💬 « 𝑃𝑜𝑢𝑟 𝑒́𝑣𝑖𝑡𝑒𝑟 𝑑’𝑒́𝑣𝑒𝑖𝑙𝑙𝑒𝑟 𝑙𝑒𝑠 𝑠𝑜𝑢𝑝𝑐̧𝑜𝑛𝑠, 𝑐𝑖𝑏𝑙𝑒𝑧 𝑑𝑒𝑠 𝑠𝑒𝑔𝑚𝑒𝑛𝑡𝑠 𝑑𝑒 𝑝𝑜𝑝𝑢𝑙𝑎𝑡𝑖𝑜𝑛 𝑒𝑡 𝑒́𝑡𝑎𝑙𝑒𝑧 𝑙𝑒𝑠 𝑐𝑎𝑚𝑝𝑎𝑔𝑛𝑒𝑠 𝑑𝑎𝑛𝑠 𝑙𝑒 𝑡𝑒𝑚𝑝𝑠. 𝐿𝑎 𝑠𝑒𝑛𝑠𝑖𝑏𝑖𝑙𝑖𝑠𝑎𝑡𝑖𝑜𝑛 𝑒𝑛 𝑐𝑦𝑏𝑒𝑟𝑠𝑒́𝑐𝑢𝑟𝑖𝑡𝑒́ 𝑛𝑒 𝑑𝑜𝑖𝑡 𝑝𝑎𝑠 𝑒̂𝑡𝑟𝑒 𝑝𝑜𝑛𝑐𝑡𝑢𝑒𝑙𝑙𝑒, 𝑐’𝑒𝑠𝑡 𝑡𝑜𝑢𝑡 𝑎𝑢 𝑙𝑜𝑛𝑔 𝑑𝑒 𝑙’𝑎𝑛𝑛𝑒́𝑒 », nous dit Serge MISIK, Chief Information & Security Officer de Paris Ouest La Défense (POLD).
💡 Les campagnes de sensibilisation à destination des utilisateurs, comme les courriels de hameçonnages, sont un classique essentiel dans la box du RSSI.
Cependant, fini les longues sensibilisations derrière un écran qui s’avèrent contre-productives !
Place à la réalisation de vidéos ludiques de 4 à 5 minutes, des infographies animées, du gaming, des textes, images, quiz et visuels interactifs.
⏱️ L’objectif est de réaliser entre 1h30 à 2h de sensibilisation à l’année !
Par contre, on inverse le processus. Avant, on envoyait des courriels de faux hameçonnage, puis on redirigeait l’utilisateur vers les modules de sensibilisation.
Aujourd’hui, ce qui fonctionne est de sensibiliser d’abord, puis de tester l’utilisateur ensuite. Est-ce qu’il vous viendrait à l’esprit de passer un examen sans avoir appris le cours ?
« 𝐿𝑎̀, 𝑜𝑛 𝑒𝑚𝑏𝑎𝑟𝑞𝑢𝑒 𝑝𝑙𝑢𝑠 𝑓𝑎𝑐𝑖𝑙𝑒𝑚𝑒𝑛𝑡 𝑙𝑒𝑠 𝑢𝑡𝑖𝑙𝑖𝑠𝑎𝑡𝑒𝑢𝑟𝑠 » conclut Serge.
🚀 Avec ça, Paris Ouest La Défense est passé d’un taux de clic de 19 % à moins de 5 % !
« 𝐿𝑎 𝑚𝑒𝑛𝑎𝑐𝑒 𝑒́𝑣𝑜𝑙𝑢𝑒. 𝑉𝑜𝑠 𝑟𝑒́𝑓𝑙𝑒𝑥𝑒𝑠 𝑎𝑢𝑠𝑠𝑖 𝑑𝑜𝑖𝑣𝑒𝑛𝑡 𝑒́𝑣𝑜𝑙𝑢𝑒𝑟. »
Merci à lui pour ces précieux conseils qui j’espère vous inspireront 🙌.
Et vous, quelles sont vos expériences et bonnes pratiques en matière de sensibilisation à la cybersécurité ? Partagez-les nous en commentaire ⤵️
3 réponses
Pour ceux qui souhaitent en savoir plus, je vous invite à écouter l’interview de Serge dans l’excellent podcast Safe & Sound de CYBIAH :
🎙️ Podcast : https://podcast.ausha.co/safe-sound/serge-misik
👉🏻 Résumé : https://www.clementdonzel.com/vie-ma-vie-de-rssi-avec-serge-misik-ciso-de-paris-ouest-la-defense-pold/
Merci à vous OFFMYDATA, et à toi Clement Donzel, pour avoir relayé ces informations pratico-pratiques, simples, logiques, et pragmatiques 🙏🏻
La sensibilisation demeure inexorablement un sujet humain, parce que les cyberattaquants exploitent avant tout l’humain et nos biais cognitifs.
C’est un sujet prioritaire, primordial et essentiel au sein du pilier « Protection » du NIST.
Et ce n’est pas NIS2 qui me fera mentir puisque la formation, la sensibilisation des dirigeants, mais de tous collaborateurs, en fait, devient obligatoire. Et même pour les organisations non assujetties à NIS2, elles le seront par « rebond ».
Merci Serge MISIK 🙏🏻. Tout à fait aligné. Faire de ses collaborateurs des pare-feux humains est essentiel. Les fondamentaux de la sécurité – comme la formation et la sensibilisation des collaborateurs – priment sur les outils. Car la meilleure infrastructure IT pourra toujours être compromise par une simple erreur humaine.