Créer une culture de sécurité

Octobre est le Mois national de la sensibilisation à la cybersécurité.

C'est aussi (entre autres) le Mois de la sensibilisation au cancer du sein, le Mois de l'hygiène dentaire, le Mois national de la prévention de l'intimidation et mon préféré, le Mois national de la pizza. En plus, c'est Halloween ! Mais je m'éloigne du sujet… nous sommes ici pour parler de cybersécurité.

Chaque fabricant doit organiser une formation de sensibilisation à la cybersécurité pour tout son personnel au moins une fois par an. Beaucoup de gens sont effrayés par la simple mention des mots « cybersécurité » et « formation », donc octobre semble être le moment approprié pour cela. Votre formation doit, au minimum, couvrir les politiques pertinentes de l'entreprise telles que votre sécurité informatique, la sécurité de l'information et la sécurité physique.

Au fil des années, beaucoup d'entre nous ont suivi ce type de formation et ont appris à le redouter. Une formation où quelqu'un prononce exactement le même discours sur la cybersécurité qu'il a prononcé l'année dernière, puis vous remet un papier à signer indiquant que vous y étiez. Un vrai snoozefest. Ce type de formation fait son travail en répondant au strict minimum, mais a peu d'impact sur le comportement des employés.

Le véritable objectif des efforts de sensibilisation et de formation à la cybersécurité devrait être de créer une culture de la sécurité, ce qui signifie que les employés doivent considérer les bonnes pratiques de cybersécurité comme de bonnes affaires et comme faisant partie de « la façon dont nous menons nos affaires ici ». Les employés doivent se sentir autorisés à prendre de bonnes décisions en matière de cybersécurité et comprendre ce qui fait une bonne décision. La sensibilisation et la formation devraient se concentrer sur :

• Arrêter les comportements à risque : Aidez les employés à savoir quelles décisions peuvent conduire à un mauvais résultat. Par exemple, ouvrir des pièces jointes d'e-mails provenant de sources inconnues.
• Inciter à des comportements moins risqués : Aidez les employés à comprendre et à se soucier de la mise en œuvre de processus qui augmentent la sécurité. Par exemple, comment créer des mots de passe forts.
• Transformer les employés en sentinelles : Aidez les employés à reconnaître et à réagir à un événement de cybersécurité. Par exemple, que faire si un invité branche une clé USB non autorisée sur une machine.

Idéalement, la formation devrait être un effort continu. Voici quelques idées sur la façon d'inclure une formation en cybersécurité dans le fonctionnement quotidien de votre entreprise :

• Insistez régulièrement sur la cybersécurité en tant qu'objectif important de votre entreprise.
• Intégrez un conseil, une astuce ou un rappel de cybersécurité à chaque réunion.
• Publier des rappels sur le lieu de travail concernant les pratiques de sécurité appropriées.
• Organisez des réunions régulières pour discuter des améliorations possibles des processus, ce qui peut permettre aux employés de prendre plus facilement de meilleures décisions en matière de sécurité.

Il y a eu beaucoup de recherches sur ce à quoi ressemble une bonne formation en cybersécurité des employés. En général, il peut être résumé par l'acronyme « RAINSTORMS ». Oui, je viens d'inventer ça maintenant.

• R eal :L'utilisation d'études de cas du monde réel ou de scénarios réalistes aide à ramener les leçons à la maison.
• Un actionnable :Incluez quelque chose que les employés peuvent faire immédiatement. Cela peut inclure la modification de leurs mots de passe, l'inventaire de leurs actifs informatiques ou l'assurance qu'ils disposent des coordonnées de la personne ou de l'organisation à laquelle ils doivent signaler un incident sur leur téléphone. Parfois, un devoir à long terme est également approprié, mais il est toujours utile d'avoir un objectif immédiat.
• Je interactif :les jeux de rôle, les discussions en petits groupes ou les exercices pratiques sont d'excellents moyens de rendre la formation plus interactive. Idéalement, les interactions devraient inclure des conversations bidirectionnelles impliquant tous les niveaux de gestion pour s'assurer que tout le monde sait que tout le monde a les mêmes responsabilités et que tout le monde est sur la même longueur d'onde.
• N ew :Une certaine répétition est appropriée dans la formation, en particulier lorsque l'on parle de politiques, mais elle ne devrait pas devenir obsolète. Différents formats de formation (par exemple, cours magistral, jeu de rôle, vidéos) peuvent être utiles.
• S centre commercial :de petits morceaux d'informations sont beaucoup plus faciles à digérer qu'un diplôme en informatique complet d'informations imposées aux employés. Un sujet à la fois est généralement préférable.
• T estable :il devrait y avoir un objectif mesurable et vérifiable pour la formation à la cybersécurité. S'il s'agit de sensibilisation générale, peut-être qu'un quiz peut être développé. Si un objectif est d'atténuer les attaques de phishing, peut-être qu'un faux e-mail de phishing peut être envoyé à la fois quelques semaines avant et quelques semaines après l'événement. Cela aidera à montrer à quel point la formation a été efficace.
• O wned : les employés doivent quitter la formation avec un sentiment d'appartenance et que la cybersécurité est de leur responsabilité ; ils doivent se sentir habilités à prendre de bonnes décisions en matière de cybersécurité.
• R pertinent :la plupart des entreprises ont différents types d'utilisateurs. Adapter la formation à chaque type d'utilisateur la rend plus réelle. Cela peut signifier avoir une formation différente pour les employés d'atelier par rapport aux employés de bureau.
• M émouvant :utilisez des acronymes, des mnémoniques lapidaires ou, mon préféré, de l'humour. Les humains se souviennent de choses amusantes – jeux de mots, mauvais clips vidéo, mèmes ridicules de chats – bien mieux qu'une conférence ennuyeuse. N'ayez pas peur de le rendre non conventionnel et de vous amuser.
• S Implé :Avant tout, la formation doit être simple. Les leçons trop techniques pleines de bavardages technologiques ne sont bonnes qu'à endormir les gens.

L'Initiative nationale pour l'éducation à la cybersécurité (NICE) propose une petite liste de ressources gratuites et peu coûteuses pour aider à la formation des employés. De nombreuses ressources supplémentaires sont également disponibles en ligne. Il suffit de faire une recherche sur Internet et vous serez bombardé d'options. Évaluez ces options à l'aide du modèle RAINSTOMS ci-dessus.

Tout au long du mois d'octobre, le NIST MEP publiera une série de blogs suivant vaguement le thème et les grandes lignes fournis par la National Cybersecurity Alliance (NCSA). Le thème de cette année est « Faites votre part. #BeCyberSmart. Maintenant, personnellement, je n'ai jamais été fan de l'auto-promotion d'un hashtag, mais si vous tweetez ou bloguez sur la cybersécurité au cours de ce mois, envisagez d'utiliser le hashtag #BeCyberSmart - nous verrons jusqu'où cela va.

Le schéma que la NCSA a publié est le suivant :

• Semaine du 5 octobre (semaine 1) :si vous le connectez, protégez-le
• Semaine du 12 octobre (semaine 2) :Sécurisation des appareils à la maison et au travail
• Semaine du 19 octobre (semaine 3) :Sécurisation des appareils connectés à Internet dans les soins de santé
• Semaine du 26 octobre (semaine 4) :L'avenir des appareils connectés

Vous ne savez pas par où commencer ? Vous pouvez en savoir plus sur la mise en œuvre d'un programme de formation efficace en matière de cybersécurité en contactant votre centre MEP local. Vous pouvez également accéder aux ressources de cybersécurité pour les fabricants sur le site Web du NIST MEP.

Ce blog fait partie d'une série publiée pour le Mois national de sensibilisation à la cybersécurité (NCSAM). D'autres blogs de la série incluent If You Connect It, Protect It de Zane Patalive, Suspicious Minds:Non-Technical Signs Your Business Might Have Been Hacked par Pat Toth, Securing Internet-Connected Medical Devices de Jennifer Kurtz et The Future of Connected Devices de Erik Fogleman et Jeff Orszak.