Les personnes créent la sécurité

Dans le secteur de la sécurité informatique, les connaissances techniques sont solidement ancrées. Les spécialistes sont parfaitement familiarisés avec les systèmes complexes et les multiples scénarios de menaces. Mais il leur manque souvent un aspect tout aussi important : la gestion efficace des personnes et des organisations. C'est étonnant, car 68 % des violations de sécurité sont causées par des personnes qui n'ont pas d'intention malveillante, mais qui ont par exemple été victimes d'une attaque d'ingénierie sociale ou qui ont commis une erreur. Ce fait souligne l'urgence de prendre plus au sérieux le facteur humain dans la cybersécurité.

Le rapport ENISA Threat Landscape Report 2023 confirme ce constat. L'une des principales conclusions est que les campagnes d'ingénierie sociale sous différentes formes représentent une menace considérable pour les utilisateurs et les utilisatrices d'Internet. Il est particulièrement inquiétant de constater qu'avec l'émergence de l'intelligence artificielle générative (GenAI), cette menace ne cesse de croître. Les organisations criminelles utilisent des méthodes de plus en plus sophistiquées pour manipuler les gens de manière ciblée.

Ces développements montrent clairement que les solutions techniques seules ne suffisent pas. Il est indispensable de comprendre le facteur humain et de l'aborder de manière ciblée. C'est la seule façon de protéger les organisations contre des menaces de plus en plus complexes.

L'homme au cœur de la cybersécurité

Les organisations sont confrontées au défi de sensibiliser le personnel aux cyberrisques et de le permettre d'adopter un comportement sûr dans l'espace numérique. La sécurité informatique n'est plus l'apanage des départements techniques. Tout le personnel, de la direction aux collaborateurs et collaboratrices en stage, jouent un rôle décisif dans la protection contre les cyberattaques.

Il est de plus en plus évident que le "facteur humain" dans la sécurité de l'information n'est pas seulement un risque potentiel, mais aussi une ressource qu'il faut renforcer. C'est là qu'intervient la nouvelle formation continue de la ZHAW School of Management and Law. Le CAS Cyber Risk Awareness (en allemand) vise à promouvoir une culture d'entreprise axée sur la sécurité en apprenant aux participants, de manière pratique, comment influencer positivement les comportements au sein de leur organisation. La langue d'enseignement du CAS Cyber Risk Awareness est l'allemand.

La sécurité centrée sur l'humain est interdisciplinaire

Jusqu'à présent, la plupart des formations continues en sécurité de l'information avaient une orientation plutôt technique, c'est pourquoi nous avons conçu avec le professeur Nico Ebert de la ZHAW un nouveau CAS qui comble cette lacune et met l'accent sur la sécurité centrée sur l'humain.

Le CAS Cyber Risk Awareness transmet des connaissances ciblées sur la manière dont les organisations renforcent leur culture de la sécurité en initiant des changements de comportement auprès de leur personnel. Le Cyber Risk Awareness Framework, qui est dérivé du modèle de management de St-Gall, sert de base au curriculum. 

Le cours est divisé en plusieurs modules qui s'enchaînent systématiquement. Le premier module est consacré à la conception de mesures de sensibilisation. Les personnes qui y participent apprennent comment créer une prise de conscience des cyberrisques dans leur organisation et comment concevoir des processus de sécurité de manière à ce qu'ils soient gérables pour les personnes. Dans le deuxième module, l'accent est mis sur la mise en œuvre pratique de ces mesures. Des outils et méthodes concrets sont enseignés afin d'influencer positivement le comportement du personnel et de s'assurer que les directives de sécurité ne sont pas seulement comprises, mais aussi appliquées.

Changer de comportement est complexe

Convaincre les gens de changer de comportement, en particulier dans le contexte de la cybersécurité, est une tâche complexe. Les gens perçoivent les risques de différentes manières et leurs actions sont souvent influencées par des habitudes, des attitudes inconscientes et d'autres facteurs.
Prenons l'exemple des différents facteurs qui influencent le comportement de reporting dans les organisations : Des facteurs tels que le temps, la convivialité des systèmes de reporting et la peur des conséquences personnelles en cas de signalement d'une erreur personnelle jouent un rôle important dans le fait que le personnel signale ou non des incidents liés à la sécurité. En outre, s'ils ont le sentiment que leurs rapports ne sont pas pris au sérieux ou qu'ils n'entraînent pas de changement, ils sont moins enclins à signaler les incidents futurs.
 

Cet article de blog visualise, à l'aide de diagrammes d'influence, pourquoi il faut plus qu'une invitation unique à signaler les incidents de sécurité. Comme le montre cet exemple, le comportement de reporting dépend de nombreux facteurs, et pour établir un comportement cible souhaité, une compréhension de base de la psychologie comportementale est essentielle.

Promouvoir une culture d'entreprise axée sur la sécurité

Une culture de la sécurité est l'objectif déclaré de nombreux RSSI. Le CAS Cyber Risk Awareness vise à fournir les outils nécessaires pour emprunter cette voie avec succès. Des connaissances pratiques permettent aux participants de développer des concepts de sensibilisation sur mesure avec des mesures fondées, de les évaluer et de les améliorer continuellement. Une sensibilisation et une formation ciblées du personnel permettent de créer les bases d'une organisation résiliente.

Plus d'informations

https://www.zhaw.ch/de/sml/weiterbildung/detail/kurs/cas-cyber-risk-awareness/ (en allemand)

Webinaire d'information CAS Cyber Risk Awareness 

Le mardi 1er octobre, de 12h00 à 13h00, nous présenterons le nouveau CAS Cyber Risk Awareness et répondrons à vos questions. 

Pour s'inscrire au webinaire : https://www.zhaw.ch/de/sml/weiterbildung/event/event-news/infoveranstaltung-cas-cyber-risk-awareness/ (en allemand)