Les entreprises perdent des millions pour se remettre d’incidents provoqués par le personnel, mais l’efficacité des programmes de formation traditionnels visant à prévenir ces problèmes est limitée et, bien souvent, ils ne réussissent pas à susciter la motivation et le comportement escomptés.

Aujourd’hui, la plupart des incidents informatiques sont liés à des erreurs involontaires des salariés :

• En 2015, IBM a indiqué que le pourcentage de violations internes dues à des erreurs humaines dépassait les 95 %.
• L’impact financier moyen d’un incident dû à une négligence en interne s’élève à 865 000 €.
• Le coût moyen des attaques de phishing peut atteindre 400 € par salarié et par an (les autres types d’attaques ne sont pas pris en compte dans ce calcul).

L'analyse montre que la majorité des programmes de sensibilisation à la sécurité informatique actuels sont inefficaces :

• La lecture de documents stratégiques et d'instructions est fastidieuse, trop technique, trop sceptique, trop peuplée de menaces et de choses à ne surtout pas faire, sans montrer d'exemples de comportements sûrs.
• Les salariés ne sont pas motivés par l'apprentissage (seuls 22 % d'entre eux pensent pouvoir être la cible de criminels).
• Ils ne voient pas la sécurité informatique comme un allié et tentent toujours de la contourner.
• Les moyens de mesure de la sensibilisation font défaut, en dehors du « nombre de personnes ayant suivi une formation ».

Le programme de formation Kaspersky pour la sensibilisation de toute l’entreprise :

Avantages du programme

• Elle permet de développer un comportement et ne se limite pas à transmettre des connaissances : la méthode d’apprentissage inclut le jeu, l’apprentissage par la pratique, la simulation d’attaques, ... De ce fait, les habitudes comportementales sont renforcées et les améliorations sont durables.
• Elle crée des comportements spécifiques aux différents niveaux hiérarchiques de l’entreprise (cadres supérieurs, supérieurs hiérarchiques / cadres intermédiaires, employés), prenant en compte leurs besoins particuliers et leurs contraintes en termes de durée et de format.
• Elle est facile à gérer et ses résultats sont hautement mesurables puisqu’elle propose des formations sur ordinateur. Elle peut être administrée par les équipes de sécurité IT et RH. Kaspersky Lab offre une méthode de mise en œuvre éprouvée, des bonnes pratiques ainsi qu’une assistance technique et méthodique.
• Elle s’appuie sur expertise de Kaspersky Lab en matière de sécurité informatique et de R&D.

Formation KIPS pour la direction

La formation KIPS vise les directeurs et responsables informatiques les directions et directions métiers et les cadres opérationnels, et accroît leur sensibilisation aux risques et aux problèmes de sécurité posés par l'exploitation de systèmes informatisés modernes.

La Kaspersky Interactive Protection Simulation (KIPS) est un exercice qui place des équipes au sein d'une simulation d'environnement commercial. Ces équipes devront faire face à une série de attaques informatiques inattendues, tout en essayant d'optimiser les bénéfices et d'entretenir la confiance. L'idée est de construire une stratégie de défense informatique en effectuant des choix parmi les meilleures commandes proactives et réactives disponibles.

KIPS est un programme de sensibilisation dynamique basé sur « l'apprentissage par la pratique » :

• Amusant, attrayant et rapide (2 heures)
• Le travail d'équipe renforce la coopération
• La compétition favorise l’initiative et l'analyse
• L'expérience de jeu développe la connaissance des mesures de sécurité informatique
• 4 environnements (entreprise, banque, administration, industrie)
• Disponible en 10 langues

« Parmi les tendances qui se dégagent de l'exercice, on constate que les premières décisions de sécurité, et parmi les plus simples, que vous pouvez prendre, comme les audits de sécurité et la formation, ou les changements de mots de passe et la gestion des correctifs, vous aideront énormément à réagir efficacement aux incidents qui pourraient survenir à l'avenir. »

Mark Jenkins · 16 décembre 2015 · ICT Qatar

Formation Safety Games pour les managers (jeux de plateaux)

Cet atelier hautement interactif (combinant formation assistée par ordinateur et cours dispensés par un instructeur) sensibilise les managers à l'importance de la sécurité informatique.

Les entreprises tâchent de répondre aux attaques informatiques en mettant en place des structures de sécurité IT et des programmes de formation conformes. Mais est-ce suffisant ?

• Les connaissances que les salariés acquièrent dans le cadre des formations ont-elles réellement une influence sur leur comportement ? Ou la réponse est-elle ailleurs ?
• Faut-il sacrifier l’efficacité de l’entreprise pour atteindre un niveau de sécurité optimal ?
• Les agents de sécurité se sentent-ils en sous-effectif pour sensibiliser tout le monde à la sécurité informatique ?

La seule façon de faire face à ces défis est d’inciter les managers à promouvoir une culture de la sécurité informatique au sein de l’entreprise sans sacrifier l’efficacité.

Grâce aux Safety Games, les responsables acquièrent les connaissances, les compétences et les comportements indispensables pour assurer la sécurité de leur environnement de travail au sein de leur service :

• Compréhension : adoption en interne de mesures de cybersécurité essentielles et à la fois très simples
• Surveillance : perception du travail quotidien en gardant à l'esprit la cybersécurité
• Prise de décisions en matière de sécurité informatique : prise en compte de la sécurité informatique comme partie intégrante des processus métier
• Renforcement et inspiration : leadership d'influence et conseils utiles aux collaborateurs

Formation e-Learning pour tous les salariés

Il est important de s'appuyer sur des compétences et des connaissances, aussi l'accès à une plateforme en ligne est-il essentiel pour pouvoir travailler sur des scénarios et des situations types. Ce processus permet à son tour d'acquérir une meilleure compréhension des menaces potentielles et de la façon d’y faire face. L'apprentissage en ligne permet aux employés de s'entraîner et d'apprendre par l'intermédiaire d'un portail d'apprentissage interactif.

Modules de formation interactifs

• Stimulants et courts
• Basés sur des exercices marquants
• Auto-inscription pour la consolidation des compétences
• Plus de 20 modules couvrant tous les domaines de sécurité
• Modules structurés pour un micro-apprentissage (2 à 10 minutes)

Évaluation des connaissances

• Comprend des évaluations prédéfinies ou aléatoires, des questions définies par l'utilisateur ou personnalisables
• Divers domaines de sécurité traités
• Pas de triche grâce à une large bibliothèque de questions posées aléatoirement

Simulations d'attaques de phishing

• 3 types d'attaques par phishing de difficultés différentes, toutes basées sur des cas réels
• Des emails sont envoyés à chaque fois qu'un collaborateur ouvre un e-mail de phishing
• Modèles personnalisables
• Auto-inscription aux modules de formation pour tous les collaborateurs victimes de l'attaque simulée

Rapports et analyses

• Fournit des statistiques pour l'entreprise dans son ensemble ou par service, site, fonction et par niveau individuel
• Contrôle le niveau de compétences et la dynamique des collaborateurs
• Prend en charge l'exportation des données vers de nombreux formats ou vers le système de gestion de la formation

Méthode de mise en œuvre: un lancement rapide et un effet cumulatif

Vous trouverez ci-dessous un exemple de séquence de formations recommandée utilisant les produits Kaspersky Security Awareness. Nous fournissons à nos clients des instructions détaillées et une assistance méthodique afin de faciliter la mise en œuvre et la gestion de nos produits de formation et de garantir qu’ils apportent un maximum de valeur.