Programmes de formation ludiques pour tous les niveaux de l'entreprise

www.kaspersky.fr

#truecybersecurity

Kaspersky Security Awareness

Kaspersky Enterprise Cybersecurity

1

Un moyen efficace de développer une culture de la cybersécurité au sein d’une entreprisePlus de 80 % des cyberincidents sont dus à des erreurs humaines. Les entreprises perdent des millions pour se remettre d’incidents provoqués par le personnel, mais l’efficacité des programmes de formation traditionnels visant à prévenir ces problèmes est limitée et, bien souvent, ils ne réussissent pas à susciter la motivation et le comportement escomptés.

Avantages du programmeKaspersky Lab a lancé une gamme de produits de formation sur ordinateur qui s’appuient sur des techniques d’apprentissage modernes et conviennent à tous les niveaux de la structure de l’entreprise. Notre programme de formation a déjà fait ses preuves.

La gamme Kaspersky Security Awareness est conçue pour s’adapter au mieux aux objectifs et aux préférences des entreprises. Elle présente les avantages suivants :

• Elle permet de développer un comportement et ne se limite pas à transmettre des connaissances : la méthode d’apprentissage inclut le jeu, l’apprentissage par la pratique, la simulation d’attaques, etc. De ce fait, les habitudes comportementales sont renforcées et les améliorations sont durables.

• Elle crée des comportements spécifiques aux différents niveaux hiérarchiques de l’entreprise (cadres supérieurs, supérieurs hiérarchiques / cadres intermédiaires, employés), prenant en compte leurs besoins particuliers et leurs contraintes en termes de durée et de format.

• Elle est facile à gérer et ses résultats sont hautement mesurables puisqu’elle propose des formations sur ordinateur. Elle peut être administrée par les équipes de sécurité IT et RH. Kaspersky Lab offre une méthode de mise en œuvre éprouvée, des bonnes pratiques ainsi qu’une assistance technique et méthodique.

• Elle s’appuie sur expertise de Kaspersky Lab en matière de cybersécurité et de R&D.

Aujourd’hui, la plupart des incidents de cybersécurité observés dans les entreprises sont liés à des erreurs involontaires de salariés :

• En 2015, IBM a indiqué que le pourcentage de violations internes dues à des erreurs humaines dépassait les 95 %1.

• Au Royaume-Uni, 75 % des grandes entreprises et 31% des petites entreprises ont subi des failles de sécurité provoquées par leur personnel en 20152.

• L’impact financier moyen d’un incident dû à une négligence en interne s’élève à 865 000 $3.

• Le coût moyen des attaques de phishing peut atteindre 400 $ par salarié et par an (les autres types de cybermenaces ne sont pas pris en compte dans ce calcul)4.

• Seuls 25 % des régimes de cyberassurance couvrent les incidents liés à des erreurs et des négligences humaines (tandis que les risques induits par des cybercriminels externes sont couverts par 84 % des régimes d’assurance, et ceux induits par des individus malveillants ou criminels en interne par 75 %)5.

L'analyse montre que la majorité des programmes de sensibilisation à la cybersécurité actuels sont inefficaces :

• La lecture de documents stratégiques et d'instructions est fastidieuse, trop technique, trop sceptique, trop peuplée de menaces et de choses à ne surtout pas faire, sans montrer d'exemples de comportements sûrs.

• Les salariés ne sont pas motivés par l'apprentissage (seuls 22 % d'entre eux pensent pouvoir être la cible de criminels).

• Ils ne voient pas la sécurité IT comme un allié et tentent toujours de la contourner.

• Les moyens de mesure de la sensibilisation font défaut, en dehors du « nombre de personnes ayant suivi une formation ».

1 Indice IBM 2015 relatif à la veille stratégique en matière de sécurité.

2 Enquête 2015 sur les violations de la sécurité des informations. Gouvernement du Royaume-Uni, en partenariat avec InfoSecurity Europe et PwC.

3 « Business Perception of IT Security: In The Face of an Inevitable Compromise » (« La perception des entreprises en matière de sécurité IT : une compromission à venir inévitable »), Kaspersky Lab, 2016.

4 Calculs établis à partir du rapport d’août 2015 du Ponemon Institute intitulé « Cost of Phishing and Value of Employee Training » (« Coût du phishing et valeur de la formation des employés »).

5 Rapport mondial 2015 sur l’impact des cyberincidents. Ponemon Institute LLC.

2

Formation KIPS pour un soutien stratégique

La formation KIPS vise les directeurs et responsables informatiques les directions et directions métiers et les cadres opérationnels, et accroît leur sensibilisation aux risques et aux problèmes de sécurité posés par l'exploitation de systèmes informatisés modernes.

La Kaspersky Interactive Protection Simulation (KIPS) est un exercice qui place des équipes au sein d'une simulation d'environnement commercial. Ces équipes devront faire face à une série de cybermenaces inattendues, tout en essayant d'optimiser les bénéfices et d'entretenir la confiance. L'idée est de construire une stratégie de défense informatique en effectuant des choix parmi les meilleures commandes proactives et réactives disponibles.

Chaque réaction entreprise par les équipes face aux événements modifie la façon dont le scénario se déroule et a, en définitive, une influence sur les bénéfices générés par l'entreprise… ou à côté desquels elle est passée. En équilibrant les priorités en matière d'ingénierie, d'opportunités commerciales et de sécurité face au coût d'une cyberattaque réaliste, les équipes analysent des données et prennent des décisions stratégiques en fonction d'informations incertaines et de ressources limitées. Si cela vous paraît réaliste, c'est le but, chaque scénario étant conçu d'après des événements réels.

KIPS est un programme de sensibilisation dynamique basé sur « l'apprentissage par la pratique » :

• Amusant, attrayant et rapide (2 heures)• Le travail d'équipe renforce la coopération • La compétition favorise l’initiative et l'analyse• L'expérience de jeu développe la connaissance des mesures de cybersécurité

« Parmi les tendances qui se dégagent de l'exercice, on constate que les premières décisions de sécurité, et parmi les plus simples, que vous pouvez prendre, comme les audits de sécurité et la formation, ou les changements de mots de passe et la gestion des correctifs, vous aideront énormément à réagir efficacement aux incidents qui pourraient survenir à l'avenir. »

Mark Jenkins · 16 décembre 2015 · ICT Qatar

Scénarios disponibles (sur KIPS Live et KIPS Online, en 10 langues)

Entreprise Protéger l'entreprise contre les ransomwares, les menaces persistantes avancées (Advanced Persistent Threats ou APT), les failles de sécurité liées à l'automatisation.

Banque Protéger les établissements financiers contre les APT sophistiquées qui visent leurs DAB, leurs serveurs de gestion et leurs systèmes commerciaux.

Administration en ligne Protéger les serveurs Web publics contre les attaques et les failles logicielles.

Industrial Protéger les infrastructures critiques et les systèmes de contrôle industriels.

Chaque scénario se concentre sur les vecteurs de menaces respectifs et permet la découverte et l’analyse des erreurs typiques commises lors de la mise en place des mesures de cybersécurité et des procédures de réaction aux incidents dans le secteur correspondant.

3

CyberSaftey Games (jeux de plateaux) visant à faciliter la prise de décisions opérationnelles en matière de cybersécuritéCet atelier hautement interactif (combinant formation assistée par ordinateur et cours dispensés par un instructeur) sensibilise les managers à l'importance de la cybersécurité.

Les entreprises tâchent de répondre aux cybermenaces en mettant en place des structures de sécurité IT et des programmes de formation conformes. Mais est-ce suffisant ?

• Les connaissances que les salariés acquièrent dans le cadre des formations ont-elles réellement une influence sur leur comportement ? Ou la réponse est-elle ailleurs ?

• Faut-il sacrifier l’efficacité de l’entreprise pour atteindre un niveau de sécurité optimal ?

• Les agents de sécurité se sentent-ils en sous-effectif pour sensibiliser tout le monde à la cybersécurité ?

La seule façon de faire face à ces défis est d’inciter les managers à promouvoir une culture de la cybersécurité au sein de l’entreprise sans sacrifier l’efficacité. Ils sont les seuls à interagir au quotidien avec les salariés et à prendre des décisions opérationnelles. Il s’agit d’intégrer les aspects de la cybersécurité à chaque prise de décision.

Grâce aux CyberSafety Games de Kaspersky Lab, les responsables acquièrent les connaissances, les compétences et les comportements indispensables pour assurer la sécurité de leur environnement de travail au sein de leur service :

• Compréhension : adoption en interne de mesures de cybersécurité essentielles et à la fois très simples

• Surveillance : perception du travail quotidien en gardant à l'esprit la cybersécurité• Prise de décisions en matière de cybersécurité : prise en compte de la

cybersécurité comme partie intégrante des processus métier• Renforcement et inspiration : leadership d'influence et conseils utiles aux

collaborateurs

Possibilité d’une « formation pour formateurs » destinée aux centres de formation d’entreprise, avec les avantages de déploiement suivants :

• Facilité de mise en œuvre – les formateurs n'ont pas à être des experts de la sécurité.

• Facilité de planification — les sessions de formation courtes et modulaires peuvent être mises en œuvre en fonction du planning du salarié.

4

Plateforme de e-Learning dédiée aux employés visant à développer les compétences en matière de cyberhygièneIl est important de s'appuyer sur des compétences et des connaissances, aussi l'accès à une plateforme en ligne est-il essentiel pour pouvoir travailler sur des scénarios et des situations types. Ce processus permet à son tour d'acquérir une meilleure compréhension des menaces potentielles et de la façon d’y faire face. L'apprentissage en ligne permet aux employés de s'entraîner et d'apprendre par l'intermédiaire d'un portail d'apprentissage interactif.

Modules de formation interactifs

• Stimulants et courts• Basés sur des exercices marquants• Auto-inscription pour la consolidation des compétences• Plus de 20 modules couvrant tous les domaines de sécurité

Évaluation des connaissances

• Comprend des évaluations prédéfinies ou aléatoires, des questions définies parl'utilisateur ou personnalisables

• Divers domaines de sécurité traités• Pas de triche grâce à une large bibliothèque de questions posées aléatoirement

Simulations d'attaques de phishing

• 3 types d'attaques par phishing de difficultés différentes, toutes basées sur descas réels

• Des emails sont envoyés à chaque fois qu'un collaborateur ouvre un e-mail dephishing

• Modèles personnalisables• Auto-inscription aux modules de formation pour tous les collaborateurs

victimes de l'attaque simulée

Rapports et analyses

• Fournit des statistiques pour l'entreprise dans son ensemble ou par service, site,fonction et par niveau individuel

• Contrôle le niveau de compétences et la dynamique des collaborateurs• Prend en charge l'exportation des données vers de nombreux formats ou vers

le système de gestion de la formation

La plateforme existe en 27 langues depuis février 2017.

Grâce à la plate-forme et au Guide des bonnes pratiques de Kaspersky Lab, les clients seront en mesure d'établir et d'intégrer un plan de formation à la cybersécurité solide, continu et mesurable, en proposant à leurs salariés des leçons simples au début et se compliquant progressivement par la suite, et en variant les domaines de sécurité en fonction des menaces et des compétences des salariés.

Visionnez notre démonstration interactive en cliquant sur le lien suivant : https://www.kaspersky.fr/enterprise-security/cybersecurity-awareness/demo/

5

ESPRIT AXÉ SUR LA CYBERSÉCURITÉ

ENGAGEMENT P

OUR LA

SÉC

URI

TÉ

GESTIO

N DES RISQUES

IMPACT SUR L’ENTREPRISE

Soutien des

responsables

Responsabilités

personnelles

Reconnaissancede la sécurité

Compétences

Compromis

Acceptation

des stratégiesLeço

ns

apprises

Implic

ation

Cultu

re d

e la

géné

ratio

nde

rapp

ort

Impa

ctCoopération avec

les technologies

de l'information

Mise en

œuvre

Assurance de la sécurité

Expérience en sécurité

Niveau personnel

Niveau de l’entreprise

SécuritéCulture

Point clé

L’évaluation s’intéresse à la culture de la sécurité sous différents angles : • Engagement au niveau organisationnel

(direction)• Engagement au niveau personnel

(employés)• Expertise disponible• Processus d’assurance sécurité

Évaluation des connaissancesL'évaluation du niveau de connaissances en cybersécurité sonde, à tous les niveaux de l'entreprise, les attitudes et comportements quotidiens réels en matière de cybersécurité et montre la façon dont les salariés perçoivent les différents aspects de la cybersécurité.

Les résultats de cette évaluation peuvent servir à comprendre les déséquilibres et les secteurs sur lesquels se concentrer, à justifier et aligner les priorités des activités internes et externes du service de sécurité, notamment en matière de sensibilisation et de formation, de relations publiques internes et de partage d'informations, ainsi que de principes de collaboration lorsqu'on traite avec des entreprises.

Les connaissances en cybersécurité comprennent plusieurs domaines, qui seront évalués et mesurés dans leur globalité à l'échelle de l'entreprise. Les résultats de l'évaluation forment la base de la discussion concernant le rôle et la place de la cybersécurité pour le maintien de l'efficacité commerciale :

• Orientation en matière de cybersécurité (perception de la sécurité et des politiques) ;

• Gestion des risques (conseils, commentaires et améliorations) ;• Engagement (attitude et comportement des employés en matière de sécurité) ;• Impact commercial (équilibre entre sécurité et efficacité commerciale).

Veuillez noter que le rapport du niveau de connaissances en cybersécurité n'est pas une évaluation du niveau de maturité technique de la sécurité de l'entreprise, ni une mesure de l'efficacité du service de sécurité.

Il montre de quelle façon les salariés moyens voient/ressentent la cybersécurité ; ce qu'ils pensent de la culture, des habitudes, des rituels, de la pratique quotidienne concernant les aspects liés à la cybersécurité ; leur perception personnelle des différents aspects de la culture visant à protéger l'entreprise contre les cybermenaces. Cette perception résulte de diverses unités et pratiques de l'entreprise, pas seulement de l'activité du service de sécurité ou de gestion des risques.

L’évaluation est réalisée sous forme d’enquête dans le Cloud. Il faut compter une quinzaine de minutes pour la remplir et deux semaines en moyenne pour que tous les salariés y aient répondu.

Une fois l’enquête terminée, le client reçoit un rapport consolidé.

6

Effet cumulatif : les différentes formations sont complémentaires

Méthode de mise en œuvre : un lancement rapide et un effet cumulatif

Vous trouverez ci-dessous un exemple de séquence de formations recommandée utilisant les produits Kaspersky Security Awareness (un « Guide des bonnes pratiques » est également disponible). Nous fournissons à nos clients des instructions détaillées et une assistance méthodique afin de faciliter la mise en œuvre et la gestion de nos produits de formation et de garantir qu’ils apportent un maximum de valeur.

7

Produits pédagogiques de sensibilisation à la sécurité Kaspersky Lab

La gamme Kaspersky Security Awareness laquelle s’appuie sur une méthode prônant une culture de la cybersécurité. Développement d'une connaissance de la cybersécurité grâce à un ensemble de formations de sensibilisation ludiques, pour tous les niveaux de l’entreprise, et gérées par les équipes de sécurité et de RH.

Une approche complète, mais simple

• Un large éventail de questions de sécurité couvert • Des environnements familiers• Un processus de formation axé sur la participation• Des exercices pratiques• Des explications compréhensibles par les néophytes

Avantages commerciaux

pas moins de jusqu'à

d’incidents en moins

de baisse des dépenses liées aux risques de cybersécurité

du retour sur investissement en sensibilisation à la sécurité

de chances de voir les employés utiliser leurs connaissances au quotidien

93 % 90 % 50-60 % Multipl. par 30

www.kaspersky.fr

© 2017 AO Kaspersky Lab. Tous droits réservés. Les marques déposées et marques de service sont la propriété de leurs détenteurs respectifs.

Solutions de sécurité Kaspersky Labpour les entreprises : https://www.kaspersky.fr/enterprise-securityKaspersky Security Awareness : https://www.kaspersky.fr/enterprise-security/security-awarenessDémonstration du produit : www.kaspersky.com/demo-sa