16 septembre 2024 • Cyber security
Il s'agit d'un guide SUPER détaillé de Security Awareness Training pour 2026.
Dans ce nouvel article, vous découvrirez :
- L'importance de la sensibilisation à la sécurité
- Les différents types de Security Awareness Training
- Les meilleures façons de faire adhérer votre organisation
- Les méthodes de formation des employés des marques néerlandaises réputées.
Plongeons directement dans le vif du sujet.
Qu'est-ce que le Security Awareness Training ?
Security awareness training est une formation qui outille le personnel pour reconnaître et éviter les cybermenaces qu'il pourrait rencontrer au travail ou dans sa vie personnelle. Un bon programme de formation en sécurité sensibilise aux problèmes tels que le phishing, les logiciels malveillants (malware), l'ingénierie sociale et d'autres dangers du monde numérique.
Security awareness training peut couvrir des cadres politiques ou réglementaires spécifiques, tels que HIPAA, ou être plus général. La formation peut prendre de nombreuses formes, allant d'un cours de rafraîchissement annuel à un apprentissage continu dispensé régulièrement.
Pourquoi la Security Awareness Training est-elle si importante ?
Jusqu'à 95 % de toutes les attaques et fuites de données sont causées par une erreur humaine. Du clic sur un lien de phishing à l'utilisation de mots de passe faibles, les erreurs humaines sont souvent à l'origine de la cybercriminalité. C'est pourquoi il est crucial de former vos employés à reconnaître et à signaler les cybermenaces.
L'importance du Security Awareness Training est un sujet brûlant depuis des années. Tous les professionnels de la sécurité ne le considèrent pas comme nécessaire, car ils estiment que l'erreur humaine ne peut être exclue. Ils privilégient les mesures technologiques pour garantir la sécurité même en cas d'erreurs humaines.
Chez Guardey, nous croyons en une combinaison des deux. S'il est vrai que la formation ne peut pas garantir une sécurité absolue, nous comprenons que la technologie ne le peut pas non plus. Il n'existe aucun filtre anti-spam au monde qui garantisse de bloquer tous les e-mails de phishing. Pour le un pour cent des tentatives de phishing qui passent à travers vos défenses technologiques, vous voulez que vos employés soient conscients des dangers du phishing.
De nombreuses cybermenaces ne peuvent être évitées par la technologie. Pensez à l'ingénierie sociale dans la vie réelle, où une personne entre dans un bureau et convainc l'accueil qu'elle est un entrepreneur ayant besoin d'accéder aux serveurs. Des situations comme celles-ci ne peuvent être évitées que si chaque membre de votre organisation a un niveau élevé de sensibilisation à la sécurité.
Introduction aux menaces cybernétiques courantes
Phishing, vishing, smishing et quishing
Le Phishing est l'utilisation de messages électroniques pour attaquer une cible. Les e-mails de phishing prétendent provenir d'une personne à laquelle la cible ferait habituellement confiance, comme un client ou un collègue, ou d'une entité digne de confiance telle qu'une banque ou un détaillant en ligne. Parfois, l'objectif d'un e-mail de phishing est d'inciter le destinataire à télécharger des logiciels malveillants. Plus généralement, cependant, le but est d'obtenir des informations sensibles, telles que les identifiants de connexion de la cible pour un service bancaire en ligne, ou des informations d'identification personnelle comme leur numéro de sécurité sociale.

Le « vishing » est une attaque similaire qui utilise les appels vocaux et vidéo, tandis que le « smishing » recourt aux SMS et aux messages texte. Le « spear phishing » désigne une attaque ciblant une personne en particulier, comme un cadre supérieur ou une personne disposant d’un accès aux systèmes informatiques. Dans ces cas-là, le pirate utilise souvent l’ingénierie sociale pour donner à la cible l’impression que le message est authentique. Le « quishing » fait référence à l’utilisation de codes QR qui incitent les cibles à se rendre sur des sites web malveillants ou à transférer directement de l’argent à des criminels.
Malware
Le malware est un logiciel malveillant propagé par les cybercriminels. Il peut infecter des ordinateurs individuels et d'autres appareils, ou des réseaux entiers. Il existe de nombreux types de malwares différents. En voici quelques exemples :
Virus
Les virus sont des programmes autoréplicatifs conçus pour causer des dommages à un système, en supprimant des données ou en introduisant de nouvelles vulnérabilités qui peuvent être exploitées.
Chevaux de Troie
Les chevaux de Troie sont des programmes qui se déguisent en logiciels légitimes mais causent des dommages à un système. Ils se cachent souvent indétectés sur les systèmes informatiques pendant une période prolongée, volant des informations et les envoyant à des cybercriminels. Un type courant de cheval de Troie est le keylogger. Celui-ci enregistre toutes les frappes saisies sur un ordinateur infecté, révélant potentiellement des mots de passe et d'autres informations sensibles. Cela peut ensuite être utilisé pour d'autres crimes, tels que le vol de données et l'usurpation d'identité.
Ransomware
Un autre type courant de logiciel malveillant est le ransomware. Le ransomware est un logiciel malveillant conçu pour obtenir une rançon de la victime. Généralement, un ransomware chiffrera tous les fichiers d'un système informatique ou d'un réseau, puis sollicitera une rançon de la victime en échange des moyens de les déchiffrer.
Les rançons exigées sont souvent très élevées, parfois bien plus que ce que la victime ne pourra jamais payer. Même si la rançon est payée, il n'y a aucune garantie que l'attaquant fournira les clés de déchiffrement. Dans de nombreux cas, les fichiers chiffrés sont perdus définitivement. Ces dernières années, de nombreuses attaques par ransomware très médiatisées ont eu lieu, comme l'attaque de 2023 contre le National Health Service du Royaume-Uni.
Le ransomware est en hausse à l'échelle internationale, avec une augmentation du montant des rançons.

Sites web malveillants
Les sites web malveillants, également appelés sites d'attaque, sont des sites qui hébergent du code malveillant dans le but de tromper les utilisateurs et de les inciter à le télécharger sur leurs appareils. Dans certains cas, les sites d'attaque sont créés spécifiquement à cette fin. Dans d'autres, un site légitime est piraté par des cybercriminels qui y insèrent ensuite du code malveillant. Certains sites, appelés sites d'attaque par téléchargement furtif (drive-by download), ne nécessitent même pas que la victime clique sur un lien de téléchargement ou interagisse de quelque manière que ce soit – une simple visite du site suffit à infecter un système mal mal sécurisé.
Les sites web malveillants peuvent également imiter des sites web de confiance afin de tromper les utilisateurs et de les inciter à saisir leurs identifiants de connexion, permettant ainsi aux cybercriminels d'accéder aux comptes des victimes.
Attaques par USB
Les supports amovibles, tels que les clés USB, peuvent facilement servir de vecteur pour des codes malveillants. Dans certains cas, un cybercriminel peut obtenir un accès physique aux appareils d'une organisation ; plus fréquemment, les attaquants laisseront des clés USB infectées à des endroits où des employés non avertis pourront les trouver.
Il est trivial pour un attaquant d'acquérir une clé USB ornée du logo de l'organisation cible, ou d'une autre entité de confiance comme un client ou un fournisseur régulier, et de la laisser près des locaux où elle sera ramassée. Ils comptent sur des membres du personnel curieux ou serviables pour brancher la clé USB sur l'un des ordinateurs du réseau de l'organisation afin d'en vérifier le contenu. Une fois connectée, la clé infectée peut déposer sa charge utile de logiciels malveillants.
Il est à noter que tout appareil capable de stocker des données peut être utilisé pour ce type d'attaque, y compris les lecteurs MP3, les appareils photo numériques et les smartphones. Un exemple récent est Sogu, une campagne de cyber-espionnage assistée par USB qui cible plusieurs secteurs.
Toutes ces attaques peuvent être dévastatrices pour une organisation. Vous pouvez minimiser les risques d'être touché par une telle attaque grâce à une Security Awareness Training appropriée en cybersécurité pour les employés et les dirigeants d'entreprise. Lorsque le personnel d'une organisation est conscient des risques et sait comment les éviter, il passe d'un point de défaillance à un pare-feu humain.
Et la liste est longue
Les cybermenaces mentionnées ci-dessus sont parmi les plus répandues, mais les cybercriminels disposent de nombreuses méthodes pour dérober des données précieuses. Avec le temps, leurs techniques s'améliorent et sont plus difficiles à détecter pour un œil non averti. Surtout avec l'essor de l'IA, les différents types de cybermenaces semblent illimités.
Les différents types de Security Awareness Training
Il existe plusieurs façons de former vos employés. Ci-dessous, nous allons passer en revue quelques-unes des plus utilisées.
Cours annuels
De nombreuses organisations s'appuient encore sur des cours de formation annuels pour préparer leur personnel à faire face aux cybermenaces. Le Security Awareness Training annuel pour les employés présente deux problèmes majeurs. Premièrement, le paysage des menaces numériques est en constante évolution. De nouvelles menaces apparaissent en permanence, pas seulement une fois par an, de sorte que la formation annuelle devient rapidement obsolète.

Deuxièmement, les gens ne retiennent tout simplement pas l'information pendant une année entière. Même l'apprenant le plus attentif ne se souviendra pas de tout ce qu'il a appris au-delà de quelques mois. Cette érosion des connaissances signifie que les compétences du personnel deviendront inévitablement moins complètes avec le temps, les rendant moins efficaces pour éviter les risques.
Formation en présentiel
La formation en présentiel présente certains avantages par rapport à d'autres méthodes d'enseignement. Elle crée un environnement sans distraction où les apprenants peuvent se concentrer sur les sujets spécifiques qu'ils doivent comprendre et assimiler. Cependant, la formation en présentiel a aussi des inconvénients majeurs. Les apprenants doivent être détournés d'autres activités, ce qui signifie qu'ils prennent du retard sur leurs tâches professionnelles ou sacrifient leur temps libre.

La formation en présentiel impose également un modèle unique à tous les étudiants, certains apprenants s'ennuyant ou ne se sentant pas suffisamment stimulés, tandis que d'autres restent confus face à de nouveaux sujets.
L'e-learning traditionnel
L'e-learning traditionnel tente de reproduire l'apprentissage en classe dans un environnement à distance. Les cours sont dispensés via une une plateforme comme Canvas ou Moodle, à l'aide de diapositives et d'autres supports. Il y a généralement des cours magistraux, soit préenregistrés, soit dispensés en direct par un instructeur. Bien que l'e-learning traditionnel soit plus flexible et évolutif que l'apprentissage en classe, il présente certains des mêmes inconvénients. L'apprentissage a tendance à être passif, avec une interactivité limitée et un engagement ou une rétention inférieurs à la moyenne.
Formation gamifiée
Le Gamified Security Awareness Training proposé par des fournisseurs comme Guardey est une solution moderne. Il est similaire à l'approche adoptée par les applications d'apprentissage des langues comme Duolingo. Au lieu de se voir présenter une grande quantité d'informations une fois par an, ou sous forme de cours ponctuels avec une interaction limitée, les apprenants reçoivent un flux constant de formations courtes et facilement assimilables.

Avec Guardey, les utilisateurs reçoivent un défi hebdomadaire qui leur prend environ 3 minutes à compléter. Pendant un défi, ils apprennent sur les cybermenaces telles que le phishing, les malwares, les mots de passe faibles et l'IA. En réussissant les défis, ils peuvent marquer des points pour le classement de l'organisation. La compétition amicale entre collègues a prouvé son efficacité pour maintenir l'engagement des utilisateurs.
En gamifiant l'expérience d'apprentissage, les utilisateurs sont intrinsèquement motivés à continuer de participer. Que ce soit pour atteindre la première place du classement, continuer leurs séries de semaines consécutives jouées, ou simplement pour améliorer leur propre meilleur score.
Comment faire adhérer votre organisation au Security Awareness Training
Vous avez décidé que l'apprentissage gamifié est la solution idéale pour les besoins de Security Awareness Training de votre organisation. Vous avez trouvé d'excellents produits qui répondent à toutes vos exigences. Vient maintenant la partie la plus difficile : convaincre votre organisation d'adopter une nouvelle solution de formation.
Les gens peuvent être réticents à se lancer dans un Security Awareness Training gamifié pour plusieurs raisons. Il vous faudra répondre à de nombreuses questions. Qu'est-ce que la Security Awareness ? Quels sont ses avantages pour l'organisation ? Les personnes ayant déjà suivi un cours annuel de cybersécurité pourraient estimer n'avoir rien à gagner d'une formation continue. Les managers et les dirigeants pourraient croire que leur personnel est trop averti pour se laisser piéger par un e-mail de phishing ou une clé USB mystérieuse trouvée sur un parking. Voici quelques idées pour aider à persuader les gens et les faire adhérer.
Organiser une semaine de Security Awareness Training : un événement de Security Awareness ludique et engageant peut aider à susciter l'intérêt des gens pour la cybersécurité et à les inciter à en savoir plus.
Mener une simulation de spear phishing : Une simulation réaliste de spear phishing ciblant des individus clés peut aider à démontrer que n'importe qui dans votre organisation pourrait être vulnérable.
Faites appel à un conférencier invité : un expert peut aider à rallier les gens à votre point de vue plus efficacement que des informations abstraites. Il peut s'agir d'une victime de cybercriminalité, d'un expert en sécurité ou même d'un hacker éthique « white hat ».
Comment les organisations néerlandaises mettent en œuvre la Security Awareness Training
Voici quelques exemples d'organisations néerlandaises qui ont mis en œuvre avec succès le Security Awareness Training pour leurs employés.
EyeOn

EyeOn est un spécialiste de la prévision et de la planification, aidant les entreprises internationales à gérer les défis de la chaîne d'approvisionnement. EyeOn est responsable d'une grande partie des données de ses entreprises clientes, qui doivent être traitées en toute sécurité. Ils ont adopté une solution de formation en cybersécurité gamifiée pour s'assurer que leur personnel était à la hauteur du défi et pour aligner leur sécurité sur les exigences de la certification ISO27001.
Ils ont introduit le nouveau programme de formation auprès des employés avec ce qu'ils ont appelé une semaine de Security Awareness Training. « Nous commencions chaque jour par un entretien de 15 minutes que nous appelions le point sécurité. Chaque jour avait un thème spécifique. Le premier s'intitulait « du bureau à la destination ». Il portait sur les mesures de sécurité lors des déplacements, comme l'utilisation d'un filtre de confidentialité, le stockage sécurisé de votre ordinateur portable, etc. Un autre thème était entièrement consacré aux données confidentielles, que nous avons appelé « comment éviter les problèmes avec la SEC. »
Priore

Priore propose des services de comptabilité et de conseil fiscal. Ayant la responsabilité des informations financières sensibles de leurs clients, la cybersécurité est vitale pour eux. Priore souhaitait maintenir un niveau élevé de Security Awareness Training (sensibilisation à la sécurité) parmi son personnel en permanence. C'est pourquoi ils sont passés d'une formation annuelle en cybersécurité à une solution offrant un apprentissage continu : Guardey.
“80 % de l'organisation a immédiatement commencé à s'engager activement après le premier e-mail d'introduction. Après un mois ou deux, tout le monde, à l'exception d'une ou deux personnes, utilisait Guardey chaque semaine. Cela était dû à une motivation intrinsèque et à la compréhension de l'importance de la Security Awareness. Il n'y a pas d'incitations comme un prix mensuel ou autre, donc nous pourrons toujours essayer cela si la participation venait à ralentir.”
Konot

KONOT est une fondation éducative, dispensant un enseignement dans 22 écoles primaires néerlandaises. L'organisation avait besoin d'une solution de Security Awareness Training qui les alignerait sur le RGPD. Ayant déjà été la cible de multiples cyberattaques infructueuses, KONOT avait besoin d'un produit de formation qui maintiendrait son personnel informé et conscient à tout moment. Ils ont adopté Guardey pour offrir une formation et une évaluation continues afin d'assurer une Security Awareness constante.
KONOT a récemment déployé Guardey, et les premiers retours des utilisateurs commencent à arriver. « Les premiers retours que nous avons reçus sont enthousiastes. Guardey les a rendus très compétitifs, ce qui est bon signe », déclare Martijn. « C'est très accessible, ce que j'apprécie. Quelques-uns étaient moins enthousiastes à l'idée de la formation de sensibilisation avant que nous ne commencions, mais nous ferons le point avec eux prochainement. » Frieda poursuit : « Je ne suis pas du tout une joueuse, mais j'ai aussi remarqué que je continuais à relever de nouveaux défis. Il est vraiment facile de répondre aux questions. »
Delta Wines

Delta Wines est un grossiste en vins. Lorsque leur assureur a souligné l'importance du Security Awareness Training et de la directive NIS2 à venir, le PDG de Delta Wines a agi. Pour impliquer tout le monde, une simulation de phishing a été menée, ce qui a servi de véritable prise de conscience pour de nombreuses personnes. Après que de nombreux membres du personnel se soient laissés prendre par l'e-mail convaincant, ils se sont montrés très réceptifs à une formation supplémentaire.
« Nous recevons beaucoup de retours positifs. De nombreux employés commencent immédiatement le nouveau défi hebdomadaire dès qu'ils reçoivent l'e-mail les informant qu'il est prêt. Certains sont sérieusement déçus lorsqu'ils répondent mal à une question. Cela a initié de nombreuses discussions internes sur la sécurité, ce qui est excellent. »
Gezamenlijke Brandweer Amsterdam

Gezamenlijke Brandweer Amsterdam (United Fire Department Amsterdam) est un service d'incendie majeur, chargé de la gestion des incidents dans une zone industrielle d'Amsterdam. Si un service d'incendie est victime d'une cyberattaque, les conséquences pourraient être catastrophiques. Le service devait également se conformer aux exigences de la directive NIS2. Le chef d'équipe Raymond Pikee souhaitait une solution de formation récurrente, ludique et engageante.
Dans le classement, les pompiers peuvent voir leurs performances par rapport à leurs collègues, ce qui stimule la compétition interne. « Nous sommes très compétitifs, c'est donc une touche agréable. Ces éléments de gamification rendent le jeu Guardey amusant, ce qui nous aide également à mémoriser les informations. »
Comment commencer à mettre en œuvre le Security Awareness Training
Maintenant que vous comprenez les bases du Security Awareness Training, vous pouvez commencer à rechercher un fournisseur de formation qui correspond le mieux à vos souhaits.
Chez Guardey, nous proposons un Security Awareness Training gamifié qui vise à maintenir l'engagement des utilisateurs sur de longues périodes. Grâce à l'utilisation d'un classement, de succès, de séries de victoires et d'autres éléments de gamification, les utilisateurs développent un esprit de compétition amicale qui stimule leur participation.
Démarrez un essai gratuit de 14 jours
Essayez gratuitement la plateforme gamifiée de Security Awareness Training de Guardey.
Démarrez un essai gratuit