INE Security permet aux RSSI d’obtenir le soutien du conseil d’administration pour la formation en cybersécurité

S’il y a un seul thème qui circule actuellement parmi les responsables de la sécurité de l’information (RSSI), c’est bien la question de savoir comment impliquer les parties prenantes avec des protocoles de formation en cybersécurité plus solides.

Il y a des points clés débattus sur les raisons pour lesquelles vous devriez fournir une formation en cybersécurité à vos professionnels de l’informatique, comme l’augmentation alarmante des cyberattaques (une augmentation de 72 % par rapport au sommet historique de 2021, selon le Rapport 2023 sur les violations de données du Identity Theft Research Center), ou l’évolution rapide de la technologie, créant un jeu constant de rattrapage.

Mais la question n’est pas de savoir « si » une organisation sera ciblée, mais plutôt « quand ». Les RSSI sont de plus en plus anxieux, car même s’ils réalisent que le couperet leur tombera dessus lorsque l’inévitable faille se produira, obtenir le soutien du conseil d’administration pour des investissements lourds dans des mesures préventives, comme la formation, est un défi dans un monde où des revenus sont exigés pour chaque dollar dépensé.

« Le chemin pour obtenir l’adhésion du conseil d’administration est plus complexe qu’il ne suffit de disposer des bonnes statistiques et études sur papier », déclare Dara Warn, PDG de INE Sécurité, un fournisseur mondial de formation et de certification en cybersécurité. « Pour combler le fossé entre les RSSI et les parties prenantes, les RSSI doivent adopter une approche stratégique qui combine des données sur l’impact financier, des études de cas pertinentes et des récits convaincants. Il est essentiel de considérer la formation en cybersécurité comme un investissement essentiel plutôt que comme une dépense facultative.

Le facteur humain dans la cybersécurité

La cybersécurité n’est pas seulement une question de technologie ; il s’agit des gens. L’erreur humaine reste l’une des principales causes de failles de sécurité. Une étude de Verizon dans leur Rapport d’enquête sur les violations de données 2023 a constaté que 68 % des violations impliquaient un élément humain, comme l’ingénierie sociale, l’abus de privilèges ou de simples erreurs. Cela souligne l’importance de doter les employés des connaissances et des compétences nécessaires pour reconnaître les menaces potentielles et y répondre.

Étude de cas : Violation de données dans Capital One

En 2019, Capital One a été victime d’une violation de données qui a exposé les informations personnelles de plus de 100 millions de clients. La violation a été provoquée par un pare-feu d’application Web mal configuré, qui a permis à un attaquant d’accéder à des données sensibles stockées sur Amazon Web Services (AWS). Cet incident souligne l’importance de former les employés aux pratiques de sécurité du cloud et à la bonne configuration des outils de sécurité. En réponse, Capital One a amélioré ses programmes de formation en cybersécurité pour inclure la sécurité du cloud, en soulignant la nécessité d’audits et de contrôles de configuration réguliers. Ce cas illustre comment une formation spécialisée peut prévenir des violations coûteuses et protéger les données sensibles.

Le retour sur investissement de la formation en cybersécurité

Investir dans la formation à la cybersécurité n’est pas seulement une mesure défensive ; c’est un investissement stratégique qui peut rapporter des rendements importants. Une main-d’œuvre bien formée, non seulement sensibilisée à la sécurité, mais aussi aux équipes SOC et réseau, peut servir de première ligne de défense contre les cybermenaces, réduisant ainsi la probabilité de violations et minimisant les dommages potentiels. Selon l’Institut Ponemon Rapport 2023 sur le coût des violations de donnéesles organisations disposant de vastes programmes de planification et de test de réponse aux incidents ont économisé 1,49 million de dollars par rapport à celles ayant des niveaux inférieurs.

Étude de cas : attaque Maersk NotPetya

En 2017, le géant du transport maritime Maersk a été touché par le malware NotPetya, qui s’est propagée rapidement à travers son réseau mondial, provoquant un arrêt complet de ses systèmes informatiques. L’attaque a été initiée par une mise à jour logicielle compromise, exploitant une mauvaise hygiène de cybersécurité et le manque de formation des employés sur l’identification des logiciels malveillants. L’incident a coûté à Maersk plus de 300 millions de dollars de pertes. En réponse, Maersk a mis en œuvre un programme complet de formation en cybersécurité axé sur la reconnaissance des logiciels malveillants, la sécurisation des mises à jour logicielles et la réponse aux cyberincidents. Ce cas met en évidence la nécessité de former les employés aux dernières cybermenaces et aux meilleures pratiques.

Créer un récit convaincant pour la salle de conférence

Il est important de sécuriser les données financières et les études de cas de l’entreprise, mais les communiquer au conseil d’administration reste un défi pour les RSSI. Pour faire passer le message, les RSSI doivent également élaborer un récit convaincant qui trouve un écho auprès des membres du conseil d’administration. Voici quelques stratégies clés :

1. Parlez la langue du conseil

Les membres du conseil d’administration sont souvent plus à l’écoute des indicateurs financiers et des résultats commerciaux que du jargon technique. Les RSSI devraient considérer la formation en cybersécurité comme un outil commercial qui protège les résultats de l’organisation. Mettre en évidence les pertes financières potentielles dues aux violations et le retour sur investissement des programmes de formation peut constituer un argument convaincant.

2. Utilisez des exemples concrets

Des études de cas concrets, comme les attaques contre Maersk NotPetya et Capital One, peuvent illustrer l’impact concret de la formation en cybersécurité. Ces exemples fournissent des scénarios pertinents qui soulignent l’importance d’investir dans la formation des employés.

3. Tirer parti des données et des statistiques

La présentation de données provenant de sources réputées peut donner de la crédibilité à l’argument. Les statistiques qui démontrent la prévalence de l’erreur humaine dans les violations et les avantages financiers de la formation peuvent être de puissants outils pour convaincre le conseil d’administration.

4. Mettre l’accent sur la conformité réglementaire

Les exigences réglementaires, telles que le RGPD et le CCPA, imposent des mesures strictes de protection des données. Le non-respect peut entraîner de lourdes amendes et une atteinte à la réputation. Mettre l’accent sur la manière dont la formation en cybersécurité peut contribuer à répondre à ces exigences réglementaires peut être un moyen efficace d’obtenir l’adhésion du conseil d’administration.

5. Mettre en évidence l’avantage concurrentiel

Dans un marché de plus en plus concurrentiel, des mesures de cybersécurité robustes peuvent constituer un différenciateur. Les entreprises connues pour leur solide posture de sécurité sont plus susceptibles d’attirer et de fidéliser leurs clients. Les RSSI peuvent souligner comment un programme de formation complet peut améliorer la réputation et l’avantage concurrentiel de l’organisation.

Surmonter les objections courantes

Les membres du Conseil peuvent soulever des objections concernant le coût et le temps requis pour la formation en cybersécurité. Les RSSI doivent être prêts à répondre à ces préoccupations avec des arguments basés sur des données et des informations stratégiques.

Problèmes de coûts

Même si l’investissement initial dans les programmes de formation peut sembler important, les RSSI peuvent mettre l’accent sur les économies à long terme réalisées grâce à la prévention des violations. Selon le Ponemon Institute, le coût moyen d’une violation de données en 2023 était de 4,45 millions de dollars. Investir dans la formation peut atténuer ces coûts en réduisant la probabilité et la gravité des violations.

Contraintes de temps

Les membres du conseil d’administration peuvent s’inquiéter du temps que les employés consacreront à la formation. Les RSSI peuvent plaider en faveur de programmes de formation flexibles et modulaires qui permettent aux employés d’apprendre à leur propre rythme sans perturber la productivité. De plus, mettre l’accent sur l’efficacité des programmes de formation ciblés peut atténuer les inquiétudes concernant l’investissement en temps.

Les RSSI sont des acteurs clés dans la protection de leurs organisations contre les cybermenaces. Amener les conseils d’administration à adhérer à un investissement dans la formation en cybersécurité n’est pas une tâche facile, mais l’utilisation de certaines de ces stratégies peut rendre cet investissement plus efficace. L’inclusion de ces étapes dans le processus de communication de vos besoins aux parties prenantes contribuera à obtenir le soutien et les ressources nécessaires pour déployer des programmes de formation efficaces et, à terme, mieux protéger les actifs numériques et physiques de l’organisation. Les enjeux sont élevés et le fait d’avoir toutes les parties prenantes dans la même équipe est essentiel au succès et à la sécurité à long terme d’une organisation.

À propos de la sécurité INE

INE Security est le premier fournisseur de formations techniques en ligne et de certifications en cybersécurité. Exploitant la plateforme de laboratoire pratique la plus puissante au monde, une technologie de pointe, un réseau mondial de distribution vidéo et des instructeurs de classe mondiale, l’INE est le premier choix de formation pour les entreprises Fortune 500 du monde entier et pour les professionnels de l’informatique qui cherchent à faire progresser leur carrière. La suite de parcours d’apprentissage de l’INE offre une profondeur d’expertise incomparable dans les domaines de la cybersécurité, du cloud, des réseaux et de la science des données. L’INE s’engage à proposer une formation technique avancée, tout en réduisant les obstacles à l’échelle mondiale pour ceux qui cherchent à se lancer et à exceller dans une carrière informatique.