Formation et langage clair en cybersécurité : maîtriser le facteur de risque humain en deux temps
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
![Image Chez les [opérateurs télécom], la cybersécurité est omniprésente](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-telecom-communication-center-2024-885x690.jpg)
![Image [Odile Duthil] nommée directrice de la cybersécurité de la Caisse des Dépôts](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
Face aux évolutions numériques, la cybersécurité émerge en tant qu’enjeu central des entreprises en 2024. Cependant, l’approche traditionnelle, qui repose sur des investissements dans des logiciels informatiques, des audits ou des assurances, montre ses limites. La formation, et l’information, des collaborateurs devient la pierre angulaire de la défense contre les cyberattaques.
Les défis liés à la cybersécurité sont devenus une préoccupation croissante au sein des entreprises. Selon Kaspersky Daily, près de la moitié des incidents de cybersécurité (46%) sont imputables à un manque de précaution ou de formation des collaborateurs, mettant en évidence l’importance du facteur humain dans la prévention des attaques.
Renforcer la cyberculture devient donc une priorité intergénérationnelle. Dans un rapport informatif du Sénat Français de 2021, on peut lire un manque important de sensibilisation chez le jeune public. En effet, 82% des répondants de la « Génération Y » ignorent la notion de pare-feu, et 76% ne connaissent pas la notion de malware.
Priorité à la formation et à l’acculturation
Face à ces défis, les entreprises ont le choix d’investir dans des solutions telles que des logiciels de cybersécurité, des audits de vulnérabilité ou encore des assurances spécifiques. Cependant, une augmentation des budgets en ce sens ne suffit pas, à elle seule, pour contrer les cybermenaces. La clé réside dans la maîtrise du facteur humain. Il faut mettre en place une formation exhaustive des collaborateurs pour instaurer une culture “cyber” au sein des entreprises.
La formation ne doit pas être sélective et doit toucher tous les échelons de l’entreprise. Elle doit également être continue pour garantir la mise à jour constante des connaissances, cruciale pour atténuer les risques. L’inclusivité est essentielle, avec des solutions de formation adaptées à chaque niveau et à chaque collaborateur.
En revanche, la formation à elle seule ne paraît pas suffisante pour maîtriser efficacement le facteur humain. Il est nécessaire de créer et de rendre accessible aux collaborateurs l’ensemble de la documentation liée à la cybersécurité en interne (PSSI, SMSSI et autres règles internes) pour assurer une mise en pratique adéquate des bases acquises pendant les formations et une meilleure résilience opérationnelle.
Norme ISO
La réécriture de la documentation complexe est désormais, dans le monde des affaires, un standard à adopter. Elle fait l’objet d’une norme ISO “Langage clair et simple” depuis 2023 (ISO 24495-1:2023).
Le langage clair est défini par la norme ISO comme “une communication rédigée, structurée et présentée de façon à permettre à ses lecteurs de trouver facilement ce qu’ils cherchent, de comprendre ce qu’ils trouvent et de bien utiliser cette information”. Cette forme de rédaction concerne toutes les formes de communication, qu’elles relèvent de la compliance générale (documentation juridique) ou de documentations plus techniques (directives internes).
Déjà largement adopté dans les systèmes anglo-saxons, notamment aux États Unis, le langage clair s’adapte à la rédaction de la documentation en matière de cybersécurité. Objectif : rendre accessibles des informations pour permettre de les utiliser correctement. En d’autres termes, il s’agit de rendre des informations transparentes et sans ambiguïté pour améliorer leurs utilisations concrètes par ceux qui les lisent et doivent les appliquer.
La réécriture de la documentation interne : prolongement logique de la formation cyber
Le langage clair est le prolongement “pratique” de la formation cyber. Il permet aux collaborateurs de réagir plus rapidement en s’appuyant à la fois sur des connaissances acquises et issues de la formation mais aussi sur une documentation pratique adaptée.
Exemple : dans le contexte opérationnel des plans de secours et de sauvegarde informatique (PSSI), l’impératif d’un langage juridique et/ou technique transparent devient primordial. Concrètement, la formulation des scénarios de cyberattaques et des plans de réponse requiert une clarté incontestable, facilitant une appréhension rapide et précise par le responsable de la cybersécurité et de ses équipes.
La documentation des procédures de gestion des incidents et des mesures de prévention doit être concise, assurant ainsi une implémentation efficace par l’équipe spécialisée mais aussi l’ensemble des collaborateurs. L’adoption rigoureuse de cette approche garantit une communication sans ambiguïté et une exécution efficace des actions définies dans le cadre des PSSI, consolidant ainsi la résilience contre les cybermenaces.