Cet article a été publié pour la première fois sur Inside IT (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.
Les personnes créent la sécurité
Établir une culture de la sécurité est l'objectif déclaré de nombreux RSSI, mais comment y parvenir concrètement ? La première formation continue qui transmet des connaissances interdisciplinaires dans les domaines de la cybersécurité, de la psychologie comportementale, de la formation des adultes et de la communication débutera en janvier 2025. Le CAS Cyber Risk Awareness de la ZHAW place l'être humain au centre de la sécurité - et il y a de bonnes raisons à cela.
Dans le secteur de la sécurité informatique, les connaissances techniques sont solidement ancrées. Les spécialistes sont parfaitement familiarisés avec les systèmes complexes et les multiples scénarios de menaces. Mais il leur manque souvent un aspect tout aussi important : la gestion efficace des personnes et des organisations. C'est étonnant, car 68 % des violations de sécurité sont causées par des personnes qui n'ont pas d'intention malveillante, mais qui ont par exemple été victimes d'une attaque d'ingénierie sociale ou qui ont commis une erreur. Ce fait souligne l'urgence de prendre plus au sérieux le facteur humain dans la cybersécurité.
Le rapport ENISA Threat Landscape Report 2023 confirme ce constat. L'une des principales conclusions est que les campagnes d'ingénierie sociale sous différentes formes représentent une menace considérable pour les utilisateurs et les utilisatrices d'Internet. Il est particulièrement inquiétant de constater qu'avec l'émergence de l'intelligence artificielle générative (GenAI), cette menace ne cesse de croître. Les organisations criminelles utilisent des méthodes de plus en plus sophistiquées pour manipuler les gens de manière ciblée.
Ces développements montrent clairement que les solutions techniques seules ne suffisent pas. Il est indispensable de comprendre le facteur humain et de l'aborder de manière ciblée. C'est la seule façon de protéger les organisations contre des menaces de plus en plus complexes.
L'homme au cœur de la cybersécurité
Les organisations sont confrontées au défi de sensibiliser le personnel aux cyberrisques et de le permettre d'adopter un comportement sûr dans l'espace numérique. La sécurité informatique n'est plus l'apanage des départements techniques. Tout le personnel, de la direction aux collaborateurs et collaboratrices en stage, jouent un rôle décisif dans la protection contre les cyberattaques.
Il est de plus en plus évident que le "facteur humain" dans la sécurité de l'information n'est pas seulement un risque potentiel, mais aussi une ressource qu'il faut renforcer. C'est là qu'intervient la nouvelle formation continue de la ZHAW School of Management and Law. Le CAS Cyber Risk Awareness (en allemand) vise à promouvoir une culture d'entreprise axée sur la sécurité en apprenant aux participants, de manière pratique, comment influencer positivement les comportements au sein de leur organisation. La langue d'enseignement du CAS Cyber Risk Awareness est l'allemand.
La sécurité centrée sur l'humain est interdisciplinaire
Jusqu'à présent, la plupart des formations continues en sécurité de l'information avaient une orientation plutôt technique, c'est pourquoi nous avons conçu avec le professeur Nico Ebert de la ZHAW un nouveau CAS qui comble cette lacune et met l'accent sur la sécurité centrée sur l'humain.
Le CAS Cyber Risk Awareness transmet des connaissances ciblées sur la manière dont les organisations renforcent leur culture de la sécurité en initiant des changements de comportement auprès de leur personnel. Le Cyber Risk Awareness Framework, qui est dérivé du modèle de management de St-Gall, sert de base au curriculum.
Le cours est divisé en plusieurs modules qui s'enchaînent systématiquement. Le premier module est consacré à la conception de mesures de sensibilisation. Les personnes qui y participent apprennent comment créer une prise de conscience des cyberrisques dans leur organisation et comment concevoir des processus de sécurité de manière à ce qu'ils soient gérables pour les personnes. Dans le deuxième module, l'accent est mis sur la mise en œuvre pratique de ces mesures. Des outils et méthodes concrets sont enseignés afin d'influencer positivement le comportement du personnel et de s'assurer que les directives de sécurité ne sont pas seulement comprises, mais aussi appliquées.
Changer de comportement est complexe
Convaincre les gens de changer de comportement, en particulier dans le contexte de la cybersécurité, est une tâche complexe. Les gens perçoivent les risques de différentes manières et leurs actions sont souvent influencées par des habitudes, des attitudes inconscientes et d'autres facteurs.
Prenons l'exemple des différents facteurs qui influencent le comportement de reporting dans les organisations : Des facteurs tels que le temps, la convivialité des systèmes de reporting et la peur des conséquences personnelles en cas de signalement d'une erreur personnelle jouent un rôle important dans le fait que le personnel signale ou non des incidents liés à la sécurité. En outre, s'ils ont le sentiment que leurs rapports ne sont pas pris au sérieux ou qu'ils n'entraînent pas de changement, ils sont moins enclins à signaler les incidents futurs.
Cet article de blog visualise, à l'aide de diagrammes d'influence, pourquoi il faut plus qu'une invitation unique à signaler les incidents de sécurité. Comme le montre cet exemple, le comportement de reporting dépend de nombreux facteurs, et pour établir un comportement cible souhaité, une compréhension de base de la psychologie comportementale est essentielle.
Promouvoir une culture d'entreprise axée sur la sécurité
Une culture de la sécurité est l'objectif déclaré de nombreux RSSI. Le CAS Cyber Risk Awareness vise à fournir les outils nécessaires pour emprunter cette voie avec succès. Des connaissances pratiques permettent aux participants de développer des concepts de sensibilisation sur mesure avec des mesures fondées, de les évaluer et de les améliorer continuellement. Une sensibilisation et une formation ciblées du personnel permettent de créer les bases d'une organisation résiliente.
Plus d'informations
https://www.zhaw.ch/de/sml/weiterbildung/detail/kurs/cas-cyber-risk-awareness/ (en allemand)
Webinaire d'information CAS Cyber Risk Awareness
Le mardi 1er octobre, de 12h00 à 13h00, nous présenterons le nouveau CAS Cyber Risk Awareness et répondrons à vos questions.
Pour s'inscrire au webinaire : https://www.zhaw.ch/de/sml/weiterbildung/event/event-news/infoveranstaltung-cas-cyber-risk-awareness/ (en allemand)
Cyber Security