York.
Speaker #4
Réponse fausse.
Speaker #3
En 1940. Répétez.
Speaker #4
Trotsky a été assassiné à Mexico en 1940. Plus vite.
Speaker #3
Trotsky a été assassiné à Mexico en 1940. En quelle année ? En 40 ! Kennedy ? Non, Droski. Qui ? De Bruyne. Kennedy. Droski a été assassiné en 1940 aux Jeux Olympiques de Mexi...
Speaker #4
Et en 1936 ?
Speaker #3
La guerre d'Espagne a commencé en 1936.
Speaker #4
En quelle année ?
Speaker #3
En 1936.
Speaker #4
Quoi ?
Speaker #3
La guerre d'Espagne.
Speaker #4
En quelle année ?
Speaker #3
En 1936. La guerre d'Espagne.
Speaker #4
En quelle année ?
Speaker #3
En 1936.
Speaker #4
Terminée en 1936 ?
Speaker #3
Non, non, elle a commencé en 1936.
Speaker #4
Bravo, vous avez mérité une petite récompense.
Speaker #0
Les formations structurées utilisent diverses modalités selon les besoins. On trouve la formation synchrone en présentiel ou en classe virtuelle. la formation asynchrone ou auto-formation en ligne, les webinars et podcasts, ainsi que les démonstrations et tutoriels. Phase 4. Évaluer et améliorer. Cette phase finale du cycle assure le suivi et l'efficacité du programme et identifie les opportunités d'amélioration continue. Les mesures quantitatives fournissent des données objectives sur les programmes. Elles incluent les taux de participation et de complétion des formations, les résultats des évaluations et tests, le coût par participant, les données d'utilisation des plateformes en ligne, le suivi des certifications obtenues, les métriques sur les incidents liés aux facteurs humains, ainsi que les taux de détection et signalement des exercices de phishing. Cependant, ce dernier facteur doit être considéré avec beaucoup de précaution. Effectivement, les tests de phishing peuvent être de difficultés diverses, ce qui rend la mesure de la performance assez hasardeuse. Les mesures qualitatives, quant à elles, apportent une compréhension plus profonde de l'expérience d'apprentissage. Elles comprennent les observations des formateurs, les enquêtes de satisfaction et d'attitude, les retours ouverts des participants, les discussions au groupe de travail et les analyses de cas d'études. L'évaluation doit être au-delà de la simple conformité pour mesurer l'impact réel sur les comportements et la culture organisationnelle. Les indicateurs de succès incluent la réduction des incidents liés au facteur humain, l'amélioration des temps de détection et de signalement, l'évolution positive des attitudes envers la sécurité, l'adoption de bonnes pratiques au quotidien, et la satisfaction des participants quant à la pertinence des formations. Le succès d'un programme repose sur l'engagement de l'ensemble de l'organisation, avec des responsabilités clairement définies pour chaque niveau hiérarchique. Les dirigeants de l'organisation portent la responsabilité ultime de la protection des informations. Ils doivent prioriser les développements du programme en désignant des responsables, en assurant un financement adéquat, en garantissant la disponibilité du personnel qualifié et en soutenant les efforts de mesures de culture de cybersécurité et de protection de la vie privée. Les cadres supérieurs, notamment les DSI, les RSSI et le DPO, jouent un rôle essentiel dans la définition de la direction stratégique. Ils doivent montrer l'exemple en participant aux formations requises, identifier les responsabilités cybersécurité et de protection de vie privée dans les fiches de poste, établir les politiques et les procédures du programme et former un comité de pilotage pour le suivi. Les responsables du programme ont la charge opérationnelle du programme lui-même. Leur responsabilité inclut la collaboration avec les experts métiers, Pour l'interprétation des politiques, la facilitation du développement de matériel adapté, le développement d'approches efficaces de diffusion, la mise en place de mécanismes de retour d'expérience, la supervision des revues et mise à jour du contenu et la fourniture de rapports réguliers à la direction. Les managers et superviseurs ont la responsabilité d'assurer la conformité de leurs équipes aux exigences de formation. Ils doivent élaborer des plans de développement individuel, promouvoir le développement professionnel en cybersécurité et en protection de la vie privée, S'assurer que le personnel comprend les règles spécifiques au système utilisé et travailler à réduire les erreurs liées au manque de sensibilisation. Chaque utilisateur est responsable de son propre apprentissage et de l'application des bonnes pratiques. Il doit respecter les politiques de cybersécurité et de protection des vies privées, comprendre et accepter les règles d'utilisation, participer aux formations requises et signaler les comportements suspects ou les incidents. Le développement d'une culture organisationnelle favorable à la cybersécurité et à la protection de la vie privée constitue un objectif majeur pour le programme. Cette culture influence directement les comportements quotidiens et les capacités de l'organisation à gérer les risques. Le programme permet d'adresser deux catégories de risques complémentaires. Les risques techniques concernant les systèmes mal connus, non mis à jour ou compromis, la formation basée sur les rôles, destinée aux professionnels ayant des responsabilités significatives, permet de développer les compétences nécessaires pour prévenir et remédier les risques. Le risque humain résulte des comportements inadéquats des individus ou de systèmes mal configurés permettant des erreurs humaines. Le programme de sensibilisation pour tous les utilisateurs vise à réduire ces risques en développant une culture de la vigilance. Une culture cybersécurité et vie privée positive se caractérise par plusieurs éléments. L'engagement de la direction se manifeste par un soutien visible et actif des dirigeants qui participent au programme de formation et communiquent régulièrement sur l'importance de ces enjeux. La valorisation des employés implique de considérer chaque collaborateur comme un acteur de la sécurité et non comme un maillon faible à contrôler. Les messages de sensibilisation doivent être respectués et inclusifs. L'apprentissage continu suppose que les activités de formation soient perçues comme des opportunités de développement et non comme des contraintes administratives. La communication ouverte encourage le signalement des incidents et des erreurs sans crainte de représailles, permettant ainsi à l'organisation d'apprendre de ses erreurs. Bien que la cybersécurité et la protection de la vie privée soient des disciplines indépendantes, elles partagent des objectifs communs. La cybersécurité protège les informations et les systèmes contre des accès non autorisés pour garantir la confidentialité, l'intégrité et la disponibilité. La protection de la vie privée gère les risques liés au traitement des données personnelles tout au long de leur cycle de vie. Gérer les risques cyber contribue à protéger les risques liés à la sécurité de la vie privée. Mais cela ne suffit pas. des risques liés au traitement de la vie privée, peuvent survenir indépendamment des incidents de sécurité, par exemple lors de la réidentification des données anonymisées ou de l'utilisation secondaire non autorisée de données personnelles. Il y a principalement deux actions à faire. à mettre en œuvre dans le cadre du programme, et celles-ci sont applicables aux organisations de toute taille. Étape numéro 1. Établir le cadre stratégique. La première action consiste à établir une structure de gouvernance claire. Cela implique de désigner un responsable du programme, de former un comité de pilotage incluant les parties prenantes clés, de définir les circuits de décision et de validation, et d'établir un mécanisme de reporting vers la direction. Les politiques de programme doivent couvrir les exigences de formation obligatoires pour chaque catégorie de personnel. les délais de complétion et les conséquences en cas de non-conformité, les responsabilités de chaque niveau hiérarchique et les modalités de mise à jour et de révision du programme. Étape numéro 2, analyser les besoins. L'analyse des besoins commence par l'identification précise des différentes populations concernées. Il faut recenser tous les utilisateurs accédant au système, identifier les détenteurs de comptes à privilèges et déterminer le personnel ayant des responsabilités significatives en cybersécurité et en protection de la vie privée. Une évaluation de l'état actuel permet d'identifier les écarts à combler. Cette évaluation porte sur les connaissances et les compétences existantes, les programmes de formation en place, les ressources disponibles en termes de budget, personnel et outils, ainsi que les métriques historiques sur les incidents et la conformité. Les priorités sont établies en fonction de l'impact organisationnel et des risques, de l'état de conformité actuel, de la disponibilité des ressources et des dépendances avec d'autres projets. Étape numéro 3. Concevoir le programme. Chaque élément du programme doit avoir des objectifs d'apprentissage clairs et mesurables. Le choix des modalités de diffusion dépend du public cible, des objectifs d'apprentissage, des ressources disponibles et des contraintes organisationnelles. Une approche mixte combinant plusieurs modalités est généralement plus efficace. Étape numéro 4. Développer le contenu. Avant de créer de nouveaux contenus, il est judicieux d'inventorier les ressources existantes au sein de l'organisation, auprès d'autres agences ou d'organisations partenaires, et sur le marché, via les solutions commerciales. La décision de développer en interne ou d'acquérir des contenus externes dépend de la spécificité des besoins, des ressources disponibles et des budgets du délai. Une approche hybride combinant contenus génériques acquis ou modules spécifiques développés en interne est souvent optimale. Étape numéro 5. Déployer le programme. Le déploiement doit être planifié en tenant compte du calendrier organisationnel, de la capacité d'absorption des équipes, ainsi que des dépendances techniques et des exigences de conformité. Une stratégie de communication efficace est essentielle pour le succès du déploiement. Elle doit informer sur le programme et ses objectifs, motiver la participation et fournir les informations pratiques nécessaires. Étape numéro 6, évaluer et améliorer. L'évaluation doit mesurer non seulement la conformité quantitative, comme le taux de complétion, mais aussi l'impact qualitatif en termes de changement de comportement et d'évolution culturelle. Les résultats de l'évaluation alimentent le cycle d'amélioration continue. Les ajustements peuvent porter sur le contenu, les modalités de diffusion ou les audits en cible ou la fréquence des activités. La mesure de la performance du programme est essentielle pour démontrer sa valeur et identifier les opportunités d'amélioration. Ces métriques mesurent l'engagement dans le programme. Elle inclut le taux de participation aux formations, les taux de complétion des modules obligatoires, la fréquence d'accès aux ressources de sensibilisation et le nombre de participants aux événements. Les métriques d'apprentissage. Ces métriques évaluent l'acquisition des connaissances et compétences. Elles comprennent les résultats des évaluations, pré- et post-formation, les scores aux tests de validation, les taux de réussite aux certifications et la progression des compétences dans le temps. Le métrique de comportement. Ces métriques mesurent les changements de comportement effectifs. Elles englobent le taux de clics lors des exercices de phishing, le nombre de signalements d'incidents suspects, le respect des politiques de sécurité et l'adoption des bonnes pratiques comme l'authentification multifacteur. Les métriques d'impact Ces métriques évaluent l'impact global sur l'organisation. Elles incluent la réduction des incidents liés au facteur humain, la diminution des coûts associés aux incidents, l'émulation des résultats d'audit et l'évolution de la culture organisationnelle. La mise en œuvre d'un programme efficace nécessite des ressources adéquates. Le budget doit couvrir l'ensemble des besoins du programme. Le coût du personnel comprenant les responsables du programme, les concepteurs pédagogiques, les formateurs, les graphistes ou les développeurs web, ainsi que les experts métiers contribuant au contenu. Les coûts d'infrastructures incluant les espèces de formation physique ou virtuelle, les plateformes de gestion d'apprentissage ou LMS, les outils de création de contenu et les équipes techniques. Les coûts de contenu regroupent le développement du matériel spécifique, les licences pour contenu externe, les supports de sensibilisation comme les affiches, les objets promotionnels et les certifications professionnelles. Les coopérationnels couvrent l'organisation des événements, la communication et le marketing interne, ainsi que l'évaluation et le reporting. Même avec un budget limité, il est possible de développer un programme efficace. Plusieurs stratégies permettent d'optimiser les ressources. Le partage de ressources avec d'autres organisations ou agences permet de mutualiser les coûts de développement et les bonnes pratiques. L'utilisation de ressources gratuites est facilitée par les nombreux contenus de sensibilisation disponibles gratuitement auprès d'agences gouvernementales ou d'organisations professionnelles. La réutilisation de contenus existants au sein de l'organisation à date. au nouveau besoin réduit les coûts de développement. L'approche progressive permet de commencer avec un programme de base puis l'enrichir progressivement à mesure que les ressources deviennent disponibles. Le NIST SP 800-50 R1 offre un cadre complet et moderne pour construire et maintenir un programme d'apprentissage en cybersécurité et de protection de la vie privée. L'intégration de la cybersécurité et de la protection de vie privée dans un même programme reflète la réalité des risques actuels et les exigences règlement. La clé du succès réside dans l'adoption d'une approche stratégique et itérative. Le cycle de vie du programme permet des ajustements continus pour s'adapter aux évolutions de menaces, des technologies et des besoins organisationnels. Le développement d'une culture cybersécurité et de protection des vies privées positives constituent l'objectif ultime du programme. Au-delà de la simple conformité, il s'agit de transformer chaque collaborateur en un acteur conscient et engagé Merci. dans la protection des informations et des individus. Alors ne pensez pas que vos collaborateurs sont des sous-doués en matière de cybersécurité. Avec un programme de formation bien pensé, vous en ferez de vrais ambassadeurs et des alliés solides. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout, n'oubliez pas... Pour certains, la cybersécurité est un événement. C'est bien plus sérieux que ça. Merci.

Description

Les points clés :

Le document propose un cycle en 4 phases : planification stratégique, analyse des besoins et conception, développement et mise en œuvre, puis évaluation et amélioration continue.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y prennent rien. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Certaines œuvres artistiques sont porteuses d'un sens caché, parfois bien plus subtil que la première lecture qu'on puisse en faire. On pourra citer par exemple la célèbre chanson du groupe Eagles, Hotel California, sortie en 1976. Vous le savez peut-être déjà, mais cet hôtel n'existe pas en réalité, et fait plutôt référence, selon certaines interprétations, à un centre de désintoxication pour toxinomanes, symbolisant l'addiction et l'impossibilité d'échapper à ces démons. On pourra aussi citer la chanson de U2, Sunday Bloody Sunday, qui fait référence à la mort de 14 personnes tuées par les forces de l'ordre britanniques lors d'une manifestation pacifique le 30 janvier 1972 à Derry, en Irlande du Nord. Les manifestants réclamaient l'équité des droits entre catholiques et protestants dans un contexte de tensions communautaires exacerbées. Cette chanson protestataire est devenue une hymne contre la violence et l'injustice. On peut également faire référence au film de Milos Forman, « Vol au-dessus d'un nid de coucou » , sorti en 1975 et adapté du roman de Ken Kessé, qui offre de multiples axes de lecture. Certains y verront une réflexion profonde sur la démocratie et les libertés individuelles face à l'autorité institutionnelle, d'autres une critique voilée de la dictature communiste au travers du personnage autoritaire de Miss Ratched, infirmière tyrannique, incarnant le contrôle totalitaire sur les individus. Le film interroge ainsi les notions de normalité, de conformisme et de résistance face à l'oppression, thème ô combien d'actualité dans notre société contemporaine. Vous l'avez compris, certains films portent un sens très profond, tant d'un point de vue sociétal que politique. Ce sont des œuvres dont la vocation n'est pas simplement de trouver leur public, mais bien de changer le monde, de bousculer les consciences et de faire évoluer les mentalités. C'est le cas d'un film qui dénonce l'inégalité dans l'apprentissage, La lutte des classes au sein du système éducatif, et qui porte haut les couleurs de l'universalité de la connaissance, une sorte d'héritage moderne du siècle des Lumières, défendant l'idée que le savoir peut être accessible à tous, sans distinction d'origine sociale. Vous l'avez compris, je vous parle ici d'un film injustement qualifié de nanar, et dont je me demande encore aujourd'hui pourquoi il n'a pas reçu de César ou d'Oscar. Cette œuvre méritait une reconnaissance bien plus grande, pour son message universaliste et sa portée sociale. Je veux bien sûr parler des Soudoué passe le bac, un film réalisé en 1980 par Claude Zidi. Au-delà de cette boutade, la connaissance est un véritable enjeu en matière de cybersécurité. On entend souvent dire que l'humain est le maillon fab de la chaîne, mais personnellement je préfère dire que c'est plutôt la première ligne de défense de notre système d'information si les personnes concernées ont un bon niveau de connaissance en fonction de leur rôle dans l'entreprise. Et c'est là qu'est le plus grand challenge. Comment mettre en œuvre une stratégie de formation efficace et comment s'assurer de son efficacité ? Pour ce faire, je vous propose de parcourir l'un des standards du NIST, le CP 800-50. La protection des systèmes d'information et des données personnelles constitue aujourd'hui un enjeu stratégique majeur pour toute organisation. Face à l'évolution constante des menaces cyber et aux exigences réglementaires croissantes en matière de protection de la vie privée, mais aussi en matière de résilience, particulièrement dans le cadre de DORA. Les organisations doivent mettre en place des programmes de formation et de sensibilisation robustes et efficaces. Le NIST, NIST pour National Institute of Standards and Technology, a publié en septembre 2024 la révision 1 de sa publication spéciale SP 800-50 intitulée Building a Cybersecurity and Privacy Learning Program. Ce document remplace la version originelle datant de 2003 et pose une approche modernisée pour construire et maintenir un programme d'apprentissage en cybersécurité et la protection de la vie privée. L'objectif de ce guide est de fournir aux responsables de la sécurité, aux directeurs du système d'information et aux équipes de formation, les outils nécessaires pour développer un programme d'apprentissage efficace, adapté à leur contexte organisationnel. La version originale du SP 800-50, publiée en octobre 2003, se concentrait principalement sur la sensibilisation et la formation à la cybersécurité. Cette mise à jour majeure intègre plusieurs évolutions significatives pour répondre aux défis actuels. Tout d'abord, l'intégration de la protection de la vie privée avec la cybersécurité reflète la prise de conscience que ces deux disciplines, bien qu'indépendantes, partagent des objectifs communs. La cybersécurité protège les systèmes contre les accès non autorisés, tandis que la protection de la vie privée gère les risques liés au traitement des données personnelles tout au long de leur cycle de vie. Ensuite, L'adoption d'une approche basée sur le cycle de vie permet une amélioration continue du programme. Cette méthodologie itérative autorise des ajustements réguliers pour s'adapter aux événements spécifiques de l'organisation et aux nouvelles menaces. Un programme de formation efficace vise à atteindre plusieurs objectifs fondamentaux qui contribuent directement à la réduction des risques organisationnels. Premièrement, le changement de comportement. Le programme doit encourager l'adoption de comportements sécurisés au quotidien, transformant chaque collaborateur en un acteur. acteur de la sécurité. Deuxième point, le développement d'une culture. L'objectif est de créer une culture organisationnelle où la cybersécurité et la protection de la vie privée sont naturellement intégrées dans les pratiques professionnelles. Troisième point, la gestion des risques. Le programme contribue à la réduction des risques liés aux facteurs humains, qui représentent souvent le maillon faible de la chaîne de sécurité. Quatrième point, la conformité réglementaire. Le programme permet de satisfaire aux exigences légales et réglementaires. en matière de formation à la cybersécurité et à la protection des données. Le document du NIST propose une approche structurée basée sur un cycle de vie en quatre phases. Cette méthodologie permet une gestion dynamique et évolutive du programme garantissant son adéquation constante avec les besoins de l'organisation. Phase numéro 1, la planification et la stratégie. La première phase constitue le fondement de tout programme réussi. Elle implique la définition d'une vision claire et l'élaboration d'un plan stratégique aligné sur les objectifs organisationnels. Le plan stratégique du programme doit s'intégrer dans la stratégie globale du développement de compétences de l'organisation. Il est essentiel de comprendre la structure et la mission de l'organisation pour déterminer l'origine et la portée de cette stratégie. Un élément clé du plan stratégique comprend la vision et la mission du programme lui-même, qui doivent clairement articuler comment le programme soutient les objectifs de gestion des risques de l'organisation. Les objectifs stratégiques définissent les résultats attendus en termes de changement de comportement, de développement des compétences et de réduction des incidents. Les approches de formation décrivent les méthodes et les modalités d'apprentissage qui seront utilisées. Les tactiques opérationnelles détaillant les outils et les mécanismes spécifiques pour atteindre les objectifs. Enfin, les métriques et le reporting définissent comment le succès du programme sera mesuré et communiqué.
Speaker #1
Il faut dire, Merck, qu'avec les résultats que nous avons obtenus cette année,
Speaker #2
personne n'est au courant. Et maintenant, une information concernant les résultats du baccalauréat. La moyenne est de 59% de reçus sur l'ensemble du pays. C'est le cours Saint-Louis de Gonzague, dans le 16e arrondissement de Paris, qui détient le record avec 95% de reçus. Et en bas du tableau, nous trouvons le cours Louis XIV de Versailles avec 0% de reçus. J'ai bien dit 0% de reçus. Gageons que pour ce dernier, la situation ne peut que s'améliorer. Notre prochain journal est à 20h. Merci de votre attention.
Speaker #1
Oui, Léon.
Speaker #3
Léon ! Léon ! Léon !
Speaker #1
Depuis 20 ans, je dis amène à tout ce que vous dites, tout ce que vous faites. Je vous laisse agir à votre guise. Aujourd'hui, nous récoltons les fruits de vos méthodes pédagogiques permissives. 100% de recalé, vous m'entendez Léon ? 100% de recalé. J'imagine que vous réalisez sans peine ce que représente pour nous la publicité gratuite que nous a fait la télévision. 68%. Les parents réclament pour leurs enfants un système pédagogique répressif.
Speaker #0
Les politiques fournissent les principes directeurs pour la mise en œuvre du programme. Elles doivent être claires, simples et alignées avec la politique organisationnelle existante. Les procédures décrivent comment ces politiques sont appliquées, en précisant les responsabilités, les étapes de mise en œuvre et les critères de conformité. Parmi les exemples de politique, on peut citer l'obligation pour tous les utilisateurs de suivre une formation initiale et des formations de rappel régulière, la désignation de responsable de la formation en cybersécurité et de protection de la vie privée, ou encore les conséquences en cas de non-respect des exigences de formation. Phase numéro 2, l'analyse et la conception. Cette phase cruciale permet d'identifier les besoins d'apprentissage spécifique de l'organisation et de concevoir un programme adapté aux différents publics cibles. L'analyse des besoins constitue une étape fondamentale qui ne faut jamais négliger. Elle permet de déterminer l'écart entre l'état actuel des connaissances et les compétences à l'état souhaité. Les techniques d'analyse incluent les entretiens avec les parties prenantes clés, l'examen des analyses de postes existants, la revue des exigences réglementaires, l'analyse des risques cyber et de vie privée, ainsi que l'étude des retours d'expérience et de rapports d'incidents. Les conséquences d'une analyse négligée peuvent être significatives. Gaspillage de ressources sur les formations inadaptées, incompréhension des besoins réels des apprenants, utilisation de mauvais canaux de diffusion ou répétition des erreurs passées. Le standard du NIST identifie trois segments d'audience principaux pour le programme. Le premier segment comprend tous les utilisateurs. Ce groupe englobe l'ensemble du personnel de l'organisation, employés à temps plein et partiels, contractuels, consultants, visiteurs et partenaires accédant au système. Ils doivent comprendre et respecter les politiques de sécurité. connaître les règles d'utilisation acceptables et savoir comment signaler les incidents. Le deuxième segment concerne les détenteurs de comptes à privilèges. Ces individus disposent d'un accès étendu aux systèmes et aux données critiques. Leur formation doit couvrir la responsabilité spécifique liée à leur privilège et les risques associés à une mauvaise utilisation de ces accès. Le troisième segment rassemble le personnel ayant des responsabilités significatives en cybersécurité ou protection de la vie privée. Ce groupe nécessite une formation de base sur les rôles pour développer les compétences techniques et managériales nécessaires à leur fonction. La phase de conception transforme les résultats de l'analyse en objectifs d'apprentissage concret. Le document de conception constitue le plan directeur pour le développement et la mise en œuvre du programme. Il comprend typiquement l'objectif et le contexte du programme, l'identification du public cible, les objectifs d'apprentissage, le plan de contenu et les ressources disponibles, la stratégie pédagogique avec les médias et les activités, les modalités de diffusion, les méthodes d'évaluation ainsi que les métriques de suivi. Phase numéro 3, le développement et la mise en œuvre. Cette phase transforme la conception en matériel de formation concret et assure leur déploiement auprès des publics cibles. Le développement des matériels de formation peut être réalisé en interne ou externalisé. La décision dépend de plusieurs facteurs. Disponibilité des ressources internes, expertise requise, budget disponible, délai de réalisation et de sensibilisation du contenu. Pour le programme destiné à tous les utilisateurs, le contenu doit être accessible, engageant et indirectement applicable au quotidien professionnel. Les sujets typiques incluent la gestion des mots de passe et l'authentification multifacteur, la reconnaissance et le signalement des tentatives de phishing, la protection des données personnelles et sensibles, l'utilisation sécurisée des équipements et réseaux, ainsi que les procédures de signalement des incidents. Pour les détenteurs de comptes à privilèges, la formation doit aborder les responsabilités spécifiques liées aux accès privilégiés, les risques et conséquences d'une mauvaise utilisation, les procédures de gestion et de protection des identifiants, ainsi que la surveillance et l'audit des activités. Pour le personnel avec des responsabilités significatives, la formation basée sur les rôles s'appuie sur les NICE Framework pour identifier les connaissances, compétences et tâches spécifiques à chaque fonction. Le NIST SP800-50R1 distingue plusieurs types d'éléments dans un programme. Les activités de sensibilisation sont conduites tout au long de l'année pour maintenir la vigilance. Elle inclut les messages sur les écrans de connexion, les newsletters, les affiches physiques ou numériques, les événements thématiques, comme les mois de la cybersécurité, et les rappels par mail. L'apprentissage expérimental comprend des exercices pratiques simulant des situations réelles. Cela englobe les campagnes de phishing simulées, les jeux de rôle et mise en situation, les exercices sur table pour les scénarios d'incidents et les exercices en environnement virtuel pour les experts en cybersécurité.
Speaker #4
Attention, une phrase a défilé sur cet écran. Répétez-la. Une organisation des Nations Unies fondée en 1942. Attention, répétez. Vous ne pouvez toujours pas répéter.
Speaker #3
Si, si, si, si. L'ONU a été fondée en 1942.
Speaker #4
Dans quelle année ?
Speaker #3
Euh... en 1942... Répétez plus vite. L'ONU a été fondée en 1942...
Speaker #4
Répétez 42 plusieurs fois.
Speaker #3
42, 42, 42, 42...
Speaker #4
Attention, nouvelle question. Choisissez la bonne réponse.
Speaker #3
Si c'est New York.
Speaker #4
Réponse fausse.
Speaker #3
En 1940. Répétez.
Speaker #4
Trotsky a été assassiné à Mexico en 1940. Plus vite.
Speaker #3
Trotsky a été assassiné à Mexico en 1940. En quelle année ? En 40 ! Kennedy ? Non, Droski. Qui ? De Bruyne. Kennedy. Droski a été assassiné en 1940 aux Jeux Olympiques de Mexi...
Speaker #4
Et en 1936 ?
Speaker #3
La guerre d'Espagne a commencé en 1936.
Speaker #4
En quelle année ?
Speaker #3
En 1936.
Speaker #4
Quoi ?
Speaker #3
La guerre d'Espagne.
Speaker #4
En quelle année ?
Speaker #3
En 1936. La guerre d'Espagne.
Speaker #4
En quelle année ?
Speaker #3
En 1936.
Speaker #4
Terminée en 1936 ?
Speaker #3
Non, non, elle a commencé en 1936.
Speaker #4
Bravo, vous avez mérité une petite récompense.
Speaker #0
Les formations structurées utilisent diverses modalités selon les besoins. On trouve la formation synchrone en présentiel ou en classe virtuelle. la formation asynchrone ou auto-formation en ligne, les webinars et podcasts, ainsi que les démonstrations et tutoriels. Phase 4. Évaluer et améliorer. Cette phase finale du cycle assure le suivi et l'efficacité du programme et identifie les opportunités d'amélioration continue. Les mesures quantitatives fournissent des données objectives sur les programmes. Elles incluent les taux de participation et de complétion des formations, les résultats des évaluations et tests, le coût par participant, les données d'utilisation des plateformes en ligne, le suivi des certifications obtenues, les métriques sur les incidents liés aux facteurs humains, ainsi que les taux de détection et signalement des exercices de phishing. Cependant, ce dernier facteur doit être considéré avec beaucoup de précaution. Effectivement, les tests de phishing peuvent être de difficultés diverses, ce qui rend la mesure de la performance assez hasardeuse. Les mesures qualitatives, quant à elles, apportent une compréhension plus profonde de l'expérience d'apprentissage. Elles comprennent les observations des formateurs, les enquêtes de satisfaction et d'attitude, les retours ouverts des participants, les discussions au groupe de travail et les analyses de cas d'études. L'évaluation doit être au-delà de la simple conformité pour mesurer l'impact réel sur les comportements et la culture organisationnelle. Les indicateurs de succès incluent la réduction des incidents liés au facteur humain, l'amélioration des temps de détection et de signalement, l'évolution positive des attitudes envers la sécurité, l'adoption de bonnes pratiques au quotidien, et la satisfaction des participants quant à la pertinence des formations. Le succès d'un programme repose sur l'engagement de l'ensemble de l'organisation, avec des responsabilités clairement définies pour chaque niveau hiérarchique. Les dirigeants de l'organisation portent la responsabilité ultime de la protection des informations. Ils doivent prioriser les développements du programme en désignant des responsables, en assurant un financement adéquat, en garantissant la disponibilité du personnel qualifié et en soutenant les efforts de mesures de culture de cybersécurité et de protection de la vie privée. Les cadres supérieurs, notamment les DSI, les RSSI et le DPO, jouent un rôle essentiel dans la définition de la direction stratégique. Ils doivent montrer l'exemple en participant aux formations requises, identifier les responsabilités cybersécurité et de protection de vie privée dans les fiches de poste, établir les politiques et les procédures du programme et former un comité de pilotage pour le suivi. Les responsables du programme ont la charge opérationnelle du programme lui-même. Leur responsabilité inclut la collaboration avec les experts métiers, Pour l'interprétation des politiques, la facilitation du développement de matériel adapté, le développement d'approches efficaces de diffusion, la mise en place de mécanismes de retour d'expérience, la supervision des revues et mise à jour du contenu et la fourniture de rapports réguliers à la direction. Les managers et superviseurs ont la responsabilité d'assurer la conformité de leurs équipes aux exigences de formation. Ils doivent élaborer des plans de développement individuel, promouvoir le développement professionnel en cybersécurité et en protection de la vie privée, S'assurer que le personnel comprend les règles spécifiques au système utilisé et travailler à réduire les erreurs liées au manque de sensibilisation. Chaque utilisateur est responsable de son propre apprentissage et de l'application des bonnes pratiques. Il doit respecter les politiques de cybersécurité et de protection des vies privées, comprendre et accepter les règles d'utilisation, participer aux formations requises et signaler les comportements suspects ou les incidents. Le développement d'une culture organisationnelle favorable à la cybersécurité et à la protection de la vie privée constitue un objectif majeur pour le programme. Cette culture influence directement les comportements quotidiens et les capacités de l'organisation à gérer les risques. Le programme permet d'adresser deux catégories de risques complémentaires. Les risques techniques concernant les systèmes mal connus, non mis à jour ou compromis, la formation basée sur les rôles, destinée aux professionnels ayant des responsabilités significatives, permet de développer les compétences nécessaires pour prévenir et remédier les risques. Le risque humain résulte des comportements inadéquats des individus ou de systèmes mal configurés permettant des erreurs humaines. Le programme de sensibilisation pour tous les utilisateurs vise à réduire ces risques en développant une culture de la vigilance. Une culture cybersécurité et vie privée positive se caractérise par plusieurs éléments. L'engagement de la direction se manifeste par un soutien visible et actif des dirigeants qui participent au programme de formation et communiquent régulièrement sur l'importance de ces enjeux. La valorisation des employés implique de considérer chaque collaborateur comme un acteur de la sécurité et non comme un maillon faible à contrôler. Les messages de sensibilisation doivent être respectués et inclusifs. L'apprentissage continu suppose que les activités de formation soient perçues comme des opportunités de développement et non comme des contraintes administratives. La communication ouverte encourage le signalement des incidents et des erreurs sans crainte de représailles, permettant ainsi à l'organisation d'apprendre de ses erreurs. Bien que la cybersécurité et la protection de la vie privée soient des disciplines indépendantes, elles partagent des objectifs communs. La cybersécurité protège les informations et les systèmes contre des accès non autorisés pour garantir la confidentialité, l'intégrité et la disponibilité. La protection de la vie privée gère les risques liés au traitement des données personnelles tout au long de leur cycle de vie. Gérer les risques cyber contribue à protéger les risques liés à la sécurité de la vie privée. Mais cela ne suffit pas. des risques liés au traitement de la vie privée, peuvent survenir indépendamment des incidents de sécurité, par exemple lors de la réidentification des données anonymisées ou de l'utilisation secondaire non autorisée de données personnelles. Il y a principalement deux actions à faire. à mettre en œuvre dans le cadre du programme, et celles-ci sont applicables aux organisations de toute taille. Étape numéro 1. Établir le cadre stratégique. La première action consiste à établir une structure de gouvernance claire. Cela implique de désigner un responsable du programme, de former un comité de pilotage incluant les parties prenantes clés, de définir les circuits de décision et de validation, et d'établir un mécanisme de reporting vers la direction. Les politiques de programme doivent couvrir les exigences de formation obligatoires pour chaque catégorie de personnel. les délais de complétion et les conséquences en cas de non-conformité, les responsabilités de chaque niveau hiérarchique et les modalités de mise à jour et de révision du programme. Étape numéro 2, analyser les besoins. L'analyse des besoins commence par l'identification précise des différentes populations concernées. Il faut recenser tous les utilisateurs accédant au système, identifier les détenteurs de comptes à privilèges et déterminer le personnel ayant des responsabilités significatives en cybersécurité et en protection de la vie privée. Une évaluation de l'état actuel permet d'identifier les écarts à combler. Cette évaluation porte sur les connaissances et les compétences existantes, les programmes de formation en place, les ressources disponibles en termes de budget, personnel et outils, ainsi que les métriques historiques sur les incidents et la conformité. Les priorités sont établies en fonction de l'impact organisationnel et des risques, de l'état de conformité actuel, de la disponibilité des ressources et des dépendances avec d'autres projets. Étape numéro 3. Concevoir le programme. Chaque élément du programme doit avoir des objectifs d'apprentissage clairs et mesurables. Le choix des modalités de diffusion dépend du public cible, des objectifs d'apprentissage, des ressources disponibles et des contraintes organisationnelles. Une approche mixte combinant plusieurs modalités est généralement plus efficace. Étape numéro 4. Développer le contenu. Avant de créer de nouveaux contenus, il est judicieux d'inventorier les ressources existantes au sein de l'organisation, auprès d'autres agences ou d'organisations partenaires, et sur le marché, via les solutions commerciales. La décision de développer en interne ou d'acquérir des contenus externes dépend de la spécificité des besoins, des ressources disponibles et des budgets du délai. Une approche hybride combinant contenus génériques acquis ou modules spécifiques développés en interne est souvent optimale. Étape numéro 5. Déployer le programme. Le déploiement doit être planifié en tenant compte du calendrier organisationnel, de la capacité d'absorption des équipes, ainsi que des dépendances techniques et des exigences de conformité. Une stratégie de communication efficace est essentielle pour le succès du déploiement. Elle doit informer sur le programme et ses objectifs, motiver la participation et fournir les informations pratiques nécessaires. Étape numéro 6, évaluer et améliorer. L'évaluation doit mesurer non seulement la conformité quantitative, comme le taux de complétion, mais aussi l'impact qualitatif en termes de changement de comportement et d'évolution culturelle. Les résultats de l'évaluation alimentent le cycle d'amélioration continue. Les ajustements peuvent porter sur le contenu, les modalités de diffusion ou les audits en cible ou la fréquence des activités. La mesure de la performance du programme est essentielle pour démontrer sa valeur et identifier les opportunités d'amélioration. Ces métriques mesurent l'engagement dans le programme. Elle inclut le taux de participation aux formations, les taux de complétion des modules obligatoires, la fréquence d'accès aux ressources de sensibilisation et le nombre de participants aux événements. Les métriques d'apprentissage. Ces métriques évaluent l'acquisition des connaissances et compétences. Elles comprennent les résultats des évaluations, pré- et post-formation, les scores aux tests de validation, les taux de réussite aux certifications et la progression des compétences dans le temps. Le métrique de comportement. Ces métriques mesurent les changements de comportement effectifs. Elles englobent le taux de clics lors des exercices de phishing, le nombre de signalements d'incidents suspects, le respect des politiques de sécurité et l'adoption des bonnes pratiques comme l'authentification multifacteur. Les métriques d'impact Ces métriques évaluent l'impact global sur l'organisation. Elles incluent la réduction des incidents liés au facteur humain, la diminution des coûts associés aux incidents, l'émulation des résultats d'audit et l'évolution de la culture organisationnelle. La mise en œuvre d'un programme efficace nécessite des ressources adéquates. Le budget doit couvrir l'ensemble des besoins du programme. Le coût du personnel comprenant les responsables du programme, les concepteurs pédagogiques, les formateurs, les graphistes ou les développeurs web, ainsi que les experts métiers contribuant au contenu. Les coûts d'infrastructures incluant les espèces de formation physique ou virtuelle, les plateformes de gestion d'apprentissage ou LMS, les outils de création de contenu et les équipes techniques. Les coûts de contenu regroupent le développement du matériel spécifique, les licences pour contenu externe, les supports de sensibilisation comme les affiches, les objets promotionnels et les certifications professionnelles. Les coopérationnels couvrent l'organisation des événements, la communication et le marketing interne, ainsi que l'évaluation et le reporting. Même avec un budget limité, il est possible de développer un programme efficace. Plusieurs stratégies permettent d'optimiser les ressources. Le partage de ressources avec d'autres organisations ou agences permet de mutualiser les coûts de développement et les bonnes pratiques. L'utilisation de ressources gratuites est facilitée par les nombreux contenus de sensibilisation disponibles gratuitement auprès d'agences gouvernementales ou d'organisations professionnelles. La réutilisation de contenus existants au sein de l'organisation à date. au nouveau besoin réduit les coûts de développement. L'approche progressive permet de commencer avec un programme de base puis l'enrichir progressivement à mesure que les ressources deviennent disponibles. Le NIST SP 800-50 R1 offre un cadre complet et moderne pour construire et maintenir un programme d'apprentissage en cybersécurité et de protection de la vie privée. L'intégration de la cybersécurité et de la protection de vie privée dans un même programme reflète la réalité des risques actuels et les exigences règlement. La clé du succès réside dans l'adoption d'une approche stratégique et itérative. Le cycle de vie du programme permet des ajustements continus pour s'adapter aux évolutions de menaces, des technologies et des besoins organisationnels. Le développement d'une culture cybersécurité et de protection des vies privées positives constituent l'objectif ultime du programme. Au-delà de la simple conformité, il s'agit de transformer chaque collaborateur en un acteur conscient et engagé Merci. dans la protection des informations et des individus. Alors ne pensez pas que vos collaborateurs sont des sous-doués en matière de cybersécurité. Avec un programme de formation bien pensé, vous en ferez de vrais ambassadeurs et des alliés solides. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout, n'oubliez pas... Pour certains, la cybersécurité est un événement. C'est bien plus sérieux que ça. Merci.

Embed