Noëmie Honoré, Auteur

TAMAM ou comment sensibiliser à la cybersécurité

Noëmie Honoré — Fri, 14 Mar 2025 07:01:49 +0000

Cet article est une republication initialement publiée sur le site wavestone.com le 26 janvier 2023.

Sensibiliser à la cybersécurité pour intégrer des comportements sûrs dans le quotidien

Pour que vos collaborateurs adoptent les bonnes pratiques en matière de cybersécurité, vous devez mettre en place un programme solide de sensibilisation à la cybersécurité, axé sur vos problématiques clés. Par le biais d’actions positives, concrètes et variées, il doit susciter leur engagement tout en respectant leurs particularités. Concrètement, il s’agit de mettre en place un programme qui répond à vos ambitions et qui vise à la fois :

Un changement de comportement efficace
Le développement d’une culture de la sécurité dans votre organisation

Pour vous aider à construire de la meilleure manière votre programme, nous avons développé une méthodologie : TAMAM.

TARGET : fixer des objectifs concrets et mesurables

AUDIENCE : adapter l’approche en fonction des personnes ciblées

MESSAGE : choisir un message concis, positif, qui appelle à l’action

ACTIONS : mettre en place des actions efficaces, concrètes et variées

MESURES : évaluer l’impact du programme sur les comportements

Cet article vous expose les principes, les enjeux et le rôle que TAMAM joue pour vous accompagner !

Mais posons tout d’abord quelques éléments de contexte quant à la sensibilisation à la cybersécurité…

Pourquoi cliquent-ils toujours sur ces e-mails de phishing ?!

Notre parcours de sensibilisation à la cybersécurité a commencé il y a plus de 15 ans. À l’époque, les choses étaient bien différentes. C’était l’époque des nouveaux programmes de sensibilisation, menés par des responsables de la cybersécurité nouvellement nommés, avec peu de moyens et pourtant un objectif clé : dire aux gens ce qu’ils doivent faire pour protéger les systèmes d’information. Rien de plus, rien de moins. C’était l’époque des 10 meilleures pratiques, des choses à faire et à ne pas faire, des formations de masse, etc.

Une fois énoncés, ces messages étaient considérés comme des connaissances communes et appliqués par tout le monde ; et c’est ainsi que la sensibilisation a été reléguée au second plan et n’était plus une priorité pour les responsables de la cybersécurité. C’était la période difficile de l’insuffisance et des coupes budgétaires.

Puis sont arrivés le nombre croissant de cyberattaques et le RGPD. Avec de nouveaux risques est apparu un nouvel appétit pour la sensibilisation et l’éducation des utilisateurs. La sensibilisation à la cybersécurité était de nouveau à l’ordre du jour, mais avec des moyens et des intérêts variables. Au fil des années, elle est restée parmi les sujets de cybersécurité, mais avec une grande variabilité entre les organisations en matière d’efficacité et d’efficience.

Et nous voici maintenant en 2023, et les mêmes questions demeurent : « J’ai tout essayé mais il y a encore des gens qui ne perçoivent pas les risques – que puis-je faire ? » ; « J’ai besoin de garder mes collaborateurs intéressés par le sujet, que pouvez-vous proposer de nouveau ? ». Au fond, ce que l’on constate, c’est simplement un manque de considération de l’efficacité du programme de sensibilisation : il semblait atteindre un plafond de verre. Des efforts ont été faits, des investissements ont été réalisés, mais peu de changements ont eu lieu. Pourquoi ? Parce que les efforts et les investissements sont vains s’ils ne visent pas à modifier efficacement les comportements et, en fin de compte, à instaurer une culture de la cybersécurité. Mais comment y parvenir ? C’est l’objet de cet article.

Comment impliquer tous vos collaborateurs dans la cybersécurité ?

Sur la base de ces éléments de contexte, nous avons élaboré une méthode pour construire un programme efficace de sensibilisation à la cybersécurité. Nous voulions que ce modèle soit personnalisable afin qu’il puisse être appliqué à chaque organisation, quels que soient sa taille, sa maturité, son budget ou sa culture. Il ne s’agit pas d’un modèle unique, mais d’une structure de base à adapter à chaque organisation.

Target

Comme pour tout, vous devez commencer par le “pourquoi”. Cela sert à définir les objectifs : une cible à atteindre, une vision de l’endroit où aller et un chemin pour y parvenir, ce qui est essentiel pour avoir une chance de réussir.

Ces objectifs doivent être ciblés sur vos batailles prioritaires, c’est-à-dire sur le changement que vous voulez voir dans votre organisation. Ils ne représentent pas seulement de bonnes intentions comme “sensibiliser mes employés”. Il s’agit de comportements précis que vous voulez voir tous les jours. Par exemple, si le phishing est l’une de vos principales préoccupations : “Comment éduquer mes employés à signaler les tentatives et les incidents de phishing ?”. Ainsi, vous voyez votre cible et le moyen de l’atteindre.

Des objectifs précis permettent également d’obtenir des résultats mesurables. Lorsque vous les définissez, vous retenez généralement les indicateurs clés de performance et les mesures que vous utiliserez pour évaluer leur succès. En règle générale, si vous êtes incapables de trouver une mesure pour votre objectif, cela signifie qu’il est plus illusoire que réalisable.

Enfin, vous vous devez de partager ces objectifs avec vos employés. De cette façon, vous les faites participer activement au changement de comportement que vous attendez d’eux. En leur donnant les règles du jeu, vous leur permettez de jouer et de gagner la partie avec vous, car la cybersécurité est un gain collectif.

Cette première étape est largement survolée, et rares sont les organisations qui prennent le temps nécessaire pour réfléchir à leur véritable cible en matière de sensibilisation à la cybersécurité. Pourtant, elle est le point de départ essentiel. Comme pour tout voyage : on ne peut atteindre la maison d’un ami que si l’on connaît son adresse.

Audience

Qui voulez-vous atteindre exactement ? Votre public, ce sont les personnes qui ont besoin de sensibilisation, de formation et d’éducation. Une identification claire de ce public vous aidera à définir une approche adéquate. Pour connaître leurs besoins, vous devez commencer par répartir les personnes en groupes – principalement en fonction de leur place dans l’organisation, de leur proximité avec le sujet, de leur exposition aux risques que vous voulez prévenir, de leur rôle, etc. Ces clusters peuvent regrouper les nouveaux arrivants, le personnel externe, les ambassadeurs locaux, le personnel informatique, etc.

Pour chacun de ces groupes, votre rôle sera d’évaluer leur niveau actuel de maîtrise des différents objectifs définis. Il s’agit en fait de réaliser un gap de compétences pour savoir quels sujets nécessitent plus d’attention. Ces informations seront essentielles pour adapter le programme aux besoins de ces personnes et à leur niveau actuel de maîtrise.

Message

C’est le moment de trouver cette phrase d’accroche qui restera dans la tête ! Les personnes à qui vous allez communiquer vos messages reçoivent de nombreuses autres sollicitations pour diverses causes (RSE, règles, valeurs, etc.). D’où l’importance de sélectionner judicieusement vos messages et de rester concis. Le temps et l’attention disponibles sont limités, c’est pourquoi il est préférable de sélectionner quelques messages qui abordent les risques clés et les objectifs importants.

Le ton utilisé est aussi crucial car il doit être adapté à la culture organisationnelle : les messages drôles fonctionnent dans certains environnements, tandis que les messages sérieux fonctionnent mieux dans d’autres. Quel que soit le ton utilisé, les messages devront être positifs et appeler à l’action. Oubliez les injonctions négatives (“ne pas”) et adoptez les actions positives (“agir”).

Avec ces trois premières étapes en tête (Target, Audience et Message), vous avez la base de votre programme de sensibilisation à la cybersécurité : vous savez ce que vous voulez dire, à qui, afin d’atteindre des comportements définis.

Actions

Il est temps d’identifier les actions que vous allez pouvoir mettre en place dans ce cadre. Ici, il faut rester concentrés et pragmatiques, et penser à l’efficacité de l’action choisie pour atteindre vos objectifs. La créativité et l’innovation sont sûrement importantes pour maintenir une certaine motivation, mais elles ne constituent pas le seul facteur de réussite. Pour que les collaborateurs soient impliqués dans leur apprentissage, la cybersécurité doit être concrète : cela passe par des activités ou cas d’application qui les rapprochent de leur vie quotidienne.

Une fois les actions identifiées, la manière dont elles sont mises en œuvre est également essentielle. Les ressources, les personnes et l’organisation doivent être adéquates pour faire passer les messages sélectionnés.

Qui en est le porteur ? Interne ou externe ?
Comment peuvent-ils être répétés de manière différente (stimulus pratique, visuel, oral, etc.) ?
Sous quels angles et avec quelles activités aborder ces questions pour sensibiliser les collaborateurs de la manière la plus adéquate ?

En bref, avec quelques messages, il vous faut construire différentes activités, à différents moments, avec différentes approches, pour ancrer ces comportements dans leur vie quotidienne.

Mesures

Enfin, l’ensemble de ce programme doit être évalué : a-t-il réellement permis de changer les comportements des collaborateurs ? C’est nécessaire pour la Direction qui demandera de voir la valeur apportée à son investissement, mais aussi pour l’équipe de sensibilisation qui voudra montrer les résultats tangibles de ses efforts.

Dans votre démarche de sensibilisation, vous devez vous concentrer sur son efficacité, au-delà de la mise en œuvre elle-même. Trop souvent, les organisations se concentrent sur le nombre d’activités réalisées ou le nombre de personnes touchées par le programme. Mais ces chiffres permettent rarement de comprendre le changement de comportement qui s’opère (ou non).

Pour élaborer votre plan d’évaluation, et afin d’obtenir une compréhension globale de la réalisation de vos objectifs, il est pertinent d’utiliser à la fois des mesures quantitatives et des retours qualitatifs de la part des collaborateurs. Cela nécessitera peut-être de nouvelles méthodes de collecte de ces informations – comme l’implication du service d’assistance, ou même l’obtention de nouvelles données du SOC (Security Operations Center) – mais le résultat apportera une valeur considérable à votre programme. En effet, cette évaluation vous permettra de le revoir et de le maintenir continuellement adapté à vos objectifs, qui peuvent également faire l’objet d’adaptations si le contexte organisationnel change.

Une dernière chose. Si vous voulez créez de l’engouement autour de la sensibilisation à la cybersécurité : communiquez vos réalisations et célébrez les victoires ! Vous le méritez.

Prenez la première lettre de ces 5 principes et vous obtenez TAMAM. Ce n’est pas un hasard si ce mot se traduit par “tout va bien” en turc. TAMAM, c’est ce que vous attendez de vos collaborateurs : qu’ils soient alignés avec vos objectifs et partants pour vous suivre vers de bonnes pratiques cyber et des comportements plus sûrs.

Par où commencer ?

Maintenant que vous avez une meilleure compréhension des différentes étapes pour construire un programme solide de sensibilisation à la cybersécurité, vous vous posez peut-être les questions suivantes : où en suis-je et comment parvenir à mettre en place un tel programme au sein de mon organisation ?

Pour commencer, il faut probablement prendre du recul pour examiner votre niveau de maturité actuel en matière de sensibilisation à la cybersécurité. Pour gagner en maturité, vous devrez avoir une compréhension claire et honnête de la manière dont votre organisation aborde ce sujet.

Quoiqu’il en soit, la puissance du TAMAM réside dans sa capacité à être utilisé quel que soit votre niveau de maturité, car ses principes sont adaptables à de nombreuses situations.

TAMAM : vous vous lancez ?

Quand vous utilisez TAMAM, vous :

Posez un objectif clair et précis à atteindre
Adaptez l’approche en fonction des besoins des différents publics
Définissez les quelques messages à communiquer sur ces objectifs
Sélectionnez la meilleure façon de communiquer ces messages par des activités efficaces
Évaluez cette efficacité afin d’adapter l’approche et affiner le programme

Cet article n’est qu’un aperçu de ce que TAMAM peut apporter à votre programme de sensibilisation à la cybersécurité. Contactez-nous pour comprendre comment notre méthode peut vous aider à renforcer vos efforts de sensibilisation !

Contactez-nous

Cet article TAMAM ou comment sensibiliser à la cybersécurité est apparu en premier sur RiskInsight.

Shake’Up et Les Echos lancent la 1ère édition de leur Prix « Women Entrepreneurs in Tech »

Noëmie Honoré — Tue, 14 Jan 2025 13:40:53 +0000

Shake’Up, l’accélérateur de start-ups de Wavestone est heureux de présenter la première édition du prix « Women Entrepreneurs in Tech ». Conçu et piloté conjointement avec le journal français Les Echos, ce prix sera décerné le 5 mars 2025. L’objectif est de mettre en lumière l’une des femmes qui façonne ou contribue activement au paysage technologique européen (au sens géographique du terme). Pour cette première édition, c’est une fondatrice ou directrice de startup ou de scale-up du monde de la Cyber qui se verra offrir un accompagnement personnalisé de la part de Shake ‘Up, ainsi qu’une promotion dans le journal Les Echos.

Pourquoi lancer le prix « Women Entrepreneurs in Tech » ?

Le prix « Women Entrepreneurs in Tech » a pour objectif de mettre en avant la dirigeante ou fondatrice d’une start-up ou scale-up. En particulier, nous recherchons des startups B2B ou B2B2C qui démontrent un fort potentiel d’innovation et que Shake’Up pourrait accompagner dans son développement.

« En lançant ce prix ‘Women Entrepreneurs in Tech’, les équipes de Shake’Up ont souhaité mettre en avant l’ADN technologique du cabinet et contribuer à son engagement RSE en faveur de l’égalité femmes-hommes », explique Mathilde Peyret, co-responsable de l’actif Shake’Up du cabinet.

Pour assurer le meilleur sourcing possible, outre les start-ups et scale-ups de notre base (issue de nos Radars, Appels à projets et Screening Vivatech), nous nous appuierons sur nos différents partenaires (BPI, France Digitale…) ainsi que sur le vaste réseau du journal Les Echos. Et, bien sûr, sur vos suggestions !

Une 1ère édition dédiée à la Cyber

Pour cette première édition, nous avons décidé de nous concentrer sur le thème de la cybersécurité, sur un périmètre européen (voir critères précis en bas de l’article). Noëmie Honoré, responsable du bureau belge de Wavestone, très engagée sur le thème des « Femmes dans le Cyber », s’est imposée naturellement pour parrainer cette initiative aux côtés de Charlie Perreau, cheffe du service Tech-Médias-Start-up des Echos.

La lauréate sera sélectionnée par un jury composé de deux membres de Wavestone (Gérôme Billois et Noémie Honoré) et de deux journalistes clés des Echos (Charlie Perreau et Florian Debes) qui évaluera notamment la qualité du projet, la pertinence de la solution par rapport aux besoins du marché et l’adéquation de la start-up/scale-up par rapport à l’accompagnement que pourrait lui offrir Shake’ Up.

La cérémonie de remise du Prix aura lieu le 5 mars dans les locaux de Wavestone à La Défense en présence des partenaires du cabinet et d’associations du monde de la Cyber. L’une des cinq finalistes conviées pour l’occasion se verra décerner le prix.

Comment candidater ?

Vous êtes une femme entrepreneure dans le monde de la Cyber et votre organisation répond aux critères de sélection ? N’hésitez pas à nous soumettre votre candidature via ce formulaire :

Cliquez ici pour soumettre une candidate

Critères de sélection du prix

Le prix sera décerné à une (co)fondatrice ou (co)dirigeante de startup ou scale-up cyber européenne (Europe au sens géographique)

Les startups et les scale-ups doivent disposer d’un siège social en Europe et la vente de produit de sécurité doit représenter au minimum 50% de leur chiffre d’affaires.

Les startups ont moins de 7 ans d’existence et un nombre d’employés inférieur à 35.

Les scale-ups, quant à elles, doivent premièrement répondre à une des deux conditions financières suivantes :

Soit avoir perçu un financement sur 3 ans par levées de fonds d’au moins 10M€ en une fois
Soit disposer d’un CA d’au moins 2.5M€ et une croissance annuelle supérieure à 25% durant les 3 derniers exercices fiscaux, sur chaque exercice.

Cette condition financière doit être couplé à une taille d’effectif consolidé de moins de 250 employés.

Si l’entreprise est liée à une autre (détention à plus de 25%) cette consolidation est la combinaison de son effectif propre et :

Si détention entre 25% et 50%, ajout de l’effectif de la société détentrice calculé au prorata de la détention.
Si détention au-delà de 50%, ajout de l’effectif complet de la société détentrice.

A propos de Shake’Up

Depuis son lancement en 2016, Shake’Up a pour objectif d’accompagner nos équipes à connaître les offres, solutions et innovations issues de l’écosystème start-up afin d’apporter de la valeur à nos clients. Jusqu’à présent, Shake’Up a accompagné 50 entreprises, parmi lesquelles Yuka, Phoenix Mobility, Isahit, Olvid, Hackuity ou encore Néolithe.

A propos de Les Echos :

Créé en 1908, Les Echos est aujourd’hui le leader de l’information économique en France. La marque accompagne les décideurs et les entrepreneurs pour qu’ils prennent toujours un temps d’avance. Elle leur propose, chaque jour, une vision globale des événements du monde et de l’économie. Elle décrypte les stratégies d’entreprises et captent les grandes tendances émergentes. Elle anime le débat public avec une pluralité d’opinions et de contributions pour une économie responsable. Les Echos touche 9 millions de lecteurs par mois

Cet article Shake’Up et Les Echos lancent la 1ère édition de leur Prix « Women Entrepreneurs in Tech » est apparu en premier sur RiskInsight.

Naviguer dans le labyrinthe de la gestion des talents en cybersécurité : un guide pour les passionnés de la gestion des talents

Noëmie Honoré — Mon, 02 Sep 2024 08:00:00 +0000

Êtes-vous un CISO, un Talent Manager ou un spécialiste de la cybersécurité ayant pour défi de recruter et de retenir des talents qualifiés en cybersécurité ? Vous n’êtes pas seul.

Le recrutement en cybersécurité devient de plus en plus difficile, avec 4 millions de postes actuellement vacants, soit une augmentation de 13 % par rapport à 2022 (ISC2 2023). Comme l’ont confirmé des études au cours des trois dernières années, ce défi ne fait que s’aggraver, laissant les CISO en difficulté pour recruter, manager et retenir des professionnels qualifiés. Diversifier le vivier de talents est également une priorité, les femmes ne représentant que 25 % du personnel cyber.

Chez Wavestone, nous suivons activement ce sujet et avons développé un benchmark pour évaluer le niveau de maturité des entreprises sur ce sujet. Avec des données provenant de plus de 20 organisations, nous sommes prêts à partager nos idées et observations.

Dans cet article, nous allons plonger dans les résultats et nous concentrer sur des sujets clés tels que le « career path », le recrutement, les formations et les plans de rétention. Et pour ceux qui resteront jusqu’à la fin, une petite surprise vous attend.

Si vous êtes un CISO à la recherche de solutions pratiques ou simplement intéressé par la gestion des talents en cybersécurité, cet article est pour vous. Relevons ensemble ce défi !

Un Score Global de Maturité de 45% en Gestion des Talents en Cybersécurité

Le niveau actuel de maturité en gestion des talents en cybersécurité est de 45 %, ce qui indique une marge d’amélioration significative dans ce domaine émergent. L’écart entre les scores les plus bas et les plus élevés varie de 27 % à 62 %.

Sur une note positive, il existe des performances solides dans chaque domaine, ce qui suggère que les entreprises peuvent tirer parti du partage des meilleures pratiques. L’objectif ultime est de constituer des équipes de cybersécurité compétentes et résilientes.

Le secteur de l’énergie a le niveau de maturité le plus élevé, tandis que le secteur public et les institutions ont le niveau le plus bas. Le graphique ci-dessus compare les niveaux de maturité de divers secteurs sur une échelle de 0 à 100 %. Les secteurs incluent l’énergie (58,2), le luxe et la vente au détail (52,4), les services (50), les finances (45,9), l’industrie (47,2) et le secteur public et les institutions (36,1).

Développer un Career Path pour Offrir des Perspectives de Croissance aux Talents

Le domaine de la cybersécurité fait face à une pénurie évidente de talents. En 2023, 4 millions de postes en cybersécurité étaient vacants, et ce chiffre continue d’augmenter. Les organisations ont un véritable défi à relever pour retenir leurs talents en cybersécurité et en attirer de nouveaux. Pourtant, un « career path » bien défini pourrait les y aider. Du point de vue des ressources humaines, il permet aux individus de prendre en charge leur propre développement, sert de cadre pour l’auto-évaluation des compétences et des axes de développement, et soutient l’épanouissement personnel. Cependant, la mise en place d’un « career path » efficace nécessite une planification minutieuse et peut prendre plus d’un an à être implémenté.

Lors de nos entretiens avec des CISO et des Talent Managers en cybersécurité, nous avons observé que bien que 66 % des organisations aient lancé des initiatives pour construire leur premier « career path » en cybersécurité, ces efforts ne sont pas encore pleinement matérialisés.

Voici des conseils d’organisations leaders sur le marché…

Référentiel métiers : développez une liste détaillée de tous les rôles en cybersécurité, incluant les responsabilités et les exigences.
Cartographie des compétences : identifiez les compétences essentielles pour chaque rôle et créez une matrice des compétences pour repérer les lacunes et les besoins futurs.
Catalogue et cartographie des formations : alignez les programmes de formation avec les rôles ou les compétences spécifiques pour s’assurer que les employés soient bien préparés à exceller dans leurs rôles.

Exemple concret basé sur une mission client…

Dans un projet client, après plusieurs phases de revues et d’ateliers sur les référentiels métiers et compétences en cybersécurité, nous avons identifié 11 nouvelles compétences en cybersécurité et 6 nouveaux métiers en cybersécurité, et les avons intégrés dans les référentiels. Cela a ensuite conduit à la création d’un premier « career path » dédié à la division cybersécurité.

Un « career path » bien défini est la pierre angulaire de la gestion des talents et représente un avantage stratégique pour les organisations en matière de rétention et d’attraction des talents, incitant de nombreuses entreprises à passer à l’action.

Conseils pour Diversifier Votre Pool de Recrutement

Le pool de talents en cybersécurité est à la fois limité et peu diversifié, ce qui rend le recrutement un défi crucial pour les organisations. Bien que les femmes représentent 50 % de la population mondiale, elles ne constituent que 25 % des professionnels de la cybersécurité (ISC2 2023). Cela souligne le besoin urgent de stratégies de recrutement plus inclusives.

De nos jours, les descriptions de poste traditionnelles exigent souvent trop, dissuadant ainsi les candidates potentielles. Seules 27 % des organisations les ont adaptées. Les études montrent que les hommes postulent s’ils remplissent 60 % des critères, tandis que les femmes attendent souvent de répondre à 100 % des exigences. Réécrire les descriptions pour les rendre plus inclusives, avec l’apport de relectrices, peut élargir leur attrait.

De plus, peu d’entreprises se concentrent sur l’image de marque interne (5 %) ou externe (22 %), alors que ces stratégies fonctionnent. Une image de marque transparente et une communication claire peuvent contribuer à démystifier les rôles en cybersécurité, attirer un pool de talents plus diversifié et renforcer la mobilité interne, faisant d’elles des outils de recrutement précieux.

Voici des conseils d’organisations leaders sur le marché…

Descriptions de poste : créez ou révisez les descriptions de poste pour qu’elles soient accessibles et inclusives. Et n’oubliez pas de vérifier que vous ne demandez pas 10 certifications .
- Relecture par une femme : faites relire les descriptions de poste par une employée pour garantir leur inclusivité.
Stratégie de marque interne et externe : développez une marque qui met l’accent sur la diversité et l’inclusivité, collaborez avec des universités, des associations, et utilisez des modèles féminins pour promouvoir la cybersécurité.
Formation au recrutement : formez votre équipe aux méthodes de recrutement inclusives pour améliorer la diversité.

Offrir des formations pour réduire les écarts de compétences au sein de votre organisation

Les écarts de compétences en cybersécurité sont un problème majeur, 92 % des professionnels signalant des lacunes et 75 % trouvant le paysage cyber actuel plus menaçant que jamais (ISC2, 2023).

Notre benchmark montre que seulement 33 % des entreprises disposent d’un catalogue de formations cartographié selon les compétences, et 94 % abordent la formation de manière réactive, en fonction de la demande. Cette approche réactive peut entraîner des loupés pour un développement proactif des compétences. Une formation efficace est essentielle pour doter les employés des compétences nécessaires pour faire face aux menaces et aux tendances en constante évolution de la cybersécurité.

Voici des conseils d’organisations leaders sur le marché…

Catalogue de formations : créez un catalogue de formations détaillé qui s’aligne sur les compétences et les rôles en cybersécurité, en utilisant diverses plateformes d’apprentissage (par exemple, Pluralsight, LinkedIn Learning, MOOC gratuits sur le site du centre national de compétences, etc.).
Allocation de temps et de budget : consacrez du temps et un budget spécifique à la formation des employés pour montrer l’engagement de l’organisation envers l’apprentissage continu et le développement des compétences.

Exemples concrets basés sur une mission client…

Parcours de formation automatisés : mise en place d’un outil automatisé capable de générer des parcours de formation personnalisés en fonction des besoins et du niveau de compétences des employés.
Catalogue de formation consolidé : un catalogue de formation unifié, cartographié selon les 17 nouvelles compétences en cybersécurité et 16 nouveaux rôles en cybersécurité, offrant une feuille de route claire pour le développement des employés.

Améliorer la Rétention Grâce à une Collaboration Efficace avec les Ressources Humaines

Collaborer étroitement avec l’équipe des ressources humaines pour créer un plan de rétention solide est essentiel pour le succès de l’organisation. Bien que de nombreuses entreprises disposent de processus pour soutenir le développement des talents, ceux-ci ne sont souvent pas formalisés, ce qui provoque des difficultés dans la gestion quotidienne.

Les organisations doivent commencer par évaluer les compétences et les forces uniques de chaque membre de l’équipe et déterminer comment les utiliser au mieux pour atteindre les objectifs de l’organisation. La réalisation d’entretiens individuels est précieuse à cet égard. Les managers peuvent ainsi obtenir des informations sur le stade de carrière actuel de chaque employé et ses aspirations futures. Ces informations permettent de concevoir des plans de développement personnalisés alignés sur leurs objectifs.

Cependant, il est important de se rappeler qu’un plan de rétention n’est pas une solution unique. Il doit être flexible et adaptable, capable d’évoluer en fonction des besoins changeants de votre équipe et du paysage de la cybersécurité. En travaillant avec les ressources humaines pour mettre en œuvre un plan sur mesure et adaptable, vous vous assurez que vos talents en cybersécurité se sentent valorisés, motivés et engagés. N’oubliez pas qu’une rétention efficace est tout aussi cruciale que l’attraction des meilleurs talents, alors faites de la collaboration stratégique avec les ressources humaines un élément clé de votre stratégie de gestion des talents.

Voici des conseils d’organisations leaders sur le marché…

Pilotage de la rétention des employés : consacrez du temps à définir vos objectifs de rétention, vos KPI et des actions concrètes. Une seule organisation a mis en place un moment de leadership trimestriel (1 jour par trimestre) pour se concentrer sur les individus et discuter de l’évolution de l’équipe.
Évaluations des talents : consacrez du temps (entretien annuel) pour créer une relation de confiance et évaluer les compétences, la performance et le potentiel des professionnels de la cybersécurité. Seules 5 % des entreprises ont intégré ce processus dans leur stratégie de gestion des talents en cybersécurité.

Framework A²BCⁿ : Un Framework pour Prendre Soin de vos Talents et Sécuriser votre Organisation

En conclusion, prendre soin des talents est essentiel pour sécuriser votre organisation. Le framework A²BCⁿ offre une approche structurée pour y parvenir. En se concentrant sur l’évaluation et l’attraction des talents, la construction de la confiance avec vos talents, et le soin et le développement de votre équipe, cette approche mixte, combinant des stratégies de cybersécurité et de ressources humaines, garantit une équipe efficace et résiliente, prête à relever les défis de demain.

Cet article Naviguer dans le labyrinthe de la gestion des talents en cybersécurité : un guide pour les passionnés de la gestion des talents est apparu en premier sur RiskInsight.

La Quête des Ecureuils Violets de la Cybersécurité : Comment les Trouver et les Garder

Noëmie Honoré — Fri, 22 Dec 2023 13:34:45 +0000

« Pénurie de talents », « déficit de compétences », « épuisement des employés en cybersécurité », « taux de turnover élevé » : en tant que professionnel de la cybersécurité, ces expressions vous sont certainement familières, pour le meilleur ou pour le pire.

Vous avez peut-être vu les grands titres soulignant les problèmes de pénurie de talents dans les dernières nouvelles – il ne s’agit malheureusement pas d’une « fake news ». La guerre des talents existe réellement sur le marché de la cybersécurité. Au cours des derniers mois, nous avons lu de nombreux articles, documents académiques, rapports sur ce sujet émergent ; nous avons discuté avec des RSSI et des Talent Managers (un vrai travail à plein temps !) et les 3 principaux défis restent les mêmes : comment recruter, manager et cultiver nos talents ?

Dans cet article, nous avons rassemblé les différentes situations, nos observations et les premières leçons que nous pouvons tirer des actions mises en place pour relever ces défis.

Prenez le temps d’analyser les forces et les faiblesses de votre équipe afin d’identifier les compétences complémentaires que vous devez rechercher…

Au-delà de combler les rôles, il est essentiel d’avoir une vision stratégique des compétences pour mettre en place une division cyber pérenne. À ce stade, votre mantra doit être le suivant : « Recruter les bonnes personnes pour aujourd’hui… et pour demain ».

Lorsque les compétences des personnes correspondent à leur rôle, les tâches sont exécutées efficacement et chacun contribue à une organisation plus cyber sécurisée. Je doute que quelqu’un me contredise sur ce point, mais c’est souvent plus facile à dire qu’à faire.

Voici les premières questions que vous pouvez vous poser pour avancer dans la bonne direction…

Savez-vous ce dont vous avez besoin ? Avez-vous défini toutes les activités cyber que vous devez couvrir ? Avez-vous défini votre stratégie « faire ou acheter » (internalisation ou externalisation) ? Avez-vous identifié les compétences et les personnes nécessaires pour mener à bien ces activités ?

Il s’agit d’une liste non exhaustive de questions que vous devriez vous poser en tant qu’organisation pour mieux cerner vos besoins et connaître vos collaborateurs avant de lancer une feuille de route d’actions.

Il est important de connaître ses besoins et son équipe pour plusieurs raisons : (1) aider à la répartition des tâches : auparavant, les équipes cyber étaient plus petites, et la polyvalence était donc cruciale. Aujourd’hui, les équipes sont plus grandes rendant possible la spécialisation et facilitent l’optimisation des compétences complémentaires (2) aider à identifier les formations et les axes de développement : avoir une vision claire de votre équipe et de ses activités vous aide à identifier les lacunes en matière de compétences et à fournir les opportunités de formation et de développement appropriées aux personnes qui en ont le plus besoin. Avec les compétences manquantes identifiées d’une part, et les besoins identifiés d’autre part, vous pouvez commencer à rechercher vos candidats idéaux grâce à une offre d’emploi qui en dit long (mais ne cherchez pas d’écureuils violets, ils n’existent pas) !

Gardez un œil sur les prochains « insights et focus » sur le sujet des descriptions des emplois cyber !

Cultiver l’équipe aujourd’hui, attirer demain : La recette pour des équipes cyber durables

Il s’agit d’expliquer concrètement ce qu’est la cybersécurité et quelles sont ses activités. #transparence

D’après les discussions avec les RSSI et les talent Managers, la transparence sur la description du poste fonctionne et donne aux gens un sentiment d’appartenance et d’utilité, ce qui favorise un meilleur travail d’équipe.

Permettez-nous de vous présenter quelques actions concrètes et faciles à mettre en œuvre pour faire avancer les choses :

Promouvoir en interne les métiers de la cybersécurité et les personnes qui les exercent : en expliquant concrètement ce que ça signifie de travailler dans la cybersécurité, quels sont les postes disponibles et ce que font réellement les personnes concernées, vous pouvez inciter les gens à rejoindre votre équipe, accroître la mobilité interne, renforcer le sentiment d’appartenance à la division cyber et donner une perspective à votre équipe.
Promouvoir vos activités de cybersécurité à l’extérieur : faites-vous connaître en participant à des communautés cyber et à des conférences importantes (événements scolaires, collaborations avec des universités, des instituts de recherche ou des organisations, etc.)
- Organiser/participer à des ateliers de upskilling/reskilling (compétences transférables).
- Incluez des personnes inspirantes dans votre processus de recrutement et votre image de marque (comme le CISO, le chef d’équipe, etc.).

La cybersécurité reste un sujet obscur pour les personnes extérieures à l’écosystème. Pour y remédier, chacun/chacune doit commencer par expliquer ce qu’il/elle fait.

Maîtriser l’art de prendre soin de son équipe

Vous devez maintenant savoir que c’est un réel atout de savoir qui est votre équipe, qui sont vos collaborateurs, de qui vous avez réellement besoin pour mener les activités, pour avoir une bonne image de marque afin d’attirer les gens. Mais ce qui fera la différence sur le long-terme, c’est de prendre soin de vos collaborateurs en leur offrant un environnement de travail bienveillant et des perspectives d’évolution. Quand ce qui va suivre est clair, il est plus facile pour les collaborateurs de se projeter dans l’entreprise dans les années à venir.

Et avant de s’occuper de leur équipe, les RSSI doivent également prendre soin d’eux-mêmes. 40 % des RSSI déclarent subir un « stress élevé » au quotidien et 28 % d’entre eux sont proches du burn-out (Cyber Workforce Study, ISC²). Il est difficile de s’occuper des autres si l’on ne s’occupe pas d’abord de soi…

Pour éviter cela, les RSSI doivent établir une relation de confiance avec leur direction générale afin de pouvoir définir les objectifs stratégiques, prioriser les activités, obtenir les ressources, etc. Et il est essentiel de savoir s’entourer de personnes de confiance pour déléguer les tâches et créer une stratégie opérationnelle efficace.

Le recrutement n’est que le début du voyage ; le développement est l’objectif ultime. Néanmoins, les organisations ont tendance à oublier (négliger) ce dernier point, qui est peut-être le plus important. C’est comme obtenir une certification ISO 27001, assez facile (bien sûr, cela demande du travail !), mais la maintenir, c’est la vraie affaire.

Pour donner des perspectives aux membres de l’équipe, il faut établir des parcours de carrière avec leurs « passerelles » et les moyens disponibles pour évoluer dans ces parcours : compétences requises par poste et étapes clés, catalogue de formation, mobilités internes, processus d’évaluation personnalisé, etc.

Cultiver vos talents, c’est les aider à se développer et renforcer leurs compétences/capacités par des formations, du travail en équipe ou avec des communautés cyber, leur donner des perspectives d’évolution/croissance au sein de votre entreprise. En tant qu’être humain, nous avons besoin de savoir où nous en sommes et où nous allons, nous avons besoin d’une vision qui soit un élan motivateur (dans notre vie #existentialcrises).

Si nous prenons l’exemple de la pyramide des besoins de Maslow, les gens ont besoin d’avoir un sentiment d’appartenance et de se sentir utiles. Cultiver les talents, c’est donc aussi créer un « esprit d’équipe » par le biais de rituels. Ce n’est un secret pour personne qu’un environnement/une atmosphère de travail convivial(e) est un critère crucial dans le choix d’un emploi et peut augmenter la productivité des gens de 12 % (Université de Warwick, Royaume-Uni), en particulier pour les jeunes d’aujourd’hui.

Donner une perspective de croissance/évolution est essentiel, surtout pour les experts. De nombreuses organisations considèrent encore le management comme la seule voie de réussite, mais dans certains secteurs comme l’industrie, nous pouvons observer un changement. L’expertise est de plus en plus appréciée et valorisée comme une voie de réussite alternative au management ; certains peuvent combiner les deux, mais ce n’est pas une nécessité. C’est pourquoi les cercles d’expertise sont essentiels pour reconnaître les experts à l’intérieur et à l’extérieur de leur organisation – en leur donnant la possibilité d’assister à des événements cyber spécifiques qui peuvent également leur permettre de développer leur réseau et d’acquérir davantage de compétences.

En résumé, attirer et cultiver les talents prend du temps, et le recrutement des talents devient un élément central dans les stratégies d’entreprise. En embrassant la diversité et en promouvant l’égalité des sexes, nous nous aventurons dans de nouvelles dimensions pour construire des équipes solides, avisées et résilientes.

Nous aimerions ouvrir le secteur de la cybersécurité à ceux/celles qui ne le connaissent pas, à favoriser la diversité et à créer des vocations. Tendons la main aux gens et n’attendons pas qu’ils/elles viennent à nous.

Nous avons créé un outil de benchmark pour explorer ce sujet aux multiples facettes (avec des recherches encore en cours) et évaluer la maturité des organisations. N’hésitez pas à nous contacter si vous souhaitez y participer ! Nous serions ravis de partager avec vous les bonnes idées que nous avons recueillies sur le marché… et les pièges à éviter.

Les licornes (ne vous méprenez pas, je ne parle pas des start-ups), les écureuils violets, les Ninja, les Rockstars, n’existent pas mais si nous combinons des profils divers, nous pouvons obtenir cette équipe hautement qualifiée !

Cet article La Quête des Ecureuils Violets de la Cybersécurité : Comment les Trouver et les Garder est apparu en premier sur RiskInsight.

Comment activer la gamification pour un Mois Européen de la Cybersécurité percutant

Noëmie Honoré — Fri, 22 Sep 2023 15:00:00 +0000

Le Mois Européen de la Cybersécurité est à la sensibilisation à la cybersécurité ce que les Jeux olympiques sont au sport : le moment de briller, avec tous les yeux braqués sur vous.

Étant donné que le risque humain reste important, l’erreur humaine étant à l’origine de 82 % des violations de données selon le rapport 2022 Verizon Data Breach Investigations Report, il n’est pas étonnant que les RSSI des organisations européennes cherchent à mettre en place les activités les plus innovantes pendant cette période cruciale de l’année.

Une fois que les principaux risques ont été identifiés, il est temps de passer à l’action : diffuser les comportements de sécurité prioritaires dans toute l’organisation en utilisant le moyen ultime : la gamification.

Ne pas jouer, c’est échouer au Mois Européen de la Cybersécurité

Des matchs de football aux batailles de Monopoly, il y a un jeu pour tout le monde, et quel que soit celui que l’on préfère, il suscite toujours l’enthousiasme.

Il est donc logique que, lorsqu’ils ont l’occasion d’apprendre des comportements de sécurité, les employés préfèrent un jeu à une formation en ligne qu’ils devront – avouons-le – suivre péniblement.

La gamification est gagnante, et bien qu’il y ait de nombreuses raisons expliquant ce fait, nous avons sélectionné sept exemples frappants qui mettront en lumière les avantages que la gamification présente dans un environnement d’apprentissage.

La gamification augmente considérablement l’engagement

Pour se sentir impliqué dans une activité, et donc atteindre le Saint Graal de l’attention, l’interactivité est essentielle.

Les jeux exigent une action de la part du participant, ce qui transforme ce dernier en un rouage mobile de son propre processus d’apprentissage.

En outre, l’élément de compétition présent dans les jeux, que ce soit entre équipes ou contre un méchant fictif, est un puissant facteur de motivation qui favorise encore davantage l’engagement.

La pratique l’emporte sur la théorie dans un contexte d’apprentissage

La pratique représente 70 % du processus d’apprentissage. Pourquoi ? Parce que la pratique permet de rendre les enseignements tangibles et de les intégrer dans des situations réelles, que les employés peuvent directement lier à leurs pratiques quotidiennes.

Les feedbacks et récompenses stimulent les comportements positifs

Les jeux impliquent des prix et des récompenses à gagner.

Non seulement ils contribuent à stimuler la motivation, mais ils permettent également aux employés d’obtenir un retour d’information positif direct sur leurs actions et leurs décisions, qui s’accompagne d’un sentiment d’accomplissement et de progrès, ce qui renforce encore le comportement de sécurité visé.

Les jeux accroissent la visibilité de votre équipe de cybersécurité

Les jeux de sensibilisation à la cybersécurité ont le pouvoir de modifier la perception qu’a le personnel de votre équipe de cybersécurité. En effet, la cybersécurité peut sembler un domaine obscur et complexe pour de nombreux employés.

Proposer des jeux permet de rendre les concepts de sécurité plus tangibles, plus accessibles et plus applicables dans la vie de tous les jours.

De plus, s’ils sont organisés en présentiel, ils permettent à votre de cybersécurité de gagner en visibilité auprès des membres du personnel et de susciter un sentiment de reconnaissance et de confiance qui, à son tour, renforcera l’impact des futures actions de sensibilisation.

Apprendre ensemble renforce la cohésion d’équipe

Comme si apprendre plus efficacement ne suffisait pas, la gamification offre également le précieux avantage de stimuler l’esprit d’équipe.

De nombreux jeux de sensibilisation offrent la possibilité de travailler en collaboration pour atteindre le succès. Ainsi, les employés repartent avec de bons souvenirs et de la reconnaissance pour cet agréable moment, en plus de précieux conseils de sécurité.

Les jeux permettent de répéter les messages de sécurité de manière originale et amusante

Lorsqu’il s’agit d’ancrer des comportements de sécurité dans une organisation, la répétition est cruciale pour assurer leur intégration et mise en œuvre.

Cependant, la répétition des communications de sensibilisation par les mêmes canaux peut diminuer l’attention que les employés leur accordent.

Les jeux constituent une expérience innovante et agréable pour renforcer les messages de sécurité et les rendre plus percutants au fil du temps.

Bonus : vous recueillez des informations et des commentaires précieux de la part des utilisateurs finaux

En interagissant avec le personnel par le biais de jeux de sensibilisation, votre équipe de cybersécurité a l’occasion unique de recueillir des informations sur les questions de sécurité les plus urgentes que se posent les employés et de découvrir quels sont leurs plus grands défis en termes de sécurité dans leurs activités quotidiennes. Ce retour d’information permet ensuite d’établir des priorités pour les futurs messages de sensibilisation et de revoir ou de mettre en œuvre des processus destinés à faciliter la vie des employés. Par exemple, si le personnel exprime à plusieurs reprises voir des e-mails suspects mais ne pas savoir pas comment les signaler, cela peut conduire à une campagne de sensibilisation spéciale destinée à rappeler aux employés comment signaler les e-mails d’hameçonnage, et à la mise en place d’un bouton de signalement d’hameçonnage pour faciliter le processus de signalement.

Tirer parti de la gamification : Les incontournables pour organiser des jeux de sensibilisation réussis

Avant d’établir les facteurs de succès d’un jeu de sensibilisation, précisons ce qui fait qu’un jeu est fructueux.

Pour être réellement efficace, un jeu de sensibilisation doit permettre aux participants de quitter l’activité avec une idée claire des comportements de sécurité qu’ils modifieront dans leur propre vie professionnelle.

Pour atteindre cet objectif, nous avons identifié un ensemble de cinq critères clés :

Un jeu solide couvrira un sujet de sensibilisation prioritaire, basé sur les risques identifiés pour l’organisation et priorisés en conséquence.

Il faut ensuite trouver le juste niveau de complexité, en fonction du niveau de connaissance de votre personnel.

Le personnel qui a déjà un niveau élevé de maturité en termes de comportements de sécurité – au mieux – n’apprendra rien de nouveau au cours d’un jeu facile, et – au pire – s’ennuiera ou en voudra à l’équipe de sensibilisation à la sécurité d’avoir pris une partie de son temps de travail pour couvrir des éléments qu’il connaît déjà.

Le scénario inverse serait également problématique : confronter le personnel débutant à un jeu difficile ne ferait que le désorienter.

Il est donc essentiel de connaître le niveau de maturité de votre public cible en matière de sécurité pour adapter le jeu et obtenir des résultats optimaux.

Troisièmement, le jeu doit être centré sur une histoire captivante. Le scénario doit être intrigant et se dérouler de manière fluide. En outre, il doit être adapté au contexte de l’organisation afin que les participants puissent s’identifier aux événements qui se déroulent dans le jeu.

Pour capter et surtout retenir l’attention des employés, le jeu doit mettre l’accent sur l’interactivité. Les interactions peuvent avoir lieu entre le(s) maître(s) du jeu et les joueurs, mais aussi entre les joueurs eux-mêmes lorsqu’ils collaborent dans le cadre de l’activité.

Pour exploiter davantage ce concept, le jeu peut stimuler les cinq sens afin de le rendre encore plus attrayant et immersif.

Le dernier élément clé d’un jeu efficace réside dans la mise en place de bons vecteurs de motivation. Là encore, il existe de multiples façons d’y parvenir : vous pouvez par exemple établir un système de notation pour encourager une compétition ludique entre les équipes, et mettre en place des récompenses. Les récompenses peuvent prendre la forme de cadeaux, de prix tels que des expériences individuelles ou d’équipe, ou même de dons à l’organisation caritative choisie par les participants. Un vecteur de motivation puissant stimulera la participation volontaire à l’activité, et une décision de participer issue d’une volonté réelle du personnel sera également synonyme d’une motivation et d’une implication accrues dans le jeu, pour une meilleure rétention des comportements de sécurité partagés.

Quel jeu de sensibilisation est fait pour vous ?

Pour que vos rêves de gamification du Mois Européen de la Cybersécurité deviennent réalité, passons de la théorie à la pratique !

Répondez au quiz ci-dessous pour savoir quel jeu de sensibilisation à la cybersécurité est adapté à vos besoins et à vos objectifs pour un impact maximal.

Loading…

Cet article Comment activer la gamification pour un Mois Européen de la Cybersécurité percutant est apparu en premier sur RiskInsight.

Fraude au Président : testée par mon CISO, je vous raconte !

Noëmie Honoré — Mon, 24 Jan 2022 09:00:00 +0000

Je vous parle souvent de sensibilisation à la cybersécurité. Je partage les concepts, les bonnes pratiques mais aujourd’hui, je prends la plume avec un autre point de vue : celui de la personne sensibilisée !

Eh oui, les experts ne sont pas exempts des actions de sensibilisation… Je vous raconte la petite histoire, en espérant qu’elle vous serve vous aussi à faire passer vos messages au sein de vos organisations.

Tout commence un mardi à 15h34. Je reçois un whatsapp de mon CEO (c’est ce que je crois à ce moment-là !). Le message est le suivant :

« Bonjour Noémie, est-ce que tu es disponible? j’aurais besoin de parler avec toi d’une acquisition confidentielle en Belgique. Pascal »

Je prends connaissance du message 10 minutes plus tard et réponds que je peux me libérer et avoir ce call. Dans ma tête, je me pose quelques questions : une acquisition, mais qui cela peut-il bien être ?, à quel stade des discussions en sont-ils ?, nos zones prioritaires sont aux US et UK, ce serait donc un cabinet plus gros ?… Bref, le niveau de stress monte un peu et je veux en savoir plus. A ce stade, rien indique le moindre indice d’une fraude ou arnaque et je ne vois pas de risque particulier. Je suis plutôt dans l’interrogation…

2 minutes à peine après mon message, la réponse suivante apparaît :

« Pas besoin, mais je vais avoir besoin que tu prépares un virement rapidement, je t’envoie les informations bancaires dans quelques minutes. Merci

A ce moment-là, je vous avoue que ça fait tilt en un éclair ! Une chose est claire : c’est un piège ! Il est urgent de ne rien faire

Je décide alors d’investiguer car l’action qu’on me demande n’est pas normale :

Le numéro de téléphone du contact whatsapp n’est pas celui que j’ai dans mon répertoire
La photo est bien celle de Pascal mais c’est une photo assez répandue donc facile à obtenir

J’envoie alors 2 messages en parallèle :

Le premier à mon CEO, au numéro de téléphone enregistré dans mon répertoire. Je fais un screenshot de la discussion whatsapp et lui demande « Bonjour Pascal, visiblement ce n’est pas toi ! Tu confirmes ? »
Le second à cet expéditeur sur whatsapp : « Tu me testes ? »

La réponse sur whatsapp ne tarde pas à arriver : « Bien joué ! ». Un message plus complet de sensibilisation suit alors pour me préciser :

Qu’il s’agissait d’une campagne de sensibilisation à la fraude au président
Que les cas sont malheureusement fréquents et que plusieurs attaquants tentent de se faire passer pour un membre de la direction générale, par SMS, réseaux sociaux ou mail en changeant simplement une photo ou le nom
Ce qu’est la fraude au président et l’objectif des attaquants : te faire croire qu’ils ont un sujet prioritaire et confidentiel à traiter avec toi, comme une acquisition, qui nécessite un paiement en urgence hors processus en leur faveur.
Les règles à suivre en cas d’attaque, les indices pour déjouer les attaques et le contact sécurité à alerter

Comme vous voyez, l’histoire finit bien mais malheureusement ce n’est pas toujours le cas. A froid, on peut penser que c’est assez simple de déjouer l’attaque.

Au-delà de l’exemple, c’est la gestion des émotions que je voudrais partager avec vous. Cet exercice, bien ficelé (mais tellement crédible !) m’a d’abord mise en confiance avec une demande importante mais sans action à risque de ma part. L’importance de la demande a généré des questions, un peu de stress, des émotions à maitriser pour garder la lucidité dans la décision et mes actions. Je suis personnellement familière avec ce sujet, je connais la théorie mais je vous assure que la mise en situation réelle a été précieuse ! Je sais désormais qu’un flot d’émotions apparait (elles ne seront plus nouvelles la prochaine fois !), je suis rassurée que mon bon sens me permet de garder la lucidité pour investiguer, sans me précipiter, et de ne pas prendre de mauvaise décision. J’ai remercié mon CISO à la suite de l’exercice. Je comprends concrètement les bénéfices de la pratique et cette expérience en est la preuve, et notamment pour les experts, qui peuvent se sentir à l’abri (on sait ce qu’il faut faire !) – je ne me mettais pas dans cette catégorie -, qui se demandent s’ils sauraient mettre en pratique la théorie et ne pas tomber dans le piège…

Entrainer vos people, les experts, c’est leur permettre d’être meilleurs, d’être prêts (mais pas forcément d’être parfaits !) car la situation ne sera plus nouvelle, les émotions ne seront pas inconnues… Pour briller le jour J, la préparation est un ingrédient essentiel et ça vaut pour tous !

[Rappel] Quelques éléments clés de la fraude au Président

Mise en confiance (photo, ton utilisé, choix des mots, etc.) par l’attaquant ou climat d’autorité
Urgence, stress : des émotions qui créent une pression et vient perturber la lucidité
Demande de réalisation d’actions inhabituelles, anormales et dans un délai court

Cet article Fraude au Président : testée par mon CISO, je vous raconte ! est apparu en premier sur RiskInsight.

OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ?

Noëmie Honoré — Fri, 21 Aug 2020 15:20:25 +0000

Comment utiliser le cadre de la norme ISO 27001 au service de l’amélioration continue du niveau de sécurité ?

Dans un précédent article, on vous racontait tout sur la nouvelle directive européenne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accroître la sécurité des Opérateurs de Services Essentiels (OSE) avec tout ce que ça entraînait pour les organisations nouvellement désignées.

Qui dit directive européenne ne dit pas règlement européen : il revient donc à chaque pays membre de transposer les exigences de la directive NIS dans son droit national. La Belgique a fait le choix d’un standard existant (la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche basée sur la définition d’un référentiel d’exigences précis mêlant à la fois des mesures techniques et de gouvernance (SI d’administration, cloisonnement, démarche d’homologation, etc.).

Intéressons-nous aujourd’hui à ce que ça implique pour les OSE belges, et plus largement pour toutes les organisations attirées par les normes internationales, de suivre les exigences de la norme ISO 27001.

La norme ISO 27001, adulée par certains et critiquée par d’autres

Des voix se lèvent contre la référence du milieu, fustigeant notamment son aspect bureaucratique et sa paperasserie qui, pourtant, peuvent aider à mettre en place un référentiel utile à la continuité des services et la formation des personnes via le partage des pratiques – surtout lorsqu’il est pensé avec pragmatisme. Les critiques vont également bon train sur le niveau de complexité ajouté, encore plus présent pour les plus petites structures. Là encore, la règle est au pragmatisme et les mesures doivent être adaptées à la taille de l’organisation et s’intégrer à l’existant pour éviter les structures ex nihilo trop lourdes à gérer.

Enfin, certains aprioris ont la vie dure et réduisent souvent une conformité ISO 27001 à une liste de cases à cocher, dépourvues d’implications réelles sur la sécurité de l’organisation. Mais la fameuse déclaration d’applicabilité (DdA), exigée par la norme ISO 27001 à tous ceux qui visent une certification, ne revient pas uniquement à lister tous les contrôles de la norme ISO 27002. Elle demande une véritable évaluation au regard des enjeux et des risques. De quoi apporter des éléments concrets pour la sécurité de l’organisation.

ISO 27001, ISO 27002, il y en a beaucoup comme ça ?

Dans la famille des ISO, beaucoup, vraiment beaucoup. En revanche pour la cybersécurité, ce sont bien ces deux-là qui sont les plus utilisées, avec l’ISO 27005 pour la gestion des risques (si c’est la protection des données qui vous intéresse, lisez aussi notre article sur la nouvelle venue ISO 27701).

La norme ISO 27001 apporte un cadre à la cybersécurité et vise à mettre en place un SMSI (Système de Management de la Sécurité de l’Information). Pour aider les organisations dans cette direction, elle est accompagnée de la norme ISO 27002 qui détaille les bonnes pratiques sécurité présentées dans l’annexe A de l’ISO 27001. La certification (le graal des OSE belges) porte sur la norme ISO 27001 mais les deux normes fonctionnent bien de pair.

La certification s’obtient sur un périmètre délimité d’un point de vue métier et IT sur lequel les principaux risques sont identifiés. Cette évaluation par les risques, mêlée à la prise en compte du contexte de l’organisation, aide à sélectionner les bonnes pratiques ISO 27002 pertinentes pour formaliser la Déclaration d’Applicabilité (DdA) et à exclure les contrôles qui ne sont pas applicables (attention à bien justifier ces exclusions : elles seront analysées par l’organisme de certification). Si on peut retirer des pratiques moins utiles, on peut aussi en rajouter d’autres : l’organisation peut ainsi compléter la liste existante des 114 mesures de sécurité au regard de ses risques. La norme ISO 27002 n’adresse pas l’exhaustivité des mesures de sécurité possibles. C’est là qu’une expertise cybersécurité prend tout son sens.

5 conseils pour trouver le bon équilibre et réussir sa mise en conformité ISO 27001

Bien entendu, vu dans son ensemble, un programme de mise en conformité à la norme ISO 27001 peut rapidement donner le vertige… Voici 5 réflexes à avoir en tête pour faciliter le lancement d’un SMSI et le maintien de ses performances dans le temps :

1. Identifier un sponsor investi au service de l’objectif de sécurisation. Comme pour le cinéma, il n’y a pas de film sans réalisateur, et pas de réalisateur sans le soutien du producteur. Le match parfait doit avoir pleine conscience de la valeur ajoutée de la mise en conformité à la norme ISO 27001 pour améliorer le niveau de sécurité, au-delà de la pure conformité au cadre légal. Il doit utiliser les cadres normatifs au profit d’un meilleur niveau de sécurité et doit donc voir ce projet comme un chantier de sécurisation plutôt qu’un chantier de conformité.

Implémenter un SMSI pérenne demande des ressources et moyens humains, organisationnels, physiques et financiers. Le pilotage du projet de mise en conformité ne fonctionnera que s’il est soutenu par un responsable qui a le pouvoir d’allouer les ressources et les moyens nécessaires pour piloter les risques et assurer un niveau de sécurité acceptable au regard des enjeux métier. Le respect de la directive NIS, à l’échelle européenne ou à l’échelle belge via une mise en conformité à la norme ISO 27001, constitue avant tout un moyen d’augmenter le niveau de sécurité et non une fin en soi.

2. Piloter par les risques. C’est la base de la sécurité ; le concept clé à toujours garder en tête. Ce pilotage permet d’identifier les risques du périmètre et de s’assurer que les enjeux métier sont bien pris en compte. La gestion des risques ne s’arrête pas à leur identification et au traitement initial. Elle demande la mobilisation des équipes et des activités pour traiter les risques existants et suivre l’évolution des risques (existants et nouveaux qui apparaissent) et leurs traitements, via une mise à jour périodique et lors d’évènements majeurs sur le périmètre.

Par la mise en place de cette démarche globale des risques, l’organisation s’assure une vision transverse des risques qui permet de focaliser les efforts des mesures de sécurité là où il y a le plus d’enjeux. Cette validation et cet arbitrage doivent se faire en concertation avec les propriétaires des risques (métier ou IT) qui portent la responsabilité du risque sur leurs périmètres et doivent se positionner sur les traitements possibles (acceptation, réduction, transfert ou évitement). Un pilotage affiné et resserré des risques permet ainsi de prendre de véritables décisions éclairées, par des acteurs parfois éloignés de la sécurité.

3. Constituer un référentiel documentaire pragmatique. Cette étape aide à définir et documenter les pratiques et ainsi favoriser la continuité des opérations, leur contrôle et leur amélioration continue. Cette documentation doit être le reflet de la réalité tout en assurant la cohérence avec les exigences de la norme ISO 27001 pour aider à définir les pratiques à mettre en œuvre et les gérer au quotidien (implémentation et mises à jour au gré des évolutions, etc.).

Les maîtres-mots lors de la constitution de ce référentiel sont pragmatisme et utilité : il doit s’intégrer à l’existant en complétant les procédures existantes et en en créant de nouvelles qui manquaient ; il ne doit pas compliquer inutilement la situation mais se baser sur une interprétation pertinente de la norme ; il doit être utile aux équipes qui assurent les activités pour permettre le maintien des opérations. Evitez donc les copier-coller des exigences des normes. Ils créent un référentiel inutile aux équipes terrain et attiseront la curiosité de vos auditeurs qui douteront alors de l’effectivité des mesures…

4. Évaluer régulièrement les performances. Tout système de management qui se respecte nécessite une boucle de contrôle pour évaluer ses performances et, dans le cas du SMSI, ses non-conformités à la norme ISO 27001 et au référentiel en place dans l’organisation (synthétisé dans la DdA). L’identification de ces non-conformités doit permettre de remonter jusqu’à leur source et d’initier la réflexion sur la meilleure manière de les gérer. La réflexion à mener doit porter sur la manière dont la non-conformité va être résolue pour assurer l’augmentation du niveau de sécurité tout en s’assurant que les mesures correspondent aux exigences de la norme et sont adaptées au contexte, aux risques et aux enjeux de l’organisation.

Les différents niveaux de contrôles (auto-contrôles par les équipes, audits internes/externes, revues de direction) doivent tous garder l’objectif d’amélioration du niveau de sécurité en tête en utilisant de manière pragmatique les exigences de la norme et le référentiel de l’entreprise, et au besoin faire évoluer ce dernier au regard de la réalité pratique de l’organisation. Il s’agit de trouver le bon équilibre entre le contexte de l’organisation et la gestion des risques identifiés. Si vos enjeux portent essentiellement sur la disponibilité d’une activité, focalisez vos efforts (mesures et contrôles) sur cet enjeu en priorité. Pour être pertinent, ce cycle d’évaluation doit distribuer les efforts sur les périmètres les plus pertinents pour l’organisation (selon ses risques et enjeux) et alimenter les prochaines étapes du cylce de vie du SMSI.

5. Engager les équipes. Un projet de mise en place d’un SMSI n’est pas uniquement l’apanage du RSSI ou d’une équipe de documentalistes. Il s’agit avant tout d’un projet d’envergure qui demande un large éventail d’expertises allant de la cybersécurité au business en passant par l’IT, le juridique, les achats, les ressources humaines, etc. C’est une véritable conduite du changement qui est à organiser avec l’implication pleine et complète des différentes équipes et du management de l’organisation pour assurer un SMSI qui sert l’amélioration durable du niveau de sécurité pour l’ensemble du périmètre.

La certification ISO 27001, oui mais pragmatique !

La véritable force de la certification ISO 27001 est avant tout d’enclencher une dynamique de sécurité dans l’organisation. La documentation peut certes alourdir les pratiques mais n’enlève rien de la philosophie d’amélioration continue du niveau de sécurité. Par l’apport d’un socle minimal pour la cybersécurité, sans définir des exigences strictes, la norme laisse à l’organisation le choix de placer le curseur sécurité à un niveau qui lui est adapté et d’obtenir des résultats positifs – à condition de s’entourer de bonnes personnes sensibilisées au sujet !

Traitée avec un regard critique et pragmatique, la norme apporte ainsi un cadre pour installer la gouvernance de la cybersécurité au sein de chaque organisation en mobilisant les concepts clés tout en laissant la marge nécessaire pour proposer des mesures complémentaires qui, ensemble, servent l’amélioration du niveau de sécurité.

Au-delà de l’approche traditionnelle de la conformité, la mise en conformité à la norme ISO 27001 doit servir de boîte à outils à toute les équipes et non constituer une fin en soi.

La liberté de mise en œuvre de la directive NIS au niveau européen offre un nouveau terrain d’expérimentation où se mêlent cultures différentes et visions divergentes de la cybersécurité. Seul l’avenir pourra nous dire ce qui fonctionne au niveau européen, mais l’approche belge démontre une nouvelle fois la culture du compromis entre cadre strict et liberté de mouvement. Pour les OSE belges comme pour les organismes de certification, l’inconnue demeure avant tout sur le positionnement du curseur entre les deux extrêmes.

Il leur faudra alors éviter une approche scolaire et mettre à profit une interprétation utile et pragmatique de la norme en gardant l’objectif final en tête : plus de cybersécurité.

Cet article OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ? est apparu en premier sur RiskInsight.

OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ?

Noëmie Honoré — Tue, 30 Jun 2020 13:00:16 +0000

La norme ISO 27001, adulée par certains et critiquée par d’autres

ISO 27001, ISO 27002, il y en a beaucoup comme ça ?

5 conseils pour trouver le bon équilibre et réussir sa mise en conformité ISO 27001

La certification ISO 27001, oui mais pragmatique !

Au-delà de l’approche traditionnelle de la conformité, la mise en conformité à la norme ISO 27001 doit servir de boîte à outils à toute les équipes et non constituer une fin en soi.

Il leur faudra alors éviter une approche scolaire et mettre à profit une interprétation utile et pragmatique de la norme en gardant l’objectif final en tête : plus de cybersécurité.

Cet article OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ? est apparu en premier sur RiskInsight.

OSE belges : comment réussir votre mise en conformité NIS et obtenir votre certification ISO 27001 ?

Noëmie Honoré — Tue, 12 May 2020 15:02:51 +0000

Félicitations ! Vous faites partie des élus, votre organisation a été désignée Opérateur de Services Essentiels (OSE) par son autorité sectorielle. Bienvenue au club des futurs certifiés ISO 27001. Maintenant que l’information est digérée vous vous demandez : qu’est-ce que cela implique concrètement ? Comment m’y prendre ? Dans quels délais ? Pas de panique, dans cet article, on vous propose tous les éclaircissements nécessaires pour débuter votre mise en conformité aux exigences de la loi NIS belge.

OSE, acteur clef des services essentiels économiques et sociétaux belges

Si votre organisation a été désignée comme OSE, c’est parce qu’elle fournit un ou plusieurs services essentiels au maintien d’activités sociétales et économiques critiques, pour la Belgique, et plus largement pour l’Union Européenne (UE). En effet, la Directive Européenne NIS publiée en 2016 (security of network and information systems – UE 2016/1148), a pour objectif d’assurer un niveau commun élevé de sécurité des réseaux et des systèmes d’information au sein de l’UE. Cette directive a été transposée dans le droit belge en mai 2019 et permet de désigner une entité publique ou privée comme OSE si elle répond aux critères suivants :

Depuis novembre 2019, les notifications de désignation s’établissent dans les secteurs de l’énergie, du transport aérien et de la finance. Le secteur de la santé, quant à lui, a annoncé qu’aucun OSE ne sera désigné en 2020.

Votre entreprise coche toutes ces cases ? Sachez que l’autorité sectorielle peut ajouter des critères spécifiques afin de juger du degré de criticité des services : par exemple, la part de marché de l’entreprise, ou l’ampleur de la zone géographique susceptible d’être touchée par un incident. (Loi 2019-04-07/15. Art.13).

Quelles obligations après sa notification ?

Être désigné OSE implique de protéger les systèmes d’information qui permettent la fourniture du ou des services essentiels identifiés. Sécuriser un service essentiel revient à s’assurer de la disponibilité, la confidentialité et l’intégrité des systèmes d’information dont il est tributaire (Loi 2019-04-07/15. Art.24). Pour ce faire, la Belgique demande aux OSE de faire certifier leurs systèmes d’information critiques à la norme ISO 27001 (Loi 2019-04-07/15. Art.22). Cette norme demande la création d’un Système de Management de la Sécurité de l’Information (SMSI) avec la mise en œuvre de processus et de mesures de sécurité.

Les principales étapes et échéances de la loi NIS belge

La Loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, dite Loi NIS belge, prévoit un délai de mise en conformité en 3 ans et 2 mois et demi maximum après la notification de désignation de l’OSE. La loi prévoit ainsi différentes étapes et échéances précises :

3 mois après la désignation, l’OSE doit fournir :

Une description détaillée des systèmes d’information dont ses services essentiels sont tributaires. La toute première chose à faire est donc de délimiter le périmètre des services essentiels au niveau business et IT, (Loi 2019-04-07/15. Art.16)
Un point de contact (Loi 2019-04-07/15. Art.23)

Au plus tard 12 mois après la notification de désignation : l’OSE initie une Politique de Sécurité Informatique (PSI) (rt.21) et réalise un premier audit interne sous 3 mois.

24 mois après le premier audit interne (soit environ 3 ans après la notification de désignation), c’est le grand jour : un audit externe doit être conduit en vue de l’obtention de la certification ISO 27001.

Comment se déroule une mise en conformité ISO 27001 ?

Comme tout système de management, le SMSI doit garantir l’application de la méthode PDCA « Plan-Do-Check-Act », aussi appelée « Roue de Deming », pour assurer l’amélioration continue des performances. 6 activités fondamentales se dégagent de la norme ISO 27001 :

De manière pragmatique, la norme ISO 27001 requiert des livrables et des validations à plusieurs étapes clefs du processus de mise en conformité. Ci-dessous, nous vous proposons une chronologie des actions à réaliser avec les livrables associés, ainsi qu’une estimation du temps nécessaire pour chaque étape du parcours de mise en conformité.

Plus précisément, les étapes se déroulent comme suit :

1 – Définition du périmètre (sous quelques semaines) : c’est la première étape clef pour déterminer le domaine d’application sur lequel les exigences de la norme vont porter. L’étendue du service essentiel est alors définie d’un point de vue business et IT, détaillant les activités, les équipes et les systèmes concernés.

2 – Phase de cadrage du SMSI (entre 2 et 6 mois) :

2.1 – Réaliser le bilan de conformité en comparant, sur le périmètre identifié, les pratiques réalisées aux exigences des normes ISO 27001 et ISO 27002 afin de relever les écarts. Le résultat de cette étape donne à la fois le niveau global de maturité de sécurité du périmètre et la feuille de route de mise en conformité par volet sécurité.
2.2 – Conduire l’analyse de risques. Cette étape se concrétise en trois actions.
A – Définir la méthodologie de l’analyse de risques (si celle-ci n’existe pas). Afin de pouvoir piloter les risques dans la durée, elle doit être reproductible (mise à jour annuelle et en cas de changement majeur sur le périmètre). La méthodologie définit des échelles de probabilité, d’impact, et des seuils d’acceptation des risques en fonction des enjeux business et IT présents sur le périmètre du service essentiel.
B – Conduire la 1ère analyse de risques sur le périmètre du service essentiel. Sur la base d’entretiens avec des interlocuteurs business et IT, l’analyse permet à la fois d’identifier les enjeux, les menaces et les vulnérabilités pour déterminer les risques du périmètre et permettre la définition du plan de traitement des risques.
C – Déterminer le Plan de Traitements des Risques (PTR) destiné à organiser l’implémentation des mesures de sécurité. En collaboration avec l’équipe sécurité, les propriétaires de risques sont identifiés et doivent, pour chaque risque, décider du traitement (réduction, transfert ou acceptation) et valider le plan d’action associé. L’ensemble de ces mesures identifiées constitue le Plan de Traitement des Risques (PTR), établissant les traitements prioritaires à réaliser, en estimant notamment les ressources nécessaires et le planning de mise en oeuvre. Après validation des actions du PTR, le niveau de risques résiduels est alors complété dans l’analyse de risques.
2.3 – Valider le périmètre de certification. Cette étape met fin à la phase de cadrage et se concrétise par deux livrables : un descriptif précis du service essentiel du point de vue business et IT et la déclaration d’applicabilité (DdA). La DdA correspond à la liste des mesures de sécurité de la norme ISO 27002 retenues pour répondre aux besoins de mise en conformité du SMSI selon les enjeux et les risques identifiés. Pour les mesures non retenues, l’OSE doit justifier l’exclusion de ces mesures. La DdA sert par la suite de référentiel pour les audits.

3 – Phase d’implémentation (entre 9 mois et 2 ans selon le périmètre défini et le niveau de maturité de sécurité existant)

3.1 – Définir la PSI (Politique de Sécurité des Systèmes et des Réseaux d’Information). Ce document a deux fonctions : il sert à la fois à lister les grands objectifs de sécurité de l’information établis par l’organisation sur un périmètre donné ainsi que les mesures à mettre en place pour les réaliser, mais il fait aussi office de preuve d’engagement de l’entreprise à satisfaire les exigences de la norme et à œuvrer pour l’amélioration continue du SMSI. Ce document, une fois émis, doit être disponible et diffusé au sein de l’organisation et doit également être mis à disposition de toutes les parties prenantes.
3.2 – Définir, documenter et mettre en œuvre les processus clefs ISO 27001 : gestion des risques, gestion de l’exploitation, gestion des incidents, communication et sensibilisation, gestion du référentiel documentaire, gestion de l’amélioration continue, etc. Des pratiques à définir avec une attention particulière à les intégrer dans le contexte existant pour une meilleure appropriation par les équipes.
3.3 – Mettre en œuvre les chantiers sécurité selon le PTR
3.4 – Conduire un premier cycle de contrôle, à savoir : suivre les indicateurs de performance dans un tableau de bord et mesurer l’atteinte des objectifs de sécurité, réaliser des audits internes sur les périmètres à forts enjeux afin d’identifier les écarts entre les pratiques et les exigences de la norme et du référentiel du SMSI. Enfin, assurer la ou les premières revues de direction pour présenter les résultats du SMSI, valider les orientations et prendre les décisions pour traiter les non-conformités et opportunités d’amélioration continue (agenda prévu par la norme)
3.5 – Piloter l’amélioration continue du SMSI jusqu’à l’audit externe : au fur et à mesure des incidents, des résultats du tableau de bord et de ceux des audits internes, l’OSE identifie les non-conformités résiduelles et détecte les opportunités d’amélioration continue à faire valider par l’équipe SMSI

4 – Audit externe : c’est l’évaluation décisive pour l’obtention de la certification. Cette étape se décompose de façon prévisible en 3 actions : préparer les équipes à l’audit externe, participer à l’audit externe et… obtenir la certification !

L’audit externe est mené par un organisme de certification qui examine, sur la base des référentiels de la loi NIS belge (Loi 2019-04-07/15), de la norme ISO 27001, de la PSI et de la DdA validée par l’OSE, que les pratiques et la documentation sont bien conformes aux exigences indiquées et effectivement appliquées selon le principe de l’amélioration continue des systèmes de management.

Vous en savez désormais plus sur la Loi NIS belge et la norme ISO 27001, on espère que vous vous sentez plus armé pour mettre en oeuvre votre SMSI. Dans un prochain article, vous découvrirez quelques conseils issus de nos retours d’expérience pour réussir votre certification ISO 27001 et la maintenir dans la durée.

Cet article OSE belges : comment réussir votre mise en conformité NIS et obtenir votre certification ISO 27001 ? est apparu en premier sur RiskInsight.