Combien de RSSI se « coltinent » encore, si vous me passez l’expression, la tâche de la sensibilisation (parce qu’il en faut bien), à l’aide d’astuces faites maison et bien évidemment sans l’ombre d’une queue de budget ? Encore beaucoup trop ! Pourtant ces dernières années, se développent des outils très professionnels et performants dont les volets de sécurisation ne devraient jamais plus se départir.

Si le marché de la cyber sécurité se porte bien, il n’est pas pour autant le signe d’une prise de conscience homogène et globalisée, alors que le tout récent Global Risks Report 2019 du Forum économique mondial vient de classer les cyberattaques au quatrième rang des risques auxquels l’économie mondiale doit faire face…

Dans le monde, les grandes entreprises investissent en sécurité, ce qui est encore trop peu le cas des PME et TPE. Il est également toujours plus difficile d’honorer les prestations de cybersécurité compte tenu de la rareté des compétences à dimension notamment technique et spécialisée comme la sécurité du Cloud. Et, si les formations à la sécurité se sont multipliées, l’enthousiasme des jeunes générations est particulièrement timide. A ce titre, l’étude de Cybersecurity Ventures prévoit 3,5 millions d’emplois non pourvus pour 2021 et c’est l’ISC2 qui parle de 350.000 postes vacants rien qu’en Europe.

Et si ce sujet, si intangible, n’avait pas tout simplement pas encore « accroché » le commun des mortels ? Certes la médiatisation des cyberattaques est plus large, mais la sensibilisation réalisée semble avoir laissée plus de place au fatalisme qu’à l’action, ne trouvant jamais réellement les clés à donner aux individus pour être maîtres de la situation et les impliquer donc davantage.

Définitivement, pour mieux vendre des solutions de sécurité, pour la rendre plus effective au quotidien dans toutes les entreprises et pas seulement celles du CAC 40 ou de l’étranger, pour en faire un choix de carrière pour les jeunes, le sujet de la sensibilisation et de la découverte à la sécurité numérique doit être pris très au sérieux. Et c’est d’ailleurs, et tant mieux, une tendance qui grossit sur le marché de la cyber. Récemment, Proofpoint a déboursé 225 millions de dollars pour racheter Wombat Security Technologies, un acteur majeur et encore rare dans le domaine de la sensibilisation. Un exemple de prise de conscience.

Depuis quelques années, en effet, le marché de la sensibilisation se développe non seulement par l’émergence de nouveaux acteurs comme le révèle le Magic Quadrant du Gartner, mais également par des rapprochements avec des éditeurs de solution à l’image de celui cité plus haut. Il n’est pas rare non plus de voir des cabinets de conseil / éditeurs et des acteurs de la sensibilisation réaliser des études conjointes, comme Wavestone et Conscio Technologies pour citer un cas français.

Il se transforme aussi en se diversifiant tant en termes de supports et technologies proposées (sessions de e-learning, serious games, campagne de simulations, etc.) que thématiquement, comme par exemple des sensibilisations ciblées sur une menace, à l’instar du phishing, du ransomware ou de l’ingénierie sociale. Les campagnes de sensibilisation à la sécurité, et c’est signe de maturité, sont également conçues de telle façon à se rapprocher des questions de sécurité économique et de sûreté, ce qui en font des campagnes de protection globale plus faciles à vendre en entreprise ou pour obtenir des budgets.

Ce virage s’est amorcé bien plus tôt dans le monde associatif et par exemple en France avec des actions remarquées de l’ANSSI comme la réalisation de guides faciles (12 règles écrites avec la CGPME, le passeport des bonnes pratiques en mobilité, etc.), la production de la Hack Academy ou encore le MOOC destiné au grand public dont le succès est indiscutable et qui démontre que les utilisateurs ont bel et bien besoin et sont demandeurs d’éléments de compréhension, de clés de lecture, de saisir les enjeux et les contraintes imposées, mécanisme pourtant propre à toute appropriation d’un sujet, ce que les professionnels de la sécurité sont en train de réaliser.

Plusieurs groupes ont dédié un poste à temps complet à la sensibilisation ou sont en passe de le faire le sujet devenant de plus en plus prégnant, mais ce qui change aujourd’hui c’est que ces professionnels peuvent recourir et s’assister de prestations externes spécialisées avec des outils que j’appellerai « à forte distribution » c’est-à-dire capables d’adresser un grand nombre de personnes et de profils divers.  Ces solutions entièrement automatisées sont sans doute le moyen également de séduire des entreprises qui n’ont aucune compétence interne en la matière, compte tenu également de leurs tarifs et le temps de la sensibilisation en présentiel dans l’entreprise n’a plus forcément la cote…

Apprendre en s’amusant c’est le pari d’outils ludiques comme les serious games. La CCI France en fait d’ailleurs régulièrement la publicité dans ses colloques. On note aussi le développement de plateformes de e-learning. Ce n’est évidemment pas exhaustif mais il est intéressant de se pencher sur les solutions positionnées dans le Magic quadrant par Gartner. Citons celles de Wombat ou de Terranova, solution canadienne et celle du non moins célèbre Kevin Mitnick qui a lui aussi cédé à la tentation en lançant KnowBe4. Toutes ces solutions sont des critères en ce qu’elles constituent de véritables consoles pour sensibiliser les utilisateurs finaux à la cybersécurité et les aider à lutter contre la prolifération croissante du phishing.

En effet, ces entreprises ont déployé des plateformes de campagnes de tests. Quand on sait que Office 365 est de plus en plus adopté aux quatre coins du monde, cela va sans dire que les tentatives de phishing qui ciblent la solution ont de beaux jours devant elles. C’est donc tout l’intérêt d’entraîner les utilisateurs à les repérer et les enrayer.

Les changements les plus notables par rapport aux anciennes sessions de e-learning souvent développées en interne par les RSSI pour leurs besoins propres, sont autant sur les contenus que sur la forme.

D’abord les contenus sont réalisés par des experts du domaine, voire alimentées par les expériences périphériques des services ou partenaires, éditeurs de solutions ou consultants. L’autre point est la diversification des thématiques qui couvrent de larges scopes et de nombreuses normes et réglementations. Certaines ont même développé des sessions sur la difficile question du RGPD. Il est donc plus aisé de se faire un menu à la carte et droite ligne avec ces besoins. La force de ces plateformes réside aussi dans leur dimension internationale avec souvent des traductions dans plusieurs dizaines de langues et un déploiement aisé en multi-sites.

Par ailleurs, les graphismes sont particulièrement attractifs et leur degré de personnalisation n’est pas sans séduire les clients de plus en plus nombreux. Si certaines se cantonnent à des personnalisations de pure forme comme une charte graphique du client, d’autres vont plus loin en personnalisant aussi les thématiques et les textes pour coller aux usages numériques de chaque population à sensibiliser aux bonnes pratiques.

Souples de fonctionnement, ces plateformes permettent de choisir des modules courts, à des fréquences personnalisées et notifiées aux utilisateurs. De même, véritables consoles de bord, elles permettent de plus en plus des analyses fines des résultats aux questions, QCM, et autres formes de vérifications des acquis pour en tirer des actions correctrices à l’encontre de publics plus sensibles à une problématique, plus ciblés ou encore tout simplement plus vulnérables. Cela permet d’offrir des sessions dédiées et personnalisées abordant les points bloquants.

Ces différents outils qu’on ne peut tous citer avancent dans le bon sens. Reste qu’on peut regretter encore un trop faible intérêt à la culture numérique de chacun et à ce que sont les réels leviers des changements comportementaux.

Si le niveau de sécurité est différent d’un individu à l’autre ce qui est encore plus déterminant est déjà pour commencer sa culture numérique et son degré personnel d’acculturation. Cela peut dépendre d’un tas de facteurs comme l’âge, l’intérêt à la chose informatique, l’environnement familial… Peut-on parler de sécurité à des personnes qui d’ores et déjà ne sont à l’aise ni avec leur terminal d’entreprise ou l’ergonomie applicatif ?

Le déploiement des mécanismes pédagogiques dans la cyber sécurité progressent très positivement et de plus en plus parallèlement à la sécurisation des SI mais ils devront s’ouvrir encore davantage à d’autres disciplines pour atteindre complètement leur objectif.

 

____________
Arnaud Cassagne est Directeur du développement chez Newlode