Adaptez vos actions selon les incidents survenus
Dans le domaine de la cybersécurité, on ne peut jamais tout prévoir. Votre programme de sensibilisation, bien que soigneusement planifié, doit demeurer flexible, capable de s'adapter à de nouveaux événements ou situations.
Les incidents, aussi regrettables soient-ils, constituent d'excellentes opportunités d'apprentissage. Bien évidemment je ne vous le souhaite pas mais si l'un d'entre eux survient, il est essentiel de le transformer en une occasion de sensibilisation.
N’ayez pas honte d’avoir eu un incident ! Nous avons passé ce cap du silence il y a quelques années. Cela arrive à tout le monde, comme on peut le voir dans de très nombreux témoignages dans la presse ou sur les réseaux sociaux.
N’hésitez pas à chercher sur votre moteur de recherche préféré "retour d'expérience cyberattaque" pour trouver des exemples récents et concrets.
Communiquer aux collaborateurs la nature de l'incident, son déroulement, la manière dont il a été géré et ses conséquences remplit deux fonctions majeures.
D'une part, cela humanise le processus de sécurité. En montrant que "cela n'arrive pas qu'aux autres" et que même votre organisation n'est pas à l'abri, vous rendez la menace plus concrète. Les collaborateurs ne voient plus la cybersécurité comme une simple série de règles abstraites, mais comme une nécessité réelle et tangible.
D'autre part, cela permet de rectifier le tir. Lorsqu'un événement inattendu se produit, il est essentiel de le transformer en une leçon concrète pour l'ensemble des collaborateurs. Par exemple, supposons que suite à un déplacement professionnel, un collaborateur connecte son ordinateur portable à un réseau Wi-Fi public et que ce simple acte entraîne une brèche de sécurité. Cet incident pourrait alors mettre en lumière un aspect de la sensibilisation que vous n'aviez pas envisagé ou que vous aviez fait le choix initial de mettre de côté : la sécurité lors des déplacements professionnels.
Intégrez l’actualité à votre programme
Dans le monde dynamique de la cybersécurité, chaque jour peut apporter son lot de défis et de nouvelles menaces. Mais cela, je suis sûr que vous le savez déjà et qu’en tant qu’expert de la cybersécurité ou RSSI, vous devez rester en alerte, prêt à réagir face à l'émergence de nouvelles menaces ou de tendances importantes. Ces réactions sont très souvent d’ordre technique : mises à jour, nouvelles règles de surveillance, nouvel outil technologique, etc.
Mais pour moi, chaque incident ou nouvelle menace est une chance d'éduquer et de renforcer les comportements sécuritaires au sein de votre entreprise. Transformez l'actualité en études de cas, en simulations ou en leçons interactives pour renforcer la sensibilisation de vos collaborateurs.
Pour effectuer votre veille, voici quelques conseils :
Mettez en place une veille proactive : Constituez-vous une liste de sources fiables, comme des sites spécialisés, des blogs de cybersécurité ou des comptes d'experts sur les réseaux sociaux. Ces sources vous fourniront des informations à jour et pertinentes sur l'état actuel des menaces.
Créez des alertes : La rapidité est de mise. Configurez des alertes pour être notifié dès qu'une nouvelle menace émerge ou qu'un incident majeur est rapporté. Ainsi, vous pourrez réagir rapidement et adapter votre programme en conséquence.
Lorsqu'une actualité pertinente se présente, n'hésitez pas à la partager avec vos collaborateurs. Votre newsletter mensuelle, un e-mail d'alerte ou même une simple publication sur l'intranet de l'entreprise peuvent suffire pour informer et éduquer.
Soyez adaptable : le monde de la cybersécurité est en perpétuel mouvement. Votre programme doit donc être suffisamment flexible pour s'adapter aux nouvelles informations, intégrer de nouveaux modules ou ajuster ses recommandations.
En fin de compte, intégrer l'actualité à votre programme de sensibilisation n'est pas qu'une question d'adaptation, c'est une démarche proactive pour rester toujours un pas en avance sur les cybercriminels. Dans cette danse perpétuelle entre protection et menace, chaque information compte pour maintenir l'équilibre en votre faveur.
À vous de jouer !
Consigne
Identifiez ce que l’arrivée de ChatGPT a changé ou apporté de nouveau en termes de sensibilisation. Pour orienter votre réflexion, posez-vous la question suivante :
Comment former les collaborateurs pour développer les bons réflexes : quels supports/activités pourrait-on proposer aux collaborateurs ?
Pistes de réflexion
Avant ChatGPT, obtenir des informations en temps réel nécessitait souvent de se tourner vers des experts humains ou de fouiller des bases de données. ChatGPT offre une capacité de réponse immédiate, ce qui change la dynamique de formation et de sensibilisation.
Grâce à sa formation sur des milliards de mots, ChatGPT peut fournir une perspective basée sur une multitude de sources, ce qui peut enrichir la compréhension des utilisateurs.
En même temps, la vaste quantité de données pose des risques d’erreur ou de désinformation. Il est essentiel de sensibiliser les utilisateurs à la nécessité de vérifier les informations fournies par ChatGPT, et à ne pas le considérer comme une source unique et infaillible.
La facilité d'utilisation de ChatGPT peut entraîner une dépendance, avec moins de vérifications manuelles. Les utilisateurs doivent être formés à utiliser l'outil comme un complément et non comme une solution exclusive.
Idées de supports et activités :
Tutoriels vidéo | Des séquences montrant comment utiliser ChatGPT de manière sécurisée, y compris les étapes à suivre pour vérifier les informations reçues. |
Guides imprimés | Des brochures ou des dépliants avec des FAQ sur ChatGPT, ses capacités, ses limites et les meilleures pratiques pour l'utiliser. |
Webinaires | Sessions en direct où les experts peuvent montrer comment utiliser ChatGPT tout en répondant aux questions en temps réel. |
Ateliers pratiques | Des sessions où les collaborateurs peuvent interagir directement avec ChatGPT sous la supervision d'un formateur. |
Jeux de rôle | Simuler des scénarios dans lesquels ChatGPT pourrait être utilisé, permettant aux participants de réfléchir de manière critique à la meilleure manière de l'aborder. |
Quiz et tests | Des évaluations régulières pour s'assurer que les collaborateurs comprennent les principes de base de la sécurisation de leur utilisation de ChatGPT. |
Sessions de retour d'expérience | Créer un espace où les collaborateurs peuvent partager leurs expériences, bonnes ou mauvaises, avec ChatGPT, pour apprendre les uns des autres. |
Discutez et saisissez les opportunités
Pour continuer à s'adapter et à évoluer, j’ai une autre astuce clé à vous partager : communiquez régulièrement avec vos interlocuteurs et vos utilisateurs finaux (discussions formelles lors de réunions ou d'ateliers, mais aussi échanges informels).
Les rencontres impromptues, par exemple autour de la machine à café, sont souvent les moments où les gens se sentent le plus libres de partager leurs préoccupations, leurs expériences et leurs suggestions.
Il est très souvent beaucoup plus simple de partager une information ou une idée autour d’un café plutôt que d’envoyer un e-mail. Parfois on se dit même que cette idée ne vaut sûrement pas la peine d’ennuyer la personne avec un e-mail. Et c’est bien dommage, car les utilisateurs sont une source incroyable de bonnes idées.
On dit qu’un bon RSSI doit passer 50 % de son temps à la machine à café. Et c’est bien vrai ! Au grand dam de son médecin.
Il est crucial de recueillir ces verbatim. Ces témoignages directs peuvent vous aider à identifier de nouveaux messages à diffuser ou des angles d'approche auxquels vous n'aviez pas pensé. Ils donnent également une vision réelle de la manière dont vos actions sont perçues, ce qui peut vous guider pour apporter des ajustements si nécessaire.
De plus, rester en alerte et à l'écoute des opportunités spontanées est une stratégie payante :
Un département organise un séminaire d'équipe ? C'est l'occasion rêvée d'intervenir brièvement pour rappeler l'importance des bonnes pratiques en matière de cybersécurité.
La DSI planifie une journée portes ouvertes ? Pourquoi ne pas y tenir un stand, réaliser des démonstrations ou partager des astuces sur la sécurité ?
La clé est d'être proactif et flexible. Chaque opportunité saisie est une chance supplémentaire de renforcer la sensibilisation et d'ancrer les bons réflexes en matière de cybersécurité dans le quotidien de chacun.
En fin de compte, il s'agit de créer une culture où la cybersécurité est intégrée dans le tissu même de l'organisation. Et cela commence par une conversation, qu'elle soit planifiée ou fortuite. Alors discutez, écoutez et saisissez chaque opportunité pour rendre votre programme encore plus robuste et efficace.
En résumé
Ne vous reposez pas sur vos lauriers ! Votre programme a besoin de vivre et d’évoluer pour répondre au mieux à l’actualité.
Capitalisez et communiquez sur vos différents incidents.
Effectuez une veille et communiquez.
Adaptez vos formations selon l’actualité.
Allez à la rencontre de vos utilisateurs, discutez et saisissez les opportunités qui s’offrent à vous.
Plusieurs mois ont passé depuis le lancement de votre programme, il est temps de voir ensemble comment en tirer le bilan. Voyons cela tout de suite dans le chapitre suivant.
