Notre solution - Les Oies du Cyber

La formation à la cybersécurité

La formation à la cybersécurité de tous est essentielle.

Car, ne l’oublions pas, 80% des attaques réussies ont tiré parti d’une erreur humaine. En termes de cybersécurité, la formation n’est donc pas une option mais un élément indispensable de la défense de l’organisation.

Ce qu’est vraiment la formation à la cybersécurité

Définition de la formation à la cybersécurité

La formation est un processus actif permettant de changer les pratiques, basé sur l’acquisition de nouvelles compétences.

Elle utilise le plus souvent des outils tels que l’acquisition de connaissance, une évaluation de compétences, mais intègre aussi des systèmes de motivation et de maintien de l’attention. Elle peut utiliser l’expérimentation, réelle ou virtuelle.

Néanmoins, c’est sa finalité, le changement de pratiques, qui caractérise la formation.

Ce qui ressemble à une formation cybersécurité sans l’être

Plusieurs pratiques sont souvent prises pour la formation, parce qu’elles y ressemblent dans le message ou dans la forme. Pourtant elles ne sont pas de la formation.

L’incantation

L’incantation consiste à demander d’appliquer une pratique, de façon variable, du plus doux (il faudrait que l’on fasse…) au plus dur (faites ceci, c’est un ordre !). L’incantation peut apporter un changement de pratique, bien qu’elle repose essentiellement sur des sentiments, comme la soumission, la compassion, l’admiration… Et pas sur de la compétence.

Le problème de l’incantation c’est que l’action repose sur un sentiment, et que quand le sentiment disparait, la pratique a fortement tendance à disparaître. De plus l’incantation amène souvent l’application non réfléchie de pratiques, parfois même non comprises, ce qui est souvent peu efficace.

Dans la cybersécurité, l’incantation amène à des pratiques automatisées non réfléchies, sans esprit critique. Ceci rend l’organisation fragile à toute attaque qui sortirait de l’ordinaire (ce qui est fréquent). Il est préférable de miser sur des pratiques réfléchies, résistant mieux à la variété des attaques.

La sensibilisation

La sensibilisation consiste à faire prendre conscience aux personnes de l’exigence et la gravité du problème. Les personnes deviennent sensibles au problème, mais pour autant, leur compétence n’ayant pas progressé, elles ne changent pas de pratique.

On crée même de la frustration car on a fait prendre conscience du problème sans apporter aux personnes confrontées à ce problème le moyen d’y apporter une solution.

Dans la cybersécurité, compte-tenu de la gravité des enjeux, la sensibilisation est très anxiogène. C’est comme annoncer à quelqu’un qu’il a une grave maladie mais sans lui proposer de traitement… L’anxiété peut s’étendre à tout le digital, et provoquer une “frilosité digitale”, ce qui handicape fortement l’entreprise à terme.

Il est à noter que les médias utilisent beaucoup la pratique de la sensibilisation anxiogène. Ceci n’est pas contrôlable par l’organisation, mais lui impose d’agir pour que cette sensibilisation ne débouche sur une anxiété néfaste de ses employés.

Et ce qui n’est qu’une partie d’une formation à la cybersécurité

Une évaluation isolée

L’évaluation est une partie de la formation. Néanmoins, utilisée seule, elle relève plus de la sensibilisation.

Pour ceux qui ont de bons résultats, l’anxiété est faible, et la motivation aussi car de bons résultats n’ont jamais amené à une volonté de changer (« pourquoi changer une équipe qui gagne ? »).

Pour ceux qui ont des résultats mauvais, on constate, comme pour la sensibilisation, une forte anxiété, car sans solution si l’on s’en tient à l’évaluation seule.

Dans les deux cas le résultat est peu bénéfique.

L’évaluation est un outil pertinent s’il est intégré à une démarche complète de formation. Notamment dans la phase initiale mobilisatrice si les résultats sont mauvais.

Les composants de la formation à la cybersécurité

Une formation doit normalement suivre 3 étapes, et présenter 3 fonctions annexes. En l’absence d’un de ces éléments, la formation sera peu efficace. Les étapes sont la motivation, l’acquisition des compétences puis leur validation post-acquisition.

Les trois étapes de la formation à la cybersécurité

La motivation

L’être humain n’a par nature pas envie de changer. Le changement représente un effort et un risque. Faire des efforts et prendre des risques est assez peu naturel. Cela résulte plus d’une dégradation de la situation présente ou de pression sociale (compétition, désir, ordres…). A priori si l’homme peut continuer sans changer, cela lui convient bien !

La formation, qui est une forme de changement, doit donc être « vendue » au futur apprenant. Cela peut se présenter sous plusieurs formes :
– La rendre obligatoire,
– Montrer l’importance des enjeux pour l’organisation,
– Montrer les bénéfices personnels pour l’apprenant (qui dans le cas de la cybersécurité est aussi attaqué par des pirates dans son espace personnel),
– Rassurer l’apprenant sur le fait qu’il va réussir à faire la formation, le mettre en confiance,
– Mettre un peu de challenge à l’apprenant.

On peut bien entendu conjuguer ces formes.

L’acquisition de compétences

C’est la phase centrale de la formation. Dans cette phase, l’apprenant découvre la pratique et l’intègre dans ses compétences. S’il associe cette compétence à des situations réelles, l’apprenant est capable d’utiliser cette compétence dans son activité professionnelle. C’est pourquoi cette phase doit conjuguer compétences et situations d’usage.

La validation des compétences (après leur acquisition)

Cette phase valide que la formation a été efficace. Elle motive l’apprenant à acquérir les compétences, et reconnaît ses efforts. En cas d’insuffisance de résultats, l’apprenant reprend tout ou partie de sa formation.

Il ne faut pas voir cette phase comme une sanction, où un examen où 10/20 suffirait à réussir, mais comme une validation de l’ensemble des acquis.

Les outils annexes de la formation à la cybersécurité

Les outils annexes s’utilisent pendant la formation (pour le suivi par le management), ou après la formation (référentiel des Bonnes Pratiques et évaluation des compétences dans le temps).

Ces outils, malheureusement parfois négligés, augmentent l’efficacité de la formation pour un coût ou un effort relativement faibles.

Le suivi par le management

Les outils de suivi permettent au manager d’accomplir deux tâches essentielles au management en général : mettre en mouvement les individus et féliciter pour ce qui a été accompli.

Pour la formation cela signifie :
– Identifier les apprenants n’ayant pas encore commencé leur formation pour les motiver pour le faire,
– Féliciter ceux qui ont fini leur formation, ou lors de franchissement d’étapes (par exemple plus de 50% de la formation réalisée).

Ce suivi a pour objectif d’aider chaque apprenant à atteindre ses objectifs. Il doit être vécu par les apprenants, et par le manager, essentiellement comme un processus de récompense (c’est motivant) plus que comme un système de « flicage » des apprenants (qui démontrerait un manque de confiance et dénoterait un système basé sur la répression).

Le référentiel de Bonnes Pratiques

Si la formation a pour objectif de changer les pratiques, le maintien de ces pratiques dans le temps nécessite de pouvoir accéder aisément à un rappel de ces bonnes pratiques tout au long de l’année (sans refaire la formation).

Un référentiel de Bonnes Pratiques doit donc être disponible, et cohérent avec la formation.

L’évaluation des compétences dans le temps

Changer les pratiques c’est bien, s’assurer qu’elles perdurent dans le temps c’est mieux.

Ce n’est pas évident en cybersécurité car comme tout action de prévention, les effets sont essentiellement invisibles (puisque ce que l’on recherche c’est justement l’absence d’incidents). C’est même quand on est performant qu’il se passe le moins de choses.

Or une fois une nouvelle pratique installée, quelle qu’elle soit, deux mécanismes de dégradation de cette pratique se développent progressivement  :
– La négligence, notamment si la pratique n’a pas d’effet visible (c’est le cas en prévention le plus souvent),
– L’oubli, notamment pour les pratiques rares.

Pour lutter contre cela, il convient de faire des évaluations régulières de la pratique. Ces évaluations ont deux fonctions :
– En elles-mêmes elles tiennent lieu de rappel et permettent de rafraichir les connaissances et de réactiver les arcs réflexes situation-action (cf ci-dessous dans le paragraphe “Des actions”),
– Si, à l’occasion d’une évaluation, on détecte un apprenant qui a trop de difficultés, on peut lui proposer de refaire la formation.

Mieux vaut une réévaluation courte (15 minutes) et fréquente (trimestrielle voire mensuelle selon le contexte de l’entreprise) que longue et rare.

Les bénéfices attendus de la formation

La compétence

La compétence est la base d’une pratique efficace, même si, nous le reverrons, cela ne suffit pas. C’est a minima ce que l’on attend d’une formation.

La compétence peut se définir comme le fait de savoir ce qu’il faut faire dans une situation donnée. C’est une capacité à agir (et pas le fait d’agir) de façon adaptée dans une situation donnée. Elle est nécessairement liée à une situation professionnelle.

En ceci elle diffère de la connaissance qui n’est pas liée à une situation mais peut se décliner dans de nombreuses situations.

Par exemple savoir compter est une connaissance, savoir rendre la monnaie est une compétence. Elle requiert une connaissance (savoir compter) mais aussi de la vivacité d’esprit, la capacité à se concentrer dans un environnement bruyant et riche d’autres sollicitations…

Pour mémoire, cela diffère encore de la pratique, car on peut être très compétent mais avoir une piètre pratique, à savoir ne pas utiliser sa compétence au bon moment dans la situation requise, par inadvertance, fatigue, négligence, insouciance, peur de se tromper, manque de confiance en soi…

La formation permet donc cette première étape de l’efficacité qui est la maitrise de la compétence. Cela passe par l’apprentissage des connaissances, et la contextualisation de ces connaissances. Par contextualisation on entend exposer comment utiliser ces connaissances dans une situation donnée.

Ainsi compétents, les personnes ont la capacité d’agir, mais encore faut-il qu’elles agissent… C’est le deuxième bénéfice recherché dans la formation.


Des actions

La formation continue, contrairement à la formation initiale, n’est pas un processus purement intellectuel qui améliore les connaissances d’une personne. Et il ne doit pas non plus s’arrêter aux compétences.

C’est un processus qui doit amener une amélioration des pratiques. Donc qui va déboucher sur des actions.

Pour cela, au-delà de l’amélioration des compétences, il faut que la personne utilise ses compétences lorsque c’est nécessaire. Qu’elle y pense et qu’elle le fasse !

C’est un challenge d’autant plus important dans le domaine de la prévention. Dans ce domaine, les compétences sont rarement utilisées (voire jamais) mais pour autant il faut y penser sans délai quand on se retrouve dans une situation qui le nécessite.

Pour cela la formation doit travailler sur la structuration de la mémoire en arcs réflexes situation-action. L’apprenant mémorise le couple situation-action, pour que lorsqu’il se trouve face à la situation il pense immédiatement à l’action.

C’est le propos de contextualisation, nous le reverrons plus loin.

La confiance en soi

On l’oublie souvent mais la confiance en soi est un bénéfice très important de la formation.

L’apprenant qui a suivi avec succès une formation a une plus grande confiance en lui. Il pense que sa pratique sera plus efficace, qu’il fera moins d’erreurs et résoudra mieux ses futurs problèmes. Il se sent plus compétent, donc a plus de confiance en lui.

Les effets positifs de la confiance en soi sont : moins d’anxiété, moins d’agressivité, plus de sérénité, donc plus de performance et un meilleur relationnel.

Pour que la formation améliore la confiance en soi, il faut respecter quelques clés dans sa forme :
– Valider les acquis par une évaluation exigeante en fin de processus,
– Centrer les apprentissages sur des problèmes que l’on risque fort d’avoir à résoudre dans le futur, ou des problèmes passés auxquels on a été confronté,
– Être centré sur la réussite, les félicitations, la visualisation positive des acquis.

Dans l’absolu, il faut éviter l’excès de confiance en soi, qui pourrait mener à une absence de remise en question future. La formation pour cela doit toujours inciter l’apprenant à rester modeste. Comme disait Galilée (un peu provocateur) : « Plus j’apprends, plus je m’aperçois que je ne sais pas.».

La capacité d’évolution 

Evoluer c’est changer ses pratiques.

Un des bénéfices de la formation, au-delà du fait d’évoluer à l’occasion de la formation, est d’augmenter sa capacité générale d’évolution, y compris en dehors de cette formation.

Ceci principalement pour deux raisons…

Tout d’abord la confiance en soi, augmentée avec la formation, augmente la capacité à prendre des risques. Donc à accepter les idées des autres, se remettre en question, accepter de nouveaux défis…

Et aussi, la maîtrise des compétences de ses tâches actuelles libère l’esprit et permet de se projeter vers de nouvelles compétences. Alors qu’à l’inverse le fait de ne pas se sentir à l’aise dans son métier implique le plus souvent un repli sur soi, une attitude défensive.

Les clés d’une formation à la cybersécurité réussie

On peut considérer 2 clés principales pour une formation réussie :
– La compréhension,
– La pertinence.

Compréhension de la formation à la cybersécurité

Cela peut paraître évident : une bonne formation est une formation qui est comprise par l’apprenant. Mais en fait c’est un réel challenge !

Pour cela on utilise de nombreuses techniques.

Une sémantique adaptée à l’utilisateur

Chaque secteur d’activité a son propre « techno-langage ». Ce sont des termes techniques que seuls comprennent les personnes à l’intérieur du secteur. Par exemple les intrants en agriculture, l’anamnèse en médical ou les leads en marketing digital…

La cybersécurité n’échappe pas à cette règle. Les premiers pas dans la cybersécurité ressemblent souvent à un cours d’anglais… Et attention car le pentest n’a rien à voir un crayon (pen), les white hat hackers n’ont pas de chapeau blanc (white hat) et le phishing (attraper quelque chose avec un hameçon) n’a rien à voir le fishing (la pêche) !

Une formation sur la cybersécurité pour les employés d’une organisation doit leur parler avec leurs mots. C’est un effort nécessaire la part de l’auteur de la formation, même si c’est plus compliqué et moins confortable pour lui qu’utiliser son techno-langage. Lui aussi doit sortir de sa zone de confort…

Des directives claires

Formation n’est pas incantation. Nous l’avons vu dans l’introduction, il faut expliquer les pratiques, les justifier, voire les faire découvrir… Tout ceci pour qu’elles soient adoptées.

Mais à un moment il faut quand même énoncer clairement ce que l‘on attend de l’apprenant sous forme de bonnes pratiques, de directives claires.

C’est d’autant plus vrai dans la cybersécurité qui est à la fois anxiogène (l‘apprenant a peur de commettre une erreur dont il perçoit vaguement les effets graves pour lui et son entreprise) et encore mal connue (vu sa complexité et ses évolutions rapides).

La formation, dans le prolongement de l’action du dirigeant, doit rassurer. Pour cela elle doit apporter des directives claires qui créent un environnement de travail serein.

Pertinence d’une formation à la cybersécurité

Une formation réussie doit être pertinente. Pertinente, cela signifie qu’elle s’applique au contexte, aux problèmes et aux moyens de l’apprenant.

Ainsi l’apprenant a le sentiment que la formation traite de ses problèmes et lui apporte des solutions qu’il peut mettre en œuvre. C’est quand même sa première motivation !

S’il n’a pas ce sentiment, il n’essaiera généralement même pas de mettre en œuvre les pratiques exposées dans la formation. Il se dira juste « ceux qui ont conçu cette formation ne savent ce qu’est la vraie vie, ou au moins pas la mienne. Ce n’est pas une formation pour moi ».

Pour obtenir cette pertinence, on peut s’appuyer sur trois techniques…

Des problématiques réalistes

Un enjeu essentiel de la formation, c’est que l’apprenant ait conscience que ceux qui ont conçu la formation connaissent suffisamment bien son problème pour lui apporter une solution qui le résoudra, et non pas une solution standard qui résout en moyenne le problème de tout le monde et dans le détail le problème de personne.

Les problématiques exposées dans la formation doivent donc correspondre à celles vécues par l’apprenant.

On pourrait arguer que l’apprenant pourrait transposer à son contexte des pratiques exposées dans un autre contexte. Mais cet effort de transposition est un frein à l’apprentissage. De plus il suppose de faire appel au raisonnement analogique (qui permet de tirer parti d’une similitude de fonctionnement de situations très différentes), ce qui n’est pas le raisonnement le plus couramment répandu…

Des « bonnes pratiques » applicables

Un contexte réaliste ne suffit pas, il faut aussi que les pratiques proposées soient applicables. Non seulement dans la théorie (cela, la plupart des formations y satisfont) mais aussi dans la pratique.

Le risque dans la cybersécurité, c’est de proposer une somme d’interdits telle que l’apprenant a le sentiment de ne plus pouvoir faire son travail. Les pratiques proposées sont efficaces d’un point de vue cybersécurité mais non applicables dans la vraie vie… Cela oblige la personne soit à dégrader la qualité de son travail, soit à tricher avec les consignes de cybersécurité. 

Il faut donc concevoir des pratiques qui vont protéger sans inhiber…

La reproduction du contexte de l’apprenant (contextualisation)

Nous abordons là ce qui pourrait sembler être un point de détail.

Néanmoins, « le diable est souvent dans les détails ». A défaut de pouvoir difficilement juger la qualité d’une formation sur le principal (le fond du contenu et l’apport pédagogique), l’apprenant risque de la juger sur les détails (à savoir la forme, voire des détails dans la forme). C’est humain.

C’est pourquoi la formation doit soigner la sémantique (par exemple pour les entreprises on parle d’employés, pour les collectivités d’agents et pour les hôpitaux de soignants…).

Deux stratégies peuvent être conjuguées pour cela :
– Enlever tous les détails qui « localiseraient » la formation dans un univers et la rendrait non crédible pour une partie des apprenants,
– Décliner la formation en plusieurs versions, chacune adaptée à un groupe de métiers.

Intéressé ?
Demandez un rendez-vous téléphonique

Cybersecurite expert-comptable