La formation des employés à résister à l’attrait de phishing, d’escroqueries et de fesses profondes est au cœur d’une bonne posture de cybersécurité, mais pour être efficace, elle doit être gérée avec beaucoup de contributions et de conseils de l’équipe de sécurité.
Dans le paysage des menaces en évolution rapide d’aujourd’hui, se fier uniquement aux ressources humaines pour dispenser une formation sur la sécurité des employés peut laisser une entreprise vulnérable. Alors que les RH excellent dans l’organisation et la supervision de la conformité interne, les équipes informatiques et de sécurité apportent les connaissances spécialisées nécessaires pour répondre à diverses menaces, telles que le phishing, les violations de données et l’ingénierie sociale.
En travaillant ensemble, ces départements peuvent développer un programme complet qui couvre les exigences et les compétences pratiques, garantissant que les employés sont bien préparés à protéger eux-mêmes et leurs organisations.
En surface, il pourrait être logique que les RH fournissent des initiatives de formation au personnel, après tout, ce sont les professionnels dont le travail consiste à gérer la relation entre le leadership des entreprises et la main-d’œuvre d’une entreprise. Et les équipes de sécurité ont tendance à se concentrer sur les besoins technologiques immédiats et n’ont pas toujours les compétences ou les outils pour enseigner des centaines ou des milliers d’employés.
Mais trop souvent, il y a un manque de communication entre les RH et la sécurité lorsque ces programmes – qu’ils soient développés en interne ou fournis par un tiers – et qui peuvent créer des incohérences qui peuvent devenir coûteuses.
Les menaces de sécurité changent constamment
Les RH ne devraient pas être uniquement responsables de la formation en sécurité pour la même raison qu’une équipe de sécurité ne devrait pas être responsable de la formation RH: ce sont deux rôles différents avec des domaines d’intervention et des antécédents très différents qui exigent la spécialisation, explique Rob Hughes, CISO chez RSA Security.
«La sécurité change toujours – les cyberattaques font leurs moyens de subsistance en déployant de nouvelles tactiques et en lançant de nouvelles campagnes», dit-il. «Il ne faut pas s’attendre à ce que les RH restent à jour sur ces changements ou comment la formation en sécurité doit tenir compte de ces évolutions.»
Hughes ajoute qu’il est avantageux pour les RH d’aider à mettre en place le fonctionnement de la formation et de l’intégration, ainsi que de travailler avec l’équipe de sécurité sur ce qui se passe si les employés ne suivent pas la formation. Cependant, l’équipe de sécurité devrait ouvrir la voie à ce que la formation comprend et pourquoi il est important de le terminer.
«Dans le même temps, l’équipe informatique doit travailler en tandem avec des équipes de sécurité pour expliquer les mécanismes de meilleures pratiques pour travailler avec les données et gérer les menaces telles que les e-mails de phishing», note-t-il.
Selon Hughes, un certain nombre de limitations aux programmes de formation en sécurité dirigés par les RH.
« Le premier n’est que la visibilité: les RH ne saient pas ce qu’elle ne sait pas, ni la tactique qui cible actuellement les utilisateurs de votre organisation – et celles pour lesquelles vos utilisateurs sont pour lesquels vos utilisateurs », dit-il. «Les équipes de sécurité sont dans les tranchées et savent ce que les risques de cybersécurité avec lesquels votre équipe a besoin d’aide. Les RH ne le feront probablement pas.»
Les RH n’ont pas de connaissances en sécurité spécialisées
Selon Hughes, une autre limitation est que la formation à la sécurité d’une organisation peut être un élément du maintien de certaines certifications, de la conformité, des accords contractuels et des attentes des clients.
«Si cela est important pour votre organisation, alors les équipes de sécurité, d’informatique et de conformité connaîtront les sujets pour couvrir et aider à guider l’importance de la conformité et les risques de ne pas se conformer», dit-il.
Keavy Murphy, vice-président de la sécurité chez Net Health, convient que les programmes de formation en sécurité dirigés par la RH sont souvent confrontés à des limitations en raison d’un manque de connaissances spécialisées ou à jour sur les menaces de sécurité dans leurs industries.
«Les services RH peuvent ne pas être pleinement conscients des cyber-menaces actuelles ou des risques spécifiques de l’organisation», dit-elle. Cela peut entraîner une formation trop large ou générique, ce qui réduit son efficacité. Ces programmes peuvent également ne pas souligner l’application pratique et réelle des pratiques de sécurité ou offrir suffisamment de conseils sur la lutte contre les menaces s’ils manquent de collaboration avec les équipes de sécurité et informatique. »
Les RH peuvent ne pas adapter efficacement la formation aux menaces spécifiques à l’industrie de l’organisation, note Murphy. Sans la participation du service de sécurité, la formation du contenu manque souvent de concentration et ne parvient pas à répondre aux menaces de l’entreprise, laissant les employés incertains de quoi surveiller.
«Par exemple, dans le secteur des services financiers, les violations de données liées aux informations sur la carte de paiement sont le risque le plus probable», explique-t-elle. «La formation devrait se concentrer sur cela et non les scénarios moins probables, tels que les violations des données de santé sensibles.»
Bryan Willett, CISO chez Lexmark, concurrence que les RH ne devraient pas être seuls responsables de la formation de la sécurité des employés car les professionnels des RH n’ont pas l’expérience opérationnelle quotidienne dans le domaine de la cybersécurité.
«L’équipe RH connaît bien la gestion des gens et la gestion des communications plus larges avec la large base des employés», a déclaré Willett. « Mais en ce qui concerne les subtilités de la sensibilisation à la sécurité qui doivent être faites ou même les alertes de sécurité que nous pourrions avoir besoin d’envoyer aux utilisateurs, ce n’est pas leur travail de jour. »
L’équipe de sécurité, en revanche, vit et respire ces défis chaque jour, selon Willett. Ils comprennent les risques spécifiques qui proviennent de ce que font les employés et peuvent mieux expliquer ce qui pourrait arriver si quelqu’un commet une erreur de cybersécurité. Leur expertise les aide également à créer une formation plus ciblée et utile, pas seulement les messages de conformité de base.
La collaboration mène à une formation plus efficace
Cependant, bien que les RH ne devraient pas suivre une formation sur la sécurité des employés, Willett considère l’équipe RH comme un partenaire clé. Il suggère une approche collaborative où les équipes RH et de sécurité travaillent ensemble, tirant parti de leurs forces respectives. Il explique que les RH peuvent aider à traduire des informations techniques complexes dans un langage compréhensible, tandis que l’équipe de sécurité fournit le contenu de base et l’expertise technique.
Hughes seconde cette évaluation.
«Toute initiative de changement ou de formation à grande échelle nécessite une collaboration pour réussir», explique Hughes. «Chez RSA, les équipes RH, informatiques, juridiques et de sécurité collaborent toutes sur notre formation annuelle sur la conformité pour nous assurer que notre équipe a ce dont elle a besoin pour continuer à travailler en toute sécurité.»
Selon Hughes, les RH ont une peau dans le jeu pour l’intégration, la conformité et l’adhésion aux politiques et pratiques de l’entreprise. Mais ils doivent travailler main dans la main avec les experts des équipes informatiques, juridiques et de sécurité pour s’assurer que les problèmes de sensibilisation à la sécurité et de conformité liés aux questions juridiques et à la vie privée sont correctement couverts. »
«Une meilleure pratique que nous avons utilisée est de compartimenter notre formation pour permettre à chaque département d’aller aussi profondément qu’il en a besoin: je ne me pèse pas sur les politiques RH parce que ce n’est pas ma superpuissance», dit-il. «De même, les autres chefs de département ne définissent pas la formation en sécurité. En gardant chaque module indépendant les uns des autres, chaque équipe peut se concentrer sur ce qu’ils savent le mieux.»
Comme Hughes et Willett, Chad Thunberg, CISO chez Yubico, dit que si les RH sont souvent un collaborateur important pour la formation des employés, c’est l’organisation de sécurité qui devrait être responsable du contenu de formation.
L’équipe de sécurité a une compréhension approfondie des menaces qui sont pertinentes pour l’entreprise, des informations sur les types d’attaques qui ont réussi dans le passé et un catalogue de domaines de préoccupation ou de vulnérabilité connus, dit Thunberg.
«La formation à la sécurité qui est provenant ou développée par des non-praticiens présente le risque de ne pas se sentir pertinent ou exploitable», dit-il.
Les experts en sécurité doivent être impliqués dans la formation des employés
Harlin Lipman, responsable de la sécurité de l’information chez Chronosphère, affirme que la sécurité est devenue un rôle et un département très spécialisés en fonction de l’expertise et de l’importance croissante dont elle a besoin. En tant que tel, les RH ne devraient pas être seules responsables de la formation à la sécurité des employés, car plusieurs défis et limitations clés sont livrés avec des programmes de formation en sécurité dirigés par les RH.
«Un défi commun est que le contenu de la formation peut rapidement devenir périmé, non pertinent ou ne correspond pas au profil de risque de l’organisation», explique Lipman.
Les menaces de sécurité évoluent rapidement et sans contribution de professionnels de la sécurité, le matériel de formation peut ne pas répondre efficacement aux risques actuels, selon Lipman.
Un autre défi consiste à obtenir l’adhésion complète aux employés.
«Si des documents de formation« standard »sont dispensés, c’est-à-dire non sur mesure, il pourrait y avoir un risque que les utilisateurs ne soient pas conscients des processus et des politiques spécifiques à l’organisation, par exemple, comment signaler spécifiquement un incident de sécurité, quel type de politiques existent à l’organisation, etc.», dit Lipman. «Cela est souvent négligé et entraîne une confusion en interne.»
C’est pourquoi il est essentiel pour les experts en sécurité d’être activement impliqués dans la conception et la présentation de ces programmes de formation, note Lipman.
«Les RH, l’informatique et la sécurité devraient travailler en étroite collaboration pour développer et dispenser une formation», dit-il. «Plus précisément, ils devraient évaluer quel type de contenu pourrait être pertinent pour l’organisation. Ces équipes devraient également collaborer pour voir qui devrait annoncer spécifiquement et dispenser une formation. Et s’il existe un service de sécurité dédié, la formation est recommandée de provenir directement de cette équipe.»
Les méthodes de formation traditionnelles peuvent ne pas être suffisantes à mesure que les menaces évoluent
Dan Potter, directeur principal des cyber-exercices et de la résilience chez Immersif, a déclaré qu’un programme de formation à la sécurité réussi déploie des simulations de cybersécurité fréquentes et à jour qui décrivent des scénarios réels que les employés peuvent être confrontés dans leurs opérations quotidiennes.
«En raison de la nature rapide du paysage des menaces, les formations traditionnelles sont souvent trop rares et au moment où ils sont déployés, le matériel n’est plus pertinent ou percutant pour les dernières menaces auxquelles une organisation est confrontée», dit-il. «Bien que les RH jouent un rôle essentiel dans une grande variété de programmes de formation et de développement, ils ne sont pas en mesure de fournir la spécificité et la vitesse nécessaires pour développer un programme de formation en sécurité robuste.»
Selon Potter, en tirant parti des informations de l’équipe de sécurité d’une entreprise, les programmes de formation peuvent être développés avec des rôles uniques. Les flux de travail d’un membre de l’équipe des opérations sont très différents de celui d’un membre de l’équipe de communication, de sorte que leur formation et ses cyber-exercices devraient également.
Non seulement les formations plus approfondies permettent aux employés de s’adresser aux cyberattaques potentielles, mais ils créent également une culture de sécurité plus large au sein d’une organisation, ce qui pourrait ne jamais faire de formations à cocher,, ajoute-t-il. Potter dit qu’en ce qui concerne la formation à la sécurité des employés, les RH peuvent être responsables du Logistique, planification et déploiement organisationnel de la formation, tandis que l’informatique et la sécurité devraient fournir le contenu et s’assurer qu’elle est adaptée aux risques et à la technologie spécifiques de l’entreprise.
