« Bouchées de sécurité » au SNC
Qu’est-ce qui vous vient à l’esprit lorsque vous entendez « formation en sécurité informatique »?
Je parie que vous vous dites avec une pointe de sarcasme : « Super, un autre Powerpoint! » ou bien encore « Génial, on va encore me faire culpabiliser! »
Au SNC, nous pensons qu’il faut concevoir des formations en sécurité informatique qui ne suscitent pas ce type de réactions. Des formations qui rassurent et préparent les équipes.
C’est précisément pour cette raison que nous renouvelons notre approche en matière de formation en sécurité informatique. Pour en apprendre davantage sur nos nouvelles initiatives, poursuivez votre lecture!
Sortir d’un mode de pensée binaire
Il vous est sûrement déjà arrivé de lire vos courriels entre deux réunions ou d’organiser votre calendrier, et tout d’un coup, vous vous rendez compte que vous avez fait une bêtise. Vous venez de cliquer sur le courriel d’hameçonnage piège envoyé par votre équipe de sécurité informatique. Ça y est. Vous savez ce qui vous attend.
Vous avez beau dire : « Les courriels d’hameçonnage ne sont pas tous pareils. Je reconnais bien ceux qui sont évidents! En plus, j’attendais une invitation pour participer à une réunion Teams. Ce n’est pas juste! » Mais, personne ne vous écoute. Vous êtes encore tombé dans le piège de la formation « clic et honte ».
On vient d’ajouter une brique au mur qui sépare les équipes de sécurité « du commun des mortels ».
Le facteur humain étant difficile à prévoir et contrôler, il n’existe pas de solution évidente en matière de sécurité informatique. Nous ne vivons pas dans un monde binaire où « certains ( les plus intelligents d’entre-nous) savent se protéger tandis que les autres se font escroquer » ; la réalité est complexe et en constante évolution.
Cela peut donner lieu à des tensions et des conflits, car aucun des deux camps ne perçoit l’autre comme un allié. Nous nous sommes dit que nous devions donc repenser notre façon de former nos équipes et de les sensibiliser aux enjeux de sécurité.
Redéfinir nos opérations pour améliorer la sécurité
L’une des approches que nous avons adoptées dans l’équipe des opérations de sécurité informatique pour aborder les formations de sécurité, consiste à créer des expériences d’apprentissage mieux adaptées aux besoins des participant·e·s (les fameuses « bouchées de sécurité »).
Cette pratique bien répandue dans d’autres secteurs consiste à organiser régulièrement des séances d’information pour rappeler aux équipes leurs responsabilités en milieu de travail.
Il s’agit de présentations de cinq minutes chacune que l’on donne de façon régulière et qui misent sur la mémorisation. Ces présentations minimisent les incidents informatiques et favorisent une saine culture de la sécurité.
Nous nous sommes alors dit que ce serait une bonne idée d’intégrer ces formations dans notre propre culture de sécurité informatique.
Les « bouchées de sécurité » au SNC!
Notre toute première bouchée de sécurité a été dégustée le 7 juin, lors de l’assemblée générale de l’unité de la plateforme.
J’ai créé un PowerPoint humoristique pour tenter de combattre les sentiments de peur, d’incertitude et de doute que l’on peut ressentir lorsqu’on aborde la question des meilleures pratiques en matière de sécurité informatique.
J’ai essayé d’amener mes collègues à réaliser qu’ils font partie de la solution.
La présentation a été très bien reçue.On nous a dit que le contenu accessible, facile à assimiler et à retenir.
Notre objectif est de donner confiance à nos collègues quant à leurs capacités de réagir face à un incident. Nous ne nous contentons pas de couvrir les sujets habituels couverts par les formations, tels que l’hameçonnage, les mots de passe et la bonne gestion des données, nous les développons en ajoutant des conseils et des astuces qui s’appliquent aussi bien au travail qu’à la vie privée.
La promotion de cette culture offre également à chacun·e la possibilité d’explorer librement, sans crainte d’être jugé·e, les risques de problèmes de sécurité spécifiques et de discuter des moyens d’y faire face. Les fonctionnaires qui travaillent pour le public ne doivent pas négliger les conséquences d’un manque de sérieux en matière de sécurité informatique. Il nous revient de trouver des moyens d’enseigner la sécurité de manière à ce que nos collègues retiennent le contenu et non seulement une liste de points.
Si les gens apprennent la logique de la sécurité au travail, ils seront plus enclins à l’appliquer chez eux, renforçant ainsi la sécurité en permanence. C’est un cercle vertueux!
Points à retenir
Nous avons lancé l’initiative « bouchées de sécurité » cet été pour compléter et renforcer notre formation existante en matière d’opérations de sécurité informatique. Nous continuerons de tirer parti de ressources de formation, d’offrir une formation technique pratique aux employé·e·s du SNC, d’organiser des simulations d’incidents et de favoriser une culture de sécurité informatique exempte de reproches.
Voici donc les trois éléments à retenir de l’approche du SNC en matière d’opérations de sécurité :
- Renforcer les capacités de tous les membres de l’organisme pour qu’ils se sentent à l’aise avec les pratiques de sécurité, sans se sentir coupables.
- Former les gens sur les opérations de sécurité et les meilleures pratiques centrées sur les personnes, en vue de faire primer l’apprentissage et la rétention.
- Passer d’un discours sur la sécurité qui oppose « équipes et sécurité » à un autre où les équipes travaillent ensemble pour renforcer la confiance et la sécurité dans l’organisme.
Nous ne voulons pas que nos collègues considèrent la sécurité comme un obstacle. Il faut plutôt que nous travaillions ensemble pour dégager la route et éviter des incidents. En favorisant une relation construite sur la confiance, les conversations en matière de sécurité — déjà assez complexes — seront beaucoup plus faciles à aborder à l’avenir.
Si vous participez à des opérations de sécurité dans votre organisation, analysez votre approche pour évaluer si ces éléments peuvent vous aider à accroître votre influence; puis faites-nous le savoir, si c’est le cas (Twitter, Linkedin, ou par courriel).