Dans une immense majorité des cas, un défaut de comportement d’un utilisateur du système d’information est au cœur des incidents de sécurité (60 % selon Ponemon Cost of Insider Threats Global Report, jusque 80 % selon d’autres sources). Le développement d’une culture cybersécurité et l’adoption des bonnes pratiques par les utilisateurs sont au cœur de toute stratégie cybersécurité. La plupart des organisations ont ainsi développé des programmes de sensibilisation des utilisateurs. Trop souvent, les organisations sont déçues des résultats de leurs opérations de sensibilisation, tant du point de vue de la participation que du résultat sur l’adoption des bonnes pratiques. En ce sens de nouvelles approches de sensibilisation sont nécessaires.
Comment utiliser une approche ayant un impact sur les changements de comportements ?
Les employés ont généralement du mal à retenir et à appliquer dans leur vie professionnelle quotidienne, ce qu’ils ont appris lors de formations par à-coups. Pour obtenir un réel impact, il est important d’utiliser des contenus spécifiques aux rôles individuels des employés notamment, au sein de leur organisation. Par ce biais, ils se sentiront impliqués et retiendront plus facilement les bonnes pratiques à adopter.
De plus, organiser des courtes campagnes de sensibilisation à la cybersécurité plusieurs fois par an, au lieu d’une seule reprenant l’ensemble des thématiques, semble plus pertinent.