Sensibilisation : programme type sur une année

Nombre de clients nous demande de les aider à organiser leur programme annuel de sensibilisation. Avec Sensiwave et les contenus du catalogue de Conscio Technologies, il est possible de définir et mettre en oeuvre un tel programme. Ce billet vous présente ce qu’il pourrait être.

2 premiers mois : état des lieux et mise au point du programme

Les deux premiers mois de l’année peuvent être utilisés à l’établissement d’un état des lieux. L’objectif est de savoir d’où l’on part, quels sont les points forts et les points faibles, sur lesquels il faut insister. Il sera ainsi possible de définir les objectifs à atteindre pour l’année. Pour ce faire, deux outils sont disponibles dans Sensiwave :

ISAM (Information Security Awareness Meter). Il s’agit d’un module d’enquête permettant d’évaluer la maturité de la population sur la cybersécurité. Avec ISAM vous mesurez cette maturité par thématique et analysez de façon individuelle certaines questions clés. ISAM est utilisé par nos clients comme instrument de mesure de l’état et de la progression de la culture cybersécurité. Cette mesure permet également de faire exister le sujet dans les comités exécutifs. Le premier mois de l’année peut donc être utilisé à la mise en oeuvre d’une enquête ISAM et à son analyse.

Des campagnes de tests phishings. J’ai déjà eu l’occasion de m’exprimer dans ce blog sur ce sujet. Si l’on veut que les collaborateurs adhèrent à la stratégie de sensibilisation, celle ci doit rester bienveillante. On peut donc utiliser ces campagnes de tests phishings moyennant certaines précautions. Elles offrent l’intérêt de donner une mesure « en réel » du comportement des utilisateurs face aux phishings. Dans les deux premiers mois on pourra lancer 2 à 3 campagnes de tests phishings avec des scénarios différents disponibles dans Sensiwave. L’intérêt de lancer 2 à 3 campagnes réside dans le fait d’éviter le biais lié au fait qu’une personne peut ne pas cliquer tout simplement parce que le sujet ne l’intéresse pas et non pas parce qu’elle détecte une possibilité de phishing. La variété de scénarios permet ainsi de cibler plus largement.

10 mois suivants : cadencement de courtes campagnes

En fonction des résultats de l’enquête ISAM et des campagnes de tests phishings, on identifie les thématiques prioritaires. En utilisant les capsules microlearning vidéos+quiz d’environ 5 à 7 minutes chacune on réalise des campagnes mensuelles, une capsule par mois, sur l’un des sujets identifiés. Il est en effet plus efficace pour le développement de la culture cybersécurité de faire un peu régulièrement que beaucoup une seule fois. Ces campagnes mensuelles, courtes, se placent plus facilement dans l’emploi du temps du collaborateur et créent un rendez-vous régulier autour de la cybersécurité. Les nouvelles vidéos de ces modules sont maintenant interactives pour un engagement maximal des apprenants.

Il est également possible d’utiliser les modules cyberhéros sur une cadence plus espacée. Ces modules d’une durée d’environ 10 à 15 minutes traitent d’un sujet spécifiques d’une façon différente. Ils sont organisés de la façon suivante :

  • Une vidéo explicative du sujet traité;
  • Une ou plusieurs vidéos interactives de présentation de différentes mises en situation auxquelles l’apprenant est confrontées;
  • Une vidéo reprenant les différentes situations et expliquant les bons comportements attendus.

Une évaluation régulière des connaissances à froid

Les quiz intégrés dans les capsules microlearning permettent de vérifier à chaud si le sujet présentés dans la vidéo a été compris. Il est également utile de tester les connaissances à froid, de façon espacée par rapport aux campagnes de sensibilisation. Pour ce faire, Conscio Technologies a conçu le grand quiz de la cybersécurité, comportant 100 questions. Ces questions traitent des différentes thématiques de la cybersécurité et sont de différents niveaux de difficultés. Il est ainsi possible d’extraire une vingtaine de questions dans ce réservoir et de diffuser, par exemple deux fois par an, un quiz sur les thématiques abordées pendant le semestre. Chaque question est accompagné d’un texte d’explication qui permet un rappel notionnel. Les résultats de ces quiz à froid permettent d’identifier les notions qui n’auront pas été suffisamment comprises et de prévoir des rappels dans la suite des campagnes.

Agrémenter l’année avec des vidéos courtes et amusantes

Les supports présentés précédemment permettent soit d’expliquer une notion, soit de tester les connaissances sur un sujet. Il peut également être intéressant de diffuser des vidéos de type « Funny But Serious », très courtes et illustrant la survenance d’un risque. Ces vidéos amusantes à regarder permettent de montrer ce qui peut arriver si on ne respecte pas les bons comportements. Leurs diffusions peuvent être parsemées tout au long de l’année.

Tests phishings

On peut ajouter quelques tests phishings tout au long de l’année, ciblant des segments différents de la population. Ces tests phishings peuvent être réalisés sur la base des scénarios personnalisables de Sensiwave. Deux règles à respecter néanmoins :

  • Le respect des droits des marques utilisées. On n’est pas, en effet, censé mettre en oeuvre des tests phishings utilisant des marques dont on n’a pas l’accord de leur usage même à des fins de sensibilisation;
  • La bienveillance vis à vis des utilisateurs qui ne doivent pas nourrir ensuite un ressentiment peu propice à l’acceptation des messages de sensibilisation.

Spécifiques

Certaines populations nécessitent un complément de sensibilisation ou de formation qu’il conviendra d’intercaler dans le programme annuel. C’est le cas notamment pour la population IT, pour laquelle des modules renforcés, plus longs et plus techniques ont été conçus.

Par ailleurs, le développement du télétravail, suite à la crise Covid-19, amène à traiter certains aspects spécifiques de cybersécurité.

Recommencer le cycle

La sensibilisation n’est pas un projet, c’est un processus. Vous n’obtiendrez pas de résultats durables et significatifs en une seule année. Il convient donc de s’inscrire dans la durée et de recommencer le cycle : évaluation de la maturité afin de mesurer le chemin parcouru et de définir les objectifs de l’année, puis, définition du programme de l’année.