Sensibilisation cyber : rêve ou réalité ?

Est-ce que le mot cyber fait rêver ?

Peut-être fait-il plus rêver les professionnels de la cybersécurité, que ceux qui la subissent. D’ailleurs pour le grand public, la cybersécurité est s’incarne sans doute plus par www.cybermalveillance.fr que par le Campus Cyber ou encore l’ANSSI. Mais alors, comment engager les collaborateurs autour des enjeux de sensibilisation cyber ?

Dire que 90% des attaques commencent par un bug humain, qu’avant d’hacker le système il faut hacker le cerveau (on parle alors de « brain hacking » ) : ce n’est pas faire preuve de beaucoup d’originalité. Mais dire que faire changer les comportements est compliqué car la cyber, en réalité, ennuie plus les utilisateurs qu’elle ne les passionne, cela interpelle un peu plus.

Avec le Forum des Compétences, qui réunit à la fois décideurs de la cybersécurité (CISO, DPO, Awareness Manager, Risks Managers,…) et banques et assurances, ce postulat a été le point d’entrée d’une belle réflexion et d’un travail de groupe sur la sensibilisation cyber.

Pour apprendre, il faut en avoir envie.

Instinctivement tout le monde le sait. Mais dans l’environnement bancassurance, la clé c’est malgré tout la conformité réglementaire. Réglementation Bâle, Solvency, RGPD, secret bancaire, LPM… Et pour chacune, le comportement humain est central.

Quelles sont les interrogations que nous avons explorées pour le relever :

• Les utilisateurs sont-ils enthousiastes ou s’ennuient-ils quand on leur parle de cybersécurité ?
• Quelles sont les populations d’utilisateurs à considérer distinctivement ? Certains sont plus exposés, d’autres sont tous justes sortis d’école, certains préfèrent lire d’autres regarder des vidéos sur YouTube
• Quelles sont les solutions de cyber sensibilisation et d’apprentissage déjà déployées par les banques et les assurances : campagnes de test de phishing, villages cyber, spots vidéo de dirigeants, interventions de youtubeurs, démo, etc. ?
• Pour qui ces différentes solutions fonctionnent ou non ?
• Que peut-on mesurer pour vérifier l’efficacité de nos campagnes de sensibilisation ? Et comment différencier ces résultats par population ?

Le résultat de ce travail a sans doute autant surpris les équipes d’Erium que les participants.

• Dans sa forme actuelle la sensibilisation ennuie les utilisateurs; ou qu’au minimum le renouvellement des contenus est sacrément complexe
• Chat GPT fait parfois mieux que de nombreux spécialistes du sujet 
• Ce qui fonctionne sur certaines populations (ex : intervention d’un influenceur YouTube pour la génération Z) ne fonctionne pas très bien pour les dirigeants (enfin, pas tous !)

Mais surtout que les responsables de l’acculturation cyber manquent cruellement d’outils pour mesurer les retours. Ils travaillent trop souvent en aveugle.