Après deux longues années de conférences virtuelles, ce fut une formidable opportunité de voir tant de clients et de collègues lors de la récente conférence sur la formation et la sensibilisation à la sécurité du NCA.

Et pendant l'événement, j'ai vu qu'après toutes ces années, le marché commence à changer de langage et à voir la valeur dans trois domaines clés.  

Ces trois domaines me semblaient très familiers. Alors que le marché était concentré sur le langage de la sensibilisation et de la formation, nous parlions de préparation et d'apprentissage, et de la manière d'impacter un véritable changement comportemental.  

Sensibilisation vs Préparation

Il y a plusieurs raisons pour lesquelles l'idée de sensibilisation ne m'a jamais vraiment convaincu. Tout d'abord, elle représente purement l'apport du responsable de formation – quelles que soient les actions que les formateurs entreprennent pour sensibiliser les employés aux risques de cybersécurité dans leur travail. Les responsables de formation mettent en œuvre des techniques et des campagnes de sensibilisation pour essayer de prouver un changement comportemental de la part de leurs employés.  

Une approche plus intelligente a toujours été de se concentrer sur l'autre côté de l'équation – la production que les employés créent. Si l'entrée est la sensibilisation, la production est la préparation. Dans quelle mesure vos employés sont-ils prêts à faire face aux risques de cybersécurité d'aujourd'hui? Il s'agit d'une définition pratique qui peut être planifiée, exécutée et, de manière critique, mesurée.  

Divertissement vs Apprentissage 

Le prochain changement concerne l'idée de formation à celle d'apprentissage. Cela peut être considéré de manière similaire à travers le prisme de l'entrée vs la production. Au lieu de regarder ce que les formateurs peuvent offrir, (et pour le moment, la tendance semble être les vidéos et les jeux, s'appuyant sur la gamification et le plaisir pour essayer de rendre la formation plus engageante) les formateurs doivent comprendre comment les employés apprennent. Nous ne cherchons pas à divertir nos apprenants, nous ne cherchons même pas à communiquer directement avec eux la plupart du temps. Nous cherchons simplement à les aider à apprendre et à adopter de nouveaux comportements en coulisses, puis à mesurer le résultat de cet apprentissage en termes de changement comportemental. 

Pour cela, nous n'avons pas besoin de techniques de formation à la mode et de gamification. Au lieu de cela, nous nous demandons quels sont les déclencheurs d'apprentissage des employés? Comment pouvons-nous leur offrir des opportunités de pratiquer et de répéter ce qu'ils doivent savoir dans un environnement réel? Quelles mesures nous aideront à suivre leur changement de comportement au fil du temps?  

Cochez la case vs Changement comportemental 

Une approche traditionnelle de la sensibilisation à la cybersécurité est les certifications. Le CISO en fait une exigence pour toute l'entreprise de suivre Cybersecurity 101 et marque ensuite tous les employés comme formés avec succès. Mission accomplie, et la formation à la sensibilisation à la sécurité peut être cochée sur la liste de tâches de l'organisation.  

Cependant, qu'est-ce qui a vraiment été accompli ici? Nous savons tous qu'il n'existe pas de sécurité totale en ce qui concerne les escroqueries au phishing et la préparation à la sécurité. Les hackers ne font que devenir plus persistants, et il existe des milliers de kits automatisés qui tentent continuellement de violer les défenses de vos employés en manipulant leur peur, leur confiance ou leur humeur. S'asseoir dans une classe pendant qu'un formateur vous lit une présentation ne vous rend pas prêt. Il en va de même pour le fait de jouer des vidéos amusantes ou cool. Tout cela ne fait que créer un faux sentiment de sécurité pour vos employés qui pensent ne pas avoir besoin d'être vigilants, car ils sont pleinement préparés et ont le certificat pour le prouver.  

Il est important de se concentrer sur le soutien des employés pour pratiquer de nouveaux comportements attendus, en créant une culture d'apprentissage continu plutôt qu'une initiative de cases à cocher.  

Il ne s'agit pas de nous asseoir et de former des employés vierges et de leur transmettre notre abondance d'informations. Les employés ne sont pas vierges – ils ont beaucoup de connaissances. Ce dont ils ont besoin, ce sont des opportunités d'apprentissage – la chance de pratiquer et de répéter les comportements souhaités. Comme nous savons que l'apprentissage est le plus impactant au moment du besoin, nous soutenons les employés avec diverses simulations de phishing qui, lorsqu'elles sont cliquées, fournissent de brefs moments d'apprentissage concrets pour l'utilisateur. La répétition aide les employés à créer des généralisations cognitives ainsi que des connaissances spécifiques et contextuelles. Nous pouvons ensuite mesurer la réponse à ces simulations, nous fournissant des données réelles sur le changement comportemental.  

C'était fantastique de voir ces thèmes reconnus et compris par l'industrie lors de la conférence du NCA de cette année. J'ai hâte de voir comment ce nouveau niveau de compréhension contribue à un paysage plus efficace, résilient et prêt pour les entreprises d'aujourd'hui. 

En savoir plus ici: CybeReady.com 

Contributeur invité: Mike Polatsek, co-fondateur et CSO chez CybeReady