a table with a laptop, notebooks, and iPad with a person holding a coffee

Formation Cybersécurité 101 : Comment créer des habitudes chez les employés pour prévenir les cyberattaques

Depuis le début de la pandémie, les cyberattaques se sont multipliées, les pirates exploitant les failles dans les pratiques de travail à domicile des salariés. Plutôt que de s'attaquer aux grandes organisations ou aux gouvernements, qui disposent généralement d'équipes de sécurité importantes et de logiciels de protection, les pirates ont changé de tactique pour exploiter les vulnérabilités des pratiques des employés en matière de protection de la vie privée et de sécurité.1

L'augmentation des cyberattaques s'explique en partie par la négligence des employés. L'inattention des employés est devenue un problème plus important depuis le début de la pandémie, et plus de la moitié des attaques contre les organisations en 2021 seront le sultat direct de la négligence des employés.2

Aborder la cybersécurité dès le premier jour

Le processus d'intégration est un moment crucial pour définir les attentes et créer des bases solides en matière de cybersécurité. Il permet également de renforcer le sentiment d'appartenance de l'employé, ce qui réduit considérablement la probabilité d'un comportement négligent.

Se préparer à la négligence en renforçant les connaissances

L'enjeu est de taille lorsqu'il s'agit de former correctement les employés : en moyenne, les attaques causées par la négligence d'un employé ou d'un sous-traitant coûtent 484 931 dollars aux entreprises.2 Bien qu'il existe des moyens efficaces de modifier le comportement d'un employé une fois qu'il a terminé son intégration et rejoint l'entreprise (plus d'informations à ce sujet ici), le présent article se concentre sur l'importance de créer une résilience dès le départ.

Les résultats des recherches suggèrent que la solution la plus efficace pour prévenir les cyberattaques est de créer un programme de formation holistique qui développe les connaissances des employés sur les méthodes de piratage les plus courantes.3 L'intégration offre de nombreuses possibilités d'améliorer la sensibilisation aux cyberrisques étant donné que chaque nouvel employé doit suivre les mêmes protocoles de formation.

Prendre des habitudes dès le début

De même, le fait de leur demander de suivre une formation en dehors des heures de travail peut empêcher certains membres du personnel d'y assister ou les inciter à être inattentifs5.

selon un professionnel de la formation en entreprise, moins de 20 % des employés changent leurs habitudes après avoir été coachés.6

Les sciences du comportement peuvent s'attaquer aux habitudes et aux réflexes des employés en matière de cybersécurité, et vous trouverez plus d'informations à ce sujet ici. En mettant l'accent sur la formation dès le début du mandat d'un employé dans une entreprise, on évite bon nombre de ces écueils.

Promouvoir l'appartenance à une initiative de renforcement de la sécurité

Le degré d'engagement d'un employé envers l'organisation est un élément clé de la capacité à protéger les informations et à appliquer les meilleures pratiques en matière de cybersécurité. Les recherches montrent que les employés engagés font des choix qui profitent à l'organisation et vont au-delà des recommandations minimales en matière de cybersécurité parce qu'ils veulent avoir une influence positive sur les résultats de l'organisation.7 L'intégration est un moment clé pour renforcer l'engagement.8

Lorsqu'une entreprise favorise l'engagement lors de l'intégration en traitant les nouveaux employés comme des partenaires de l'organisation et en renforçant leur confiance, ils s'assimilent mieux et sont moins stressés, deux facteurs clés lorsqu'il s'agit de cyberrisques8 . Inversement, ceux qui n'ont pas été bien intégrés présentent des taux de rotation plus élevés, une baisse de la satisfaction des clients et une diminution de la productivité.

References

  1. Okereafor, K. et Adelaiye, O. (2020). Modèle de simulation de cyberattaque aléatoire : A Cybersecurity Mitigation Proposal for Post COVID-19 Digital Era. 05, 61-72.
  2. Rapport mondial 2022 sur le coût des menaces d'initiés. (2022). Proofpoint. https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats
  3. Greitzer, F. L., Strozer, J. R., Cohen, S., Moore, A. P., Mundie, D. et Cowley, J. (2014). Analysis of Unintentional Insider Threats Deriving from Social Engineering Exploits (Analyse des menaces d'initiés non intentionnelles dérivant d'exploits d'ingénierie sociale). 2014 IEEE Security and Privacy Workshops, 236-250. https://doi.org/10.1109/SPW.2014.39
  4. Conteh, N. et Schmick, P. (2016). Cybersécurité : risques, vulnérabilités et contre-mesures pour prévenir les attaques d'ingénierie sociale. International Journal of Advanced Computer Research, 6, 31-38. https://doi.org/10.19101/IJACR.2016.623006
  5. Aldawood, H. et Skinner, G. (2019). Examen des programmes de formation et de sensibilisation à l'ingénierie sociale en matière de cybersécurité - pièges et questions en cours. Future Internet, 11(3), 73. https://doi.org/10.3390/fi11030073
  6. Yakowicz, W. (2015, 17 février). 3 erreurs que vous commettez lorsque vous coachez vos employés. Inc.Com. https://www.inc.com/will-yakowicz/3-mistakes-you-make-coaching-employees.html
  7. Blau, A., Alhadeff, A., Stern, M., Stinson, S. et Wright, J. (2017). Pensée profonde : A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf
  8. Caldwell, C. et Peters, R. (2018). New employee onboarding - psychological contracts and ethical perspectives. Journal of Management Development, 37(1), 27-39. https://doi.org/10.1108/JMD-10-2016-0202
  9. Mann, I. (2017). Hacking the Human : Social Engineering Techniques and Security Countermeasures (Piratage de l'humain : techniques d'ingénierie sociale et contre-mesures de sécurité). Routledge. https://doi.org/10.4324/9781351156882
  10. Verizon 2021 Data Breach Investigations Report (Rapport d'enquête sur les violations de données). (2021). Verizon. verizon.com/dbir
  11. Iny, A., Khanna, S., Coden, M. et Struck, B. (2021). Renforcez votre stratégie avec des scénarios cybernétiques. Boston Consulting Group & The Decision Lab. https://app.hubspot.com/documents/3834397/view/233481126?accessId=f10950
  12. Hopper, E. (2019, 3 juillet). Qu'est-ce que le modèle de vraisemblance d'élaboration en psychologie ? ThoughtCo. https://www.thoughtco.com/elaboration-likelihood-model-4686036
  13. Leana, C. R. et van Buren, H. J. (1999). Organizational Social Capital and Employment Practices (Capital social organisationnel et pratiques d'emploi). The Academy of Management Review, 24(3), 538-555. https://doi.org/10.2307/259141
  14. Gundu, T. (2019, 13 mai). Reconnaître et réduire l'écart entre savoir et faire dans la conformité des employés à la cybersécurité.
  15. Kelman, H. C. (2006). Intérêts, relations, identités : Three Central Issues for Individuals and Groups in Negotiating Their Social Environment (Intérêts, relations, identités : trois questions centrales pour les individus et les groupes dans la négociation de leur environnement social). Annual Review of Psychology, 57(1), 1-26. https://doi.org/10.1146/annurev.psych.57.102904.190156
  16. Wiederhold, B. (2014). Le rôle de la psychologie dans l'amélioration de la cybersécurité. Cyberpsychology, Behavior and Social Networking, 17, 131-132. https://doi.org/10.1089/cyber.2014.1502
  17. Cleaveland, A., Newman, J. C. et Weber, S. (2020, 24 septembre). L'art de communiquer le risque. Harvard Business Review. https://hbr.org/2020/09/the-art-of-communicating-risk
  18. Zhang, X. A. et Borden, J. (2020). Comment communiquer sur le cyber-risque ? An examination of behavioral recommendations in cybersecurity crises. Journal of Risk Research, 23(10), 1336-1352. https://doi.org/10.1080/13669877.2019.1646315
  19. Nurse, J. (2013, 1er janvier). Communication efficace des risques de cybersécurité. https://www.researchgate.net/publication/274663654_Effective_Communication_of_Cyber_Security_Risks

About the Authors

Lindsey Turk's portrait

Lindsey Turk

Lindsey Turk est Summer Content Associate au Decision Lab. Elle est titulaire d'un master d'études professionnelles en économie et gestion appliquées de l'université de Cornell et d'une licence en psychologie de l'université de Boston. Au cours des dernières années, elle a acquis de l'expérience dans les domaines du service à la clientèle, du conseil, de la recherche et de la communication dans divers secteurs. Avant de travailler au Decision Lab, Lindsey a été consultante auprès du Département d'État américain, dans le cadre de son initiative internationale de lutte contre le VIH, le PEPFAR. À Cornell, elle a également travaillé avec une entreprise de produits diététiques au Kenya afin d'améliorer l'accès à des aliments sains et cite cette opportunité comme étant ce qui a cimenté son intérêt pour l'utilisation des sciences comportementales à des fins utiles.

Brooke Struck portrait

Dr. Brooke Struck

Brooke Struck est directeur de recherche au Decision Lab. Il est une voix internationalement reconnue dans le domaine des sciences comportementales appliquées, représentant le travail de TDL dans des médias tels que Forbes, Vox, Huffington Post et Bloomberg, ainsi que dans des sites canadiens tels que le Globe & Mail, CBC et Global Media. M. Struck anime le podcast de TDL "The Decision Corner" et s'adresse régulièrement à des professionnels en exercice dans des secteurs allant de la finance à la santé et au bien-être, en passant par la technologie et l'intelligence artificielle.

Dan Pilat's portrait

Dan Pilat

Dan est cofondateur et directeur général du Decision Lab. Il est l'auteur du best-seller Intention - un livre qu'il a écrit avec Wiley sur l'application consciente de la science comportementale dans les organisations. Dan a une expérience de la prise de décision organisationnelle, avec une licence en systèmes de décision et d'information de l'Université McGill. Il a travaillé sur l'architecture comportementale au niveau de l'entreprise chez TD Securities et BMO Capital Markets, où il a conseillé la direction sur la mise en œuvre de systèmes traitant des milliards de dollars par semaine. Poussé par un appétit pour les dernières technologies, Dan a créé un cours sur l'intelligence économique et a donné des conférences à l'Université McGill. Il a également appliqué la science du comportement à des sujets tels que la réalité augmentée et virtuelle.

Read Next

people holding their phones
Insight

Le problème de la post-vérité

Pourquoi le climat moral actuel semble-t-il si explosif ? Dans notre monde hyperconnecté et numérisé, un essai de l'époque victorienne fournit des conseils étonnamment pertinents.

Automation job design
Insight

Cinq façons de concevoir un meilleur emploi pour vous-même

Les ordinateurs peuvent gagner aux échecs, mais les humains peuvent gagner au travail, même si l'automatisation augmente de façon exponentielle. Grâce à la conception des emplois, nous pouvons créer des emplois plus qualifiés et plus motivants, ce qui rendra l'avenir du travail moins robotique et plus humain.

Notes illustration

Vous souhaitez savoir comment les sciences du comportement peuvent aider votre organisation ?