Le paradoxe de la sensibilisation et de la formation à la cybersécurité

La Sensibilisation et la formation à la cybersécurité est bien entendue une évidence, plusieurs articles, publications le rappellent constamment.

Pour autant, une formation pour une formation n’a pas réellement d’impact. Et peut même avoir un effet désastreux : noyer, galvauder, diluer l’information à retenir.

Il est essentiel d’utiliser tous les outils à disposition (d’en connaitre aussi les limites) pour aider les salariés d’une entreprise à retenir ce qu’ils apprennent, en particulier sur des sujets qui peuvent les impacter au quotidien.

Si on se réfère à la psychologie cognitive, la mémoire a une capacité limitée. Il est donc important de permettre à des informations d’y entrer, d’y être maintenue et d’être éventuellement rappelées (encodage – stockage – récupération).

C’est pourquoi les conférences interminables, les présentations PowerPoint de 40 slides et les courriels de plusieurs dizaines de lignes, envoyés en masse sont voués à l’échec.

L’information est reçue, interprétée, mais une très (trop) importante partie va se perdre avec le temps, plus ou moins court d’ailleurs.

Pour réussir une mission de sensibilisation ou de formation, les entreprises doivent donc se concentrer sur deux stratégies simultanément :

  • La formation d’habitudes

Pour modifier les comportements, il faut créer des habitudes car les comportements habituels sont provoqués automatiquement.

Les habitudes sont susceptibles de persister avec le temps (Observation, essai, exercice, répétition).

  • La perturbation des habitudes.

Il faut créer des habitudes mais en éviter d’autres. Par exemple, les employés au bureau, mais aussi dans la vie privée, utilisent souvent le même mot de passe pour plusieurs types d’accès (web, annuaire de l’entreprise, comptes bancaires, wifi, etc…), cliquent sur des liens suspects sans même prendre le temps de vérifier, ne mettent pas à jour leurs smartphones, ne paramètrent pas certains appareils et s’exposent, ainsi que leur entreprise, à d’innombrables risques.

Il faut s’attaquer directement à ces mauvaises habitudes et convaincre de les abandonner.

C’est cette stratégie qui sera la gagnante.

Convaincre de faire et défaire en pensant la formation et l’information autrement.

La tâche est ardue.

Mais le sujet tellement important.

Nathalie Granier
Cyberpsychologist | Threat Intelligence Analyst

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Verified by ExactMetrics