Suivi de la conformité et acquisition d’expérience suite aux incidents
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Décrire comment les spécialistes de la sensibilisation à la sécurité surveillent le respect de la conformité grâce à des campagnes de formation et de sensibilisation
- Expliquer l’importance d’intégrer un programme de sensibilisation aux dispositifs de réponse aux incidents
Suivi de la conformité
Que vous débutiez votre carrière ou que vous ayez déjà quelques années d’expérience à votre actif, vous savez probablement qu’il est utile de suivre la progression de la mise en œuvre d’un programme pour comprendre s’il atteint ses objectifs. La sensibilisation et la formation à la sécurité ne sont pas des activités ponctuelles : elles s’inscrivent dans le cadre d’un processus dynamique continu qui évolue au fur et à mesure que les priorités se transforment, que les organisations se développent, que des employés sont embauchés ou changent de poste, et que de nouvelles menaces émergent.
Les spécialistes de la sensibilisation à la sécurité surveillent la conformité des employés en examinant les métriques de réalisation des formations. Le suivi d’une formation peut être requis une fois par trimestre, chaque année, lorsqu’un employé change de poste ou lorsqu’un nouvel employé rejoint l’entreprise. Les spécialistes de la sensibilisation à la sécurité utilisent ces métriques et d’autres indicateurs de performance clés (KPI) pour présenter l’état du profil de risque de l’organisation et décrire les performances du programme de sensibilisation aux parties prenantes concernées.
L’analyse des métriques du programme peut également aider l’organisation à identifier les risques résiduels ou nouveaux. Par exemple, le spécialiste de la sensibilisation à la sécurité peut élaborer une simulation d’hameçonnage lors de laquelle de faux e-mails d’hameçonnage sont envoyés au personnel. Le spécialiste peut détecter le nombre de personnes qui cliquent sur les tests d’hameçonnage et ainsi identifier les domaines dans lesquels une formation supplémentaire est nécessaire pour expliquer aux utilisateurs comment reconnaître les e-mails d’hameçonnage. Le spécialiste peut également identifier le nombre d’utilisateurs qui reconnaissent l’e-mail comme étant une tentative d’hameçonnage et suivent les procédures de signalement du message au centre des opérations de sécurité. Les utilisateurs qui cliquent sur des liens envoyés dans le cadre d’une simulation d’hameçonnage peuvent être invités à suivre à nouveau une formation de sensibilisation. Les employés commettant à plusieurs reprises cette erreur peuvent même voir leurs privilèges être révisés ou modifiés.
De même, le spécialiste de la sensibilisation à la sécurité peut suivre des métriques relatives aux utilisateurs qui téléchargent des logiciels malveillants, visitent fréquemment des sites dangereux ou enfreignent de toute autre manière les politiques et procédures. Ainsi, il peut cibler les utilisateurs qui ont besoin d’une assistance particulière pour comprendre les protocoles de sécurité. Cela lui permet également d’identifier les tendances en matière de risques de sécurité, qui peuvent être abordées au cours de formations plus complètes. Le spécialiste peut aussi travailler avec l’équipe des menaces internes de l’organisation afin de renforcer la surveillance des utilisateurs qui présentent un risque plus élevé pour l’organisation, soit en raison du poste qu’ils occupent, soit à cause de leur comportement passé. Dans cette optique, le spécialiste de la sensibilisation à la sécurité travaille dans toute l’organisation pour participer à l’évaluation et à la détection des risques de manière proactive. Il adapte également les programmes de sensibilisation afin d’améliorer le comportement des utilisateurs et de renforcer la culture de la sécurité.
Acquisition d’expérience suite aux incidents
Les spécialistes de la sensibilisation à la sécurité doivent également participer à l’enrichissement des initiatives de formation grâce aux retours d’expérience des incidents afin d’aider l’organisation à reprendre ses activités et à améliorer sa posture de sécurité. Le fait de mettre en perspective les programmes de sensibilisation avec des incidents réels peut déclencher des changements dans les comportements et la culture et enseigner aux membres du personnel en quoi leurs actions sont importantes pour protéger leur organisation. En outre, les spécialistes identifient les domaines à risque, et prodiguent des conseils sur la manière de créer le contenu de formation et de sensibilisation le plus pertinent et opportun possible.
Tout en examinant vos propres données d’incident, vous devez également comparer les données de votre organisation relatives aux violations et à la formation à celles des autres entreprises de votre secteur afin d’identifier des opportunités de mieux allouer les ressources tout en suivant les meilleures pratiques et les tendances de votre domaine d’activité.
Lorsque vous analysez les informations relatives aux incidents auxquels votre propre organisation a été confrontée pour en tirer des enseignements et que vous examinez les pratiques d’autres entreprises, il est essentiel d’identifier et de mettre à jour les politiques, les procédures et les métriques associées en collaborant avec des équipes transversales au sein de votre organisation. Ces changements peuvent ensuite être intégrés à une campagne plus large de formation et de sensibilisation à la sécurité destinée à l’ensemble l’entreprise.
Pour plus d’idées sur la façon de créer, de gérer, d’évaluer et de développer un programme de sensibilisation, consultez la formation SANS sur le sujet.
Conclusion
Dans ce module, vous avez découvert plusieurs considérations importantes relatives à la planification, l’implémentation et l’évaluation des performances d’un programme de sensibilisation à la sécurité, ainsi qu’à l’utilisation de ce programme pour réduire le nombre d’incidents et apporter des changements positifs à la posture de sécurité d’une organisation. Vous pouvez maintenant expliquer un peu mieux le rôle d’un spécialiste de la sensibilisation à la sécurité et déterminer si ce métier vous correspond.
Vous souhaitez en savoir plus sur les métiers de la cybersécurité et lire des témoignages de professionnels de la sécurité ? Consultez le plan de carrière du spécialiste cybersécurité sur Trailhead.
Ressources
-
Site externe : SANS - Rapports et ressources de sensibilisation à la sécurité
-
Article de blog : CYBSAFE : Mesure de l’efficacité des programmes de sensibilisation à la sécurité : ce qu’il faut savoir