La formation de sensibilisation du personnel est une partie essentielle du GDPR (Règlement général sur la protection des données), mais savez-vous comment cela fonctionne en pratique ?
Voici sept choses que vous pouvez faire pour que votre programme de sensibilisation soit un succès.
1. Considérez vos besoins
Il n’existe pas d’approche unique pour la formation de sensibilisation du personnel. Chaque organisation doit adapter son programme en fonction de plusieurs facteurs, dont le plus évident est la taille.
Moins vous avez d’employés, plus vous pouvez mettre la main à la pâte et plus vous avez de temps pour vous assurer que tout le monde comprend ce qu’il fait.
Le revers de la médaille est que moins d’employés signifie généralement moins de ressources, ce qui rend les options de formation plus coûteuses par personne que pour les grandes organisations.
Vous devrez également planifier vos formations plus soigneusement, car les petites organisations ne peuvent pas se permettre d’avoir une douzaine de personnes ou plus en formation en même temps.
2. Définissez des paramètres de réussite
Il ne sert à rien de mettre en œuvre un programme de sensibilisation du personnel si vous ne savez pas s’il fonctionne. C’est pourquoi vous devez fixer des objectifs mesurables.
Par exemple, vous pourriez dire qu’au cours de l’année, vous souhaitez une certaine baisse du pourcentage d’incidents de sécurité causés par des erreurs humaines, ou fixer un objectif de zéro escroquerie par phishing réussie.
Idéalement, ces chiffres auront une certaine corrélation avec vos niveaux de sécurité de l’information existants, mais vous ne suivez peut-être pas encore ces données. C’est particulièrement probable si c’est la première fois que vous envisagez sérieusement de sensibiliser le personnel.
Heureusement, il existe une solution simple dans la fixation d’objectifs à court terme. Jetez un coup d’œil au type de menaces auxquelles vous êtes confronté sur une base mensuelle, par exemple, et vous pouvez créer des objectifs à plus long terme sur cette base.
3. Soyez exhaustif
La formation du personnel ne consiste pas seulement à asseoir vos employés et à leur faire un cours sur les risques liés à la sécurité de l’information.
Il doit plutôt s’agir d’un processus détaillé et continu dans lequel vous montrez aux employés comment les risques peuvent survenir et expliquez comment vos politiques et processus les combattent.
4. Engagez votre personnel
Comme pour le dernier point, la formation du personnel ne devrait pas simplement être un exercice auquel les employés s’assoient, l’organisation s’attendant à ce que tout le monde se souvienne de chaque point abordé. Il doit s’agir d’un processus continu qui fait partie de la culture de votre organisation.
Impliquer le personnel de diverses manières est essentiel à ce processus, et les gens apprennent de différentes manières. Par exemple, certains préfèrent écouter, tandis que d’autres préfèrent que les informations soient écrites ou représentées visuellement.
Les organisations devraient utiliser autant de ces approches que possible. Les cours d’apprentissage en ligne sont excellents pour l’étude interactive, les affiches fournissent des guides visuels et les mises à jour par courriel sur les politiques sont à la fois utiles et facilement accessibles.
5. Se concentrer sur le comportement, et non sur les connaissances
C’est une chose pour les employés de réussir un examen, mais c’est une toute autre chose de leur demander de démontrer leurs connaissances dans le monde réel.
L’exemple le plus clair de cela est le phishing : la plupart des gens peuvent repérer les e-mails frauduleux dans des contextes de test, mais lorsqu’ils sont à leur bureau lors d’une journée de travail chargée, ils sont susceptibles d’ouvrir un lien ou une pièce jointe malveillante sans s’interroger sur sa validité.
Pour combler le fossé entre les connaissances et la pratique, les organisations devraient contextualiser ce qu’elles enseignent et créer des jeux de rôle ou des études de cas aussi réalistes que possible.
Par exemple, vous pouvez tester la capacité de votre personnel à repérer les e-mails de phishing avec une attaque simulée.
Pour mettre en place une formation sur le rgpd suivez le lien conformité rgpd
6. Chronométrez-la correctement
La sensibilisation du personnel prend du temps. Il n’y a pas grand-chose à gagner à déployer un programme dès que possible, car vous vous retrouverez avec des exercices imparfaits qui n’obtiendront pas les meilleurs résultats.
Vous feriez mieux de vous concentrer sur une chose à la fois, de la déployer lorsqu’elle est prête et d’affiner votre programme en fonction de son succès.
7. Soyez patient
Comme nous l’avons déjà dit, vous ne devez pas vous attendre à des changements drastiques et durables du jour au lendemain. C’est parce que vous essayez de corriger les mauvaises habitudes de vos employés, ce qui prend du temps.
La clé est de faire confiance au processus, en continuant à fournir des formations et d’autres pratiques même si les améliorations à court terme sont minimes.
Le personnel s’habituera progressivement à la nouvelle façon de penser et sera plus apte à suivre vos conseils.